Configurazione del routing e dell'accesso remoto di Windows per IBM MaaS360 VPN

IBM® MaaS360® VPN può instradare tutto il traffico attraverso la VPN o instradare sottoreti specifiche attraverso la VPN (split tunneling).

Per impostazione predefinita, IBM MaaS360 VPN utilizza la traduzione degli indirizzi di rete (NAT) per instradare il traffico dal server alla rete aziendale IBM MaaS360 VPN server alla rete aziendale. Prima che il modulo IBM MaaS360 VPN prima che il modulo possa funzionare sulla rete, è necessario completare le seguenti operazioni.

Requisiti

La tabella seguente elenca i requisiti di installazione e configurazione che si applicano all'installazione IBM MaaS360 VPN installazione.
Elemento Requisito
Server Microsoft Windows Server 2016 + (fisico o virtuale)
  • Almeno un'interfaccia con accesso o rotte verso le risorse a cui si accede con l'interfaccia IBM MaaS360 VPN.
  • Supporta la modalità one-arm, che utilizza la stessa interfaccia per le connessioni VPN in entrata e il traffico in uscita verso la rete, o la modalità multi-arm, che utilizza interfacce diverse per le connessioni VPN in entrata e il traffico in uscita verso la rete.
MaaS360 VPN Il nome DNS esterno o l'indirizzo IP e la porta utilizzata per configurare le connessioni utente esterno.
  • Nome DNS esterno o indirizzo IP: Il nome DNS o l'indirizzo IP che gli interpreti utilizzano per connettersi alla rete IBM MaaS360 VPN.

    L'indirizzo IP pubblico viene assegnato direttamente a un'interfaccia sul server Windows o convertito all'indirizzo privato del server Windows utilizzando un router, un firewall, un programma di bilanciamento del carico o un proxy inverso (altamente consigliato).

  • Porta: la porta predefinita è 1194. È possibile modificare questa porta.

    IBM MaaS360 VPN attualmente utilizza il protocollo UDP, che non può essere modificato. L'amministratore deve assicurarsi che la porta inserita nello strumento di configurazione di Cloud Extender® sia aperta al server che sta eseguendo il provisioning IBM MaaS360 VPN. Bloccare altre porte per motivi di sicurezza.
Software MaaS360 VPN L'indirizzo IP interno e la porta che il IBM MaaS360 VPN software.
  • Indirizzo IP interno: Utilizzare un indirizzo IP valido di un adattatore fisico sul server Windows.
  • Porta: la porta predefinita è 1194. È possibile modificare questa porta.
    Nota: la porta interna non deve necessariamente corrispondere alla porta esterna VPN se è presente un programma di bilanciamento del carico, un firewall, un router o un proxy inverso davanti al server VPN che gestisce la conversione.
Tunnel MaaS360 VPN Una o più sottoreti valide (indirizzo IP e maschera di rete) utilizzate per assegnare gli indirizzi IP alle connessioni utente in entrata per il tunnel VPN (IP virtuale e maschera di sottorete virtuale).
  • Utilizzare sottoreti in un intervallo privato che includa un numero di indirizzi IP sufficiente a gestire tutti gli utenti che si connettono a ciascun server IBM MaaS360 VPN server.
  • È necessaria una sottorete per ogni IBM MaaS360 VPN server. La sottorete deve includere un numero di indirizzi IP sufficiente a gestire il numero massimo di utenti che possono connettersi al server in una singola istanza.
  • Poiché il NAT viene utilizzato per il traffico in uscita dal server, è possibile utilizzare la stessa subnet per ogni server IBM MaaS360 VPN server. Tuttavia, questa configurazione potrebbe impedire la risoluzione dei problemi.
  • Utilizzare sottoreti univoche nella rete che non creano sovrapposizione o confusione con l'instradamento di rete.
Server DNS Uno o più server DNS utilizzati dagli agenti utente.
  • Il server DNS deve essere accessibile dall'interfaccia di rete su cui è installato il sistema IBM MaaS360 VPN è installato.
  • Il server DNS deve risolvere gli indirizzi pubblici e privati, anche se si utilizza lo split tunneling (o aggiungere un secondo DNS pubblico all'elenco).
Sottoreti Un elenco di sottoreti (indirizzo IP e netmask) che vengono utilizzate per instradare attraverso il tunnel IBM MaaS360 VPN (se si utilizza lo split tunneling).
Nota: se non si utilizza il tunneling suddiviso, tutto il traffico (privato e pubblico) viene instradato attraverso il tunnel e potrebbe aumentare il carico sul server con traffico non aziendale.