つまり、Sonicwall IKE VPN 経由で接続された 2 つのオフィスがあります。
- 本社は10.42.0.0/16です
- リモートは10.63.0.0/16です
本社の Windows 7 Pro ボックス 10.42.3.203 には MS ファイル共有があり、リモート オフィスのマシンはそれにアクセスする必要があります。両方のファイアウォールには、2 つのネットワーク間のトラフィックに対して「any to any」ルールが設定されており、トラフィックに適用される拒否ルールはありません。
以下は、リモート オフィスの誰かが HQ の共有にアクセスしようとしたときの tshark トランスクリプトです。これを実行しているマシンは、HQ ファイアウォールの背後にあるミラー化されたアップリンク ポートをリッスンします。
414.411940 10.63.3.39 -> 10.42.3.203 TCP 66 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.518100 10.63.3.39 -> 10.42.3.203 TCP 66 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.519325 10.63.3.39 -> 10.42.3.203 TCP 66 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
417.429670 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
418.516965 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
418.516969 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
423.421594 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=65535 Len=
424.525998 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
424.526002 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
436.553750 10.63.3.39 -> 10.42.3.203 NBNS 92 Name query NBSTAT *<00><00><00><00><00><00><00><00><00><00><00><00>
436.554051 10.42.3.203 -> 10.63.3.39 NBNS 217 Name query response NBSTAT
436.603070 10.63.3.39 -> 10.42.3.203 TCP 66 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
439.614949 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
445.600591 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
457.620875 10.63.3.39 -> 10.42.3.203 TCP 66 55734 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
457.621149 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.159020 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.159258 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.689704 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.690002 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.725494 10.63.3.39 -> 10.42.3.203 TCP 66 55736 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
458.725696 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.260930 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.261180 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.795362 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.795640 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
応答する NBNS クエリまでのパケットを無視しているように見えますが、その後は他のパケットを交互に無視するか、RST します。
また、ping は一方方向には機能するが、もう一方方向には機能しないという面白いことも起こります。
29.683073 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=36/9216, ttl=128
29.688421 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=36/9216, ttl=128
30.758418 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=37/9472, ttl=128
30.764715 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=37/9472, ttl=128
31.759546 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=38/9728, ttl=128
31.764583 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=38/9728, ttl=128
32.760653 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=39/9984, ttl=128
32.766173 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=39/9984, ttl=128
45.221105 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4217/30992, ttl=128
49.749227 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4218/31248, ttl=128
54.747578 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4219/31504, ttl=128
59.754256 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4220/31760, ttl=128
このマシンでは Windows ファイアウォールが有効になっていませんが、HQ 内のすべてのマシンは問題なくアクセスできます。ネットワーク内の別の場所に Samba サーバーがあり、これもすべてのオフィスから問題なく動作します。これらの Windows マシンは、サブネット上にないものからのトラフィックを単に拒否しているようです。
免責事項: 私は、Windows 7 ボックスでサブネット化やファイル共有の実行を選択しませんでした。どちらも私が登場する前のものであり、現時点では変更できません。それぞれが愚かで悪いものであることは承知していますが、どうかそれらを無視してください。ありがとうございます。
答え1
あなたはもちろんWindowsファイアウォール(および他のファイアウォールがある場合はすべて)は正しく設定されていますか?オフになっているとおっしゃっていますが、それ自体はよくありません。全てインターフェイスについては、Win 7 PC の Windows ファイアウォール コントロール パネル画面のスクリーンショットを投稿してください。
Windows ファイアウォールは、デフォルトでローカル サブネットの外部からのファイル共有要求をブロックします (ping はファイル共有プロトコルと見なされます...)。問題はまさにこれか、ルーティングの問題のようです (ただし、ping が逆方向に動作していることから、これはありそうにありません)。
サブネットのみの設定の存在とその変更方法は、Windows ファイアウォールの設定では特に明らかではありません。コントロール パネルから、または wf.msc を直接実行して詳細設定に移動し、[スコープ] タブのすべての受信ファイルとプリンターの共有ルールが「ローカル サブネット」に制限されていないことを確認する必要があります。