我們最近買了壹台 Vigor2950 目前最新的韌體版本為 v3.3.0.1,在設定防火牆的時候,由於需要設定 VPN to LAN 的連線設定,但是從 Web 管理介面上始終找不到可以設定的方法,最後決定直接從 Telnet Commands Reference Guide 文件找尋看看有沒有設定的方法,結果還果真可以,以下設定的筆記。
我們想設定讓從 VPN 撥入的使用者限定只能連接到特定幾台在內網的主機,因此想設定防火牆規則,但是卻遇到一個問題是我無法設定封包方向為 VPN -> LAN 的防火牆規則,如下圖示,目前只有 LAN -> WAN , WAN -> LAN 可選,即便我選擇 WAN -> LAN 方向,其結果也不會套用在 VPN 使用者上:
後來我去下載 Telnet Commands Reference Guide 文件發現的確有設定的方法:
以下就是透過 SSH 連上 Vigor2950 並啟用 VPN 的設定步驟說明:
首先,先查看目前的防火牆一般設定,預設的情況下 Apply IP filter to VPN incoming packets 這設定是被停用 (Disable) 的,如下圖示。
啟用的方法如下,啟用之後會發現設定已儲存,再用 ipf set -v 查看一次即可看到該選項已被啟用:
這樣的設定並不會讓 Web 管理介面出現 VPN to LAN 的選項,而是可以讓這些 VPN 的用戶自動被歸類到 WAN 介面,並且套用防火牆的過濾器設定,所以你之後只要設定 WAN -> LAN 的設定即可套用在 VPN 撥入的用戶身上。
相關連結