どうも皆さん。mikrotikのmAPをVPNエンドポイントとして使いながら、誰にも私のホームネットワークへのアクセスを許さない設定方法についてのチュートリアルはありますか?
用途:旅行中や海外に住む友人たちが、その国からのジオロケーションを偽装し、地域制限を回避するため(Netflix以外のソフトウェアの場合)。
VPNアカウントのセキュリティはあまり気にしません。相対的に開かれた状態でも構いませんが、ホームネットワークへのアクセスはゼロが絶対条件です。必要ならユーザープロファイルとパスワードを設定しますが、設定可能なら行わなくても良いと思っています。
今はISP提供のハードウェア(Alcatel_Lucent I-240W-A)のGPONホームゲートウェイを使用していますが、管理者権限は持っているため、ポートフォワーディングは問題ありません。
mAPはあくまでこの設定のテストケースとして使う予定です。現在は一台がアイドル状態にあります(MikrotikのLite版とノンLite版の両方を持っていますが、どちらが適しているかは未定です)。いつかより良いルーターを購入するつもりですが、まずはmAPで試してみようと思います。
ご意見やアドバイスをいただけると幸いです。
mAPはどのように使用する予定ですか?ONTの背後に置くのでしょうか?
もしONTがイーサネットポートのアイソレーションをサポートしていなければ、ネットワークアクセスを完全に防ぐのは非常に難しいかもしれません。VPNがL2 VPNではなくL3(例:WG)の場合、mAP上でフォワードチェーンにファイアウォールルールを作成し、VPNインターフェースから内部LAN宛てのトラフィックをドロップする設定にすれば、ほとんどの問題は解決できるでしょう。L2 VPN、とくにブリッジングの場合は非常に難しくなります。
もしmAPをISPのハードウェアに直接つなぐのではなく、部屋の別の場所にある"CSS610-8G-2S+"(SwitchOS Lite)に接続し、より安全にするためのルールを追加すれば、少しは簡単になるでしょうか?
おそらくCSSのACLの柔軟性次第です。L3 VPNを使用するのが良いと思います。なぜなら、それならEthernetフレームをトラフィック内で転送できなくなるからです。IPトラフィックだけにしておけば、IP層を十分に制限できれば、ネットワークの他の部分にアクセスされるのは非常に難しくなります。
ONT側は少し問題で、もし不正なイーサネットフレームが到達すれば、ONTがそれをスイッチしてしまい、他のセキュリティ対策が無意味になる可能性があります。そのため、このシナリオではL2 VPNは推奨しません。攻撃者がこの層をコントロールできなければ、横に移動するのはより難しくなるからです。