我可以使用 Site-to-Site VPN 來允許我從我的 Google VM 發送郵件嗎?
第一個問題,請善待!
問題:在Google云平台中,他們阻止了埠 25 出站到外部地址的流量。
- 1 個網路伺服器需要通過我的公司郵件伺服器發送郵件。
- 1 台郵件伺服器位於我的 DMZ 內,在防火牆上路由。
- 我的辦公室子網和 GCP 本地子網之間的 1 個站點到站點 VPN(在防火牆上)。
到目前為止我所知道的:
所以……在確信我的防火牆存在問題一天之後,結果發現Google阻止了出站埠 25、465 和 587。(SMTP 協議埠的所有變體)
在此處找到該塊:https ://cloud.google.com/compute/docs/tutorials/sending-mail/
它在此處描述瞭如何在本地網路之間允許流量但從 Internet 中阻止流量。
現在,我在 GCP 和我的 ASA5520 之間設置了一個站點到站點 VPN,它執行良好,GCP 中有用於我的本地網路的路由,可以通過它進行路由。現在這被認為是“本地網路”的一部分還是僅限於 Google 實例的本地子網?
我想肯定有人在我之前遇到過這個問題,有類似的設置,但我找不到太多。
在對我的實時防火牆進行更改以嘗試允許從 VPN 到 DMZ 的流量之前,我想知道是否有人有這方面的經驗?
也對如何解決我的問題的其他建議持開放態度……儘管我寧願不必支付任何費用,或者依賴應用程序和其他服務。
乾杯!
在您發送的那個連結中,他們有一個標題為“通過公司郵件伺服器發送郵件”的部分。它描述了使用 VPN。因此,您只需中繼到 ASA 內部的郵件伺服器,Google 流量過濾器甚至不會看到埠號——它們只會看到 ESP 或 UDP/500(ESP over UDP)。
關於一條隧道上的兩個子網,我只能與 ASA 談一談。我通常創建一個定義兩個對象組的單行訪問列表,然後只需將對象組定義載入到您需要遍歷隧道的子網中。例如:
object-group L2L-GCP-Remote network-object host 169.254.169.254 object-group L2L-GCP-Local network-object 10.11.12.0 255.255.255.0 network-object 10.12.13.0 255.255.255.0 access-list outside_5_cryptomap extended permit ip object-group L2L-GCP-Local object-group L2L-GCP-Remote crypto map outside_map 5 match address outside_5_cryptomap
我用 L2L-xxx-Local/Remote 的說法來顯示我的年齡。這就是舊的 3000 VPN 集中器用來定義每一端的方式。:)