Настройте VPN в Windows, чтобы разрешить доступ к определенному порту

У меня есть настройка VPN, и она работает хорошо. Сервер, на котором он размещен, не является DC. Однако мне нужно разрешить определенный порт (9443) на VPN и закрыть его, когда не на VPN.

У меня есть ipad, подключающийся к веб-сервису на сервере; Я хочу, чтобы он имел доступ только к веб-службам в сети VPN.

На данный момент он может получить доступ к веб-сервису и отключить VPN.

Если я установлю брандмауэр Windows на блок 9443, он не будет работать вкл / выкл VPN

Если я установил брандмауэр, чтобы разрешить 9443 на частном, он работает как вкл / выкл

Я установил локальную политику, Политики диспетчера списка сетей: Сеть: Частная

Свойства интерфейса RAS: общедоступный

Неопознанный: Публичный после перезапуска я установил Брандмауэр, чтобы разрешить 9443 только для Публичного.

Я пробовал только безопасный, установить конкретных пользователей, диапазон IP-адресов VPN, ничего из этого не работает.

Не может быть так сложно разрешить определенный порт только для VPN. Может кто-нибудь сказать мне, где я иду не так? ура Пит

networking vpn firewall Pete Finch
источник

Большинство VPN работают на OSI Layer 2 (Link Layer) или 3 (Internet Layer), но такие порты, как определенный TCP & amp; UDP-порты являются частью OSI Layer 4 (Transport Layer) ... По сути, я говорю, что в зависимости от вашей реализации VPN это, вероятно, невозможно в клиентской VPN. Это может быть возможно в маршрутизаторе корпоративного уровня, который выполняет VPN между сайтами и может выполнять проверку пакетов для правил маршрутизации. Если вы можете сказать нам, какую VPN вы используете, это может помочь ... Большая часть моего опыта в клиентских VPN-сетях связана с OpenVPN, родной Windows или специфическими для оборудования клиентами, что обычно невозможно.

acejavelin

@acejevelin - В мире Linux (и я не вижу причин, по которым это было бы неверно в Windows, но могло бы быть ошибочным), порты обычно привязаны к интерфейсу (или ко всем интерфейсам), а межсетевой экран действует на интерфейс + порт, поэтому должно быть выполнимо, особенно с OpenVPN, который создает устройство настройки.

davidgo

@PeteFinch, какой веб-сервер вы используете? Вы можете настроить его для прослушивания только через интерфейс Tun / Tap?

davidgo

Привет, я использую «Маршрутизация и удаленный доступ» на Server 2012 R2 для VPN. Я использую IIS на том же сервере для веб-сервисов, и там установлена привязка порта 9443. Мое понимание VPN было то, что после подключения вы находитесь внутри сервера / локальной сети, поэтому брандмауэр не должен иметь значения. Имея это в виду, я удалил правило, глядя на 9443, и оно все еще не работает, когда на VPN. Я думаю, что это может быть проблемой маршрутизации? VPN назначает диапазон 10.0.0.0/24, и мне еще предстоит настроить любые маршруты от этого до диапазона IP-адресов хост-сервера ...

Pete Finch