当社は、Sonicwall PRO 1260 ファイアウォールを使用している小規模企業を買収し、Sonciwall から Cisco ASA ファイアウォールへのサイト間 VPN トンネルを設定しました。Cisco ASA ファイアウォールの背後には 8 つの異なるサブネットがあります。必要なサブネットをすべて含むアドレス オブジェクト グループを使用するように、Sonicwall の VPN 接続を設定しました。
Sonicwall から Cisco ASA への VPN トンネルは正常に確立され、リモート サイトから「サブネット 1」への完全な接続が確保されています。「サブネット 2」(およびその他すべて) からリモート ネットワークに送信されるトラフィックは、ICMP (ping)、http、および https のみです。
これは「アクセス ルール」と大声で言っているように聞こえますが、Sonicwall を何時間も調べましたが、上記のサービス以外のすべてのトラフィックをブロックするアクセス ルールは見つかりませんでした。Sonicwall は、LAN > VPN および VPN > LAN から「すべてのホスト、すべてのサービスを常に許可する」というアクセス ルールを自動的に作成します。これらのルールは変更、削除、または非アクティブ化できません (VPN を削除することによってのみ可能)。
サイト間 VPN を使用する他の 5 つのリモート サイトに対してもまったく同じ構成をセットアップし、同じ Cisco ASA に接続してすべて正常に動作していますが、これらのサイトでは Fortigate ファイアウォールを使用しているため、これは Sonicwall に関連していると確信しています。
質問 1: 同じ問題を経験した人はいますか? また、どのように解決しましたか?
質問 2: 実行中の設定の完全なテキスト出力を取得するには、Sonicwall の CLI 経由でどのコマンドを実行する必要がありますか?
ご協力いただければ幸いです。
答え1
問題の各サブネットは、Sonicwall ネットワーク オブジェクト構成で VPN サブネットとして定義されていますか? LAN または WAN として分類されている場合、VPN トンネルで定義されていても、「LAN から VPN」ルールは適用されません。これがお持ちのモデルに当てはまるかどうかはわかりません (弊社のモデルは TZ17/8/90 と 3060 ですが、SonicOS を実行している場合は当てはまると思います)
答え2
コメントありがとうございます、Kevin。私もこの件については考えていましたが、実際にサブネットのアドレス オブジェクトを使用してテストしたところ、オブジェクトを LAN または WAN または VPN オブジェクトとして分類することで機能していましたが、違いはなく、すべてのケースで機能しました。サイト間 VPN に自動的に追加された VPN ルールは、手動でオブジェクトを分類したものを無視しているようです。
簡単に言うと、このテストによって、Sonicwall が実際に問題なのかどうかますます疑問が湧いてきましたが、結局そうではありませんでした。結局、反対側の Cisco ASA はホスティング サービスによって管理されており、私の制御外でした。ASA の構成を確認したところ、VPN 接続の反対側のルールを追加した天才が、アクセス ルールを「すべて拒否」ルールの後に配置していたことがわかりました。アクセス ルールを「すべて拒否」ルールの前に移動することで、問題はすぐに解決しました。