У нас есть пользователи, которые переезжают в здание внешнего партнера. Партнер согласился создать отдельный VLAN для наших пользователей в своей сети и даже настроить VPN между их зданием и нашим. Также мы используем VMware Horizon для рабочих столов пользователей.
Мой вопрос: как убедиться, что только мои пользователи могут доступ к нашей сети? Просто настроить брандмауэр так, чтобы пропускать только трафик из VPN к брокеру соединения VMware и никуда больше? Спасибо.
Лучше было бы установить собственное устройство брандмауэра на этот VLAN и разместить там туннель.
Существует риск, что “другие системы” будут размещены на этом VLAN ими.. поэтому вам могут понадобиться правила доступа на вашей стороне, на другой стороне или обоих.
Да, если они выделят вашим пользователям их VLAN, то просто создайте правило брандмауэра для туннеля, разрешающее трафик только из подсети, которую они выделили для ваших пользователей. Также можно применить правила для ограничения назначений и типов трафика для большей безопасности.
Обычно вы устанавливаете собственный брандмауэр и позволяете ему управлять туннелем. VPN на стороннюю компанию требует крайне аккуратной настройки с очень строгими правилами (нулевое доверие).
Мы почти никогда не делаем что-то подобное — это абсолютный последний шанс.
На этапе 2 настройки VPN сопоставьте сеть, являющуюся VLAN, которую они вам предоставили. Это ограничит трафик через туннель только системами, находящимися в VLAN, которую они настроили. Тогда, если используется Horizon, просто ограничьте трафик нужными портами для подключения к Horizon. Сессия виртуального рабочего стола и будет обеспечивать трафик для веб, почты и прочего.
У меня есть ASA. Могу ли я использовать их публичный IP? Или мне нужен новый публичный IP на их соединении / моем интернет-провайдере?
Можно ли использовать их интернет для туннелирования? Например, как упомянул Just_Curious_Dude при использовании NAT-T?
Стоит ли рассматривать настройку NAT-T в дополнение к этим рекомендациям?
NAT-T позволит вам не иметь публичного IP и использовать их.
NAT-T, наверное, да, но честно говоря, я не касался ASA уже 8 лет. Раньше много ими управлял, но сегодня я слишком rusty в деталях.
Теперь у всех Meraki, и это все plug-and-play, особенно в случае VPN. У нас 30 сайтов, и я за последние 5 лет потратил на настройку VPN минут 10 
Конечно. NAT Traversal практически встроен во все текущие VPN-настройки, так что его настройка не должна вызвать трудностей, если потребуется.
Спасибо, буду разбираться в этом. Ваша помощь оценена.