首先稍微解释一下我的网络拓扑。
我有一个内部域和一个边缘网络域。两个域之间没有信任关系(IT 不允许在内部域和边缘网络域之间建立单向信任关系)
当通过路由器时,它将对到边缘网络的流量进行 NAT。因此,所有dmzHost.edgeNetwork.local不是源自其自身子网的流量似乎都将具有源 IP 192.168.10.10。有趣的是,任何来自 192.168.10.0/24 子网的流量在连接到 10.0.0.0/8 子网中的计算机时都不会进行 NAT(我向 IT 部门发送了一封电子邮件询问这是为什么,因为我不明白 NAT 对边缘网络的好处,但开放了来自边缘网络的访问。我可以看到背后的原因,10.x -> 192.x = NAT但192.x -> 10.x = Dropped connection他们允许连接通过这一事实让我感到困惑)
我想要做的是禁用任何授权计算机的防火墙,以便它可以进行远程管理。我尝试的方法是
- 在 dmzHost 上,使用以下设置创建连接安全规则条目:
Endpoint 1设置为192.168.10.40通过192.168.10.49(这将是一个推送到多台计算机的 GPO)Endpoint 2被设定为Any IP address- 协议和端口设置为
Any - 身份验证要求设置为
Request inbound and outbound - 身份验证方法设置为,
Advanced第一个身份验证方法设置为Preshared Key
- 在 lanPC 上,按照相同的设置,但以下情况除外:
- 设置
Endpoint 1Any IP address - 设置
Endpoint 2为192.168.10.40通过192.168.10.49
- 设置
检查Main Mode并Quick Mode在安全关联下我可以看到已建立的连接。
Main Mode:
Local Address Remote Address 1st Authentication Method 2nd Authentication Method Encryption Integrity Key Exchange
192.168.10.40 192.168.10.10 Preshared key No authentication AES-CBC 128 SHA-1 Diffie-Hellman Group 2
Quick Mode:
Local Address Remote Address Local Port Remote Port Protocol AH Integrity ESP Integrity ESP Encryption
192.168.10.40 192.168.10.10 Any Any Any None SHA-1 None
现在,当我设置防火墙规则时,它就中断了。
我设置了防火墙规则以允许所有端口和所有程序,但是在Action我从更改为Allow the connection然后Allow the connection if it is secure在自定义下我将其设置为Allow the connection to use null encapsulation。
Name Group Profile Enabled Action Override Program Local Address Remote Address Protocol Local Port Remote Port Allowed Users Allowed Computers
Allow full access to any computer with PSK All No Secure (No encapsulation) No Any 192.168.10.40-192.168.10.49 Any Any Any Any Any Any
当我启用该设置时我失去了与 192.168.10.40 的所有连接由于已经通过路由器进行了 NAT,我必须连接到边缘网络中的另一台计算机并从那里进行远程访问以禁用防火墙规则。
我需要做什么lanPC.example.com才能进行远程管理(无需 RDP 登录)dmzHost.edgeNetwork.local?