问题
我们想使用 WatchGuard 的地理位置来限制对我们的“访问门户”和“移动 VPN”连接的访问,但看不到任何选项,并且相应的“防火墙策略”似乎不支持地理位置配置。
我正在努力通过 Google 或 WG 文档查找有关该场景的资源。当然,这应该是可能的?有没有人在做类似的事情上有任何成功?
我们尝试过的
对于“访问门户”,它会生成一个名为“WatchGuard SSLVPN”的防火墙策略(在它所针对的访问门户的上下文中不是很有意义),但是更改其地理位置没有效果,客户端可以连接到访问门户无论连接的地理来源如何。
对于“移动 VPN”,它会生成“允许 IKEv2 用户”防火墙策略,但更改该策略的地理位置无效,并且客户端可以建立 VPN 连接,而不管连接的地理来源如何。 在我看来,这条规则适用于 VPN 隧道已经建立并且“感觉”在管道中为时已晚并且需要尽快/上游阻止的情况
非常感谢您可能拥有的任何见解。
设法解决了这个问题。
事实证明,WatchGuard 有一个内置的 IPSec 策略(默认启用),它为 IPSec(端口 4500 UDP ESP AH 和端口 500 UDP)创建“隐藏”防火墙策略。这可以在下面找到VPN -> Global Settings -> IPSec Settings -> Enable built-in IPSec Policy
要为 VPN 连接启用 WatchGuard 的地理定位功能(或任何其他选项,如流量管理或调度),需要禁用内置 IPSec 策略并手动创建等效的防火墙策略。然后可以像普通防火墙策略一样配置这个新的手动策略。
注意:禁用 IPSec 策略将断开现有 VPN 用户(可能包括您自己)的连接,因此您可能需要提前计划。
根据您的配置,您可能需要为每个 VPN 接口创建手动 IPSec 防火墙策略。至少这是我所期望的,但对我们来说,点对点 BOVPN 接口不需要,我们只需要 IKEv2“移动 VPN”的防火墙策略。