让指定的IP地址走深信服VPN线路的方法

发布于 作者:

 前言: 逼良为娼

由于集团不允许开外网应用,外网应用如果要开,需要迁移到集团云,大家都懂得费用那就不一时一点半点,问我要12个w。但腾讯支付的回调又必须有公网的IP,只能偷偷摸摸放在阿里云上,今年发现集团的资产扫描系统功能异常强大,没法抱着不被扫到的侥幸心理.所以只能是对指定IP开放443的访问,但这有存在一个问题,客户端访问系统的IP是不固定的。

一、解决办法:

解决方案就是让客户端访问服务器公网IP A ,都走公司VPN线路,公司VPN对外的出口IP是固定IP B ,开放策略给B访问A允许就可以了。

二、具体设置:

        1. 设置阿里云的安全组:

阿里云设置安全策略只允许腾讯支付回调的IP地址和公司的固定IP B 访问服务器A        编辑

根据腾讯官网的文档,IP列表如下:网络问题排查指南 – SDK&开发工具 | 微信支付商户文档中心 (qq.com)

商户侧对微信支付回调IP有防火墙策略限制的,需要对以下IP段开通白名单:

  • 上海电信出口网段:101.226.103.0/25
  • 上海联通出口网段:140.207.54.0/25
  • 上海CAP出口网段:121.51.58.128/25(新增)
  • 深圳电信出口网段:183.3.234.0/25
  • 深圳联通出口网段:58.251.80.0/25
  • 深圳CAP出口网段:121.51.30.128/25(新增)
  • 香港出口网段:203.205.219.128/25

        2. 内网VPN服务器的设置:

我使用的深信服的VPN,外网防火墙也是,VPN段只需要将服务器IP A作为资源开放给需要访问的用户。先建立资源,我用的 L3VPN资源,只需要443 所以其他端口我就没有开了。

编辑

新建一个用户角色,管理用户,将上面的资源给授权出去。

编辑

原本以为还需要互联网出口端的防火墙还要做路由设置,发现竟然不用就可以了。只需要vpn发布了这个资源,有点出乎意料之外。

总结:算是个解决办法

一方面迁移费用死贵,集团云运营公司打折网络安全、数据安全旗号,相比公有云费用成倍的增长;另一方面又确实有公网访问的需求,我这个办法算是个折中的投机取巧的解决办法了。