アクセス制限

[rkami]

背景：
SoftEtherVPNをインストールしたサーバ(Cent)を自宅に設置、
外部から仮想HUB-物理HUBのローカルブリッジを用いて、ローカルアクセスを実施しています。

[iPhone]-(インターネット)-[ルータ]-(ローカルエリアネットワーク)-[サーバ(SoftEther)]

iPhone グローバルIP:A.A.A.A
ルータドメイン:hoge
ルータ ローカルIP:192.168.0.1
サーバ ローカルIP:192.168.0.10

実現したいこと:
現状、仮想HUBの認証はiPhoneのVPNの仕様のため、ID/PW認証となっており。
不正アクセスを懸念しています。
そのため、iPhone側のグローバルIP(A.A.A.A)のみを許可する設定を加えたいと考えております。

IPアクセス制御リストは、有償のみでSoftEtherVPNではないということなので、
アクセスリストによるパケットフィルタリングで実現しようと下記フィルタを入れました。
iPhoneのみアクセスができて他のIPからアクセスは拒否される想定でしたが、
iPhoneからもVPNセッションを貼ることができませんでした。
ご指摘お願いします。

（先の話ですが、上記フィルタができれば、将来的にA.A.A.Aに無料DNSを割りてて、
サーバ側で名前解決をし、動的に変わってしまうA.A.A.Aを追ってフィルタできるように
vpncmdを用いたshで許可する仕組みを作りたいと考えております。）

AccessList コマンド - アクセスリストのルール一覧の取得
項目 |値
-----------+-------------------------------
ID |1
動作 |通過
状態 |有効
優先順位 |1
ユニーク ID|635423095
内容 |(ipv4) SrcIPv4=A.A.A.A/32
説明 |iPhone
-----------+-------------------------------
ID |2
動作 |破棄
状態 |有効
優先順位 |10
ユニーク ID|4000065619
内容 |(ether) *
説明 |ALLDENY

[cedar]

アクセスリストは仮想 HUB 内の通信を制御する機能なので、VPN 接続自体の可否を設定することはできません。

[rkami]

cedar wrote:
> アクセスリストは仮想 HUB 内の通信を制御する機能なので、VPN 接続自体の可否を設定することはできません。

回答ありがとうございました。
アクセスリストでは希望してる制御はできそうにもないんですね。

アクセスリスト以外に接続元を制限する方法ってないのでしょうか。
(ルータは安価なものだったので、接続先制限機能はありませんでした。)

[cedar]

アクセス元 IP アドレス制限に対応したファイアウオールか、リバースプロクシを
導入するのが簡単ではないかと思われます。