우리는 Sonicwall PRO 1260 방화벽을 사용하는 소규모 회사를 인수했으며 Sonciwall에서 Cisco ASA 방화벽까지 사이트 간 VPN 터널을 구성했습니다. Cisco ASA 방화벽 뒤에는 8개의 서로 다른 서브넷이 있습니다. 필요한 모든 서브넷이 포함된 주소 개체 그룹을 사용하도록 Sonicwall에서 VPN 연결을 구성했습니다.
Sonicwall에서 Cisco ASA로의 VPN 터널이 제대로 설정되었으며 원격 사이트에서 '서브넷 1'까지 완전히 연결되어 있습니다. '서브넷 2'(및 기타 모든 것)에서 원격 네트워크를 통과하는 유일한 트래픽은 ICMP(ping), http 및 https입니다.
나는 이것이 '액세스 규칙'을 비명을 지르는 것을 알고 있지만 Sonicwall을 뒤지는 데 몇 시간을 보냈으며 위에 언급된 서비스를 제외한 모든 트래픽을 차단하는 액세스 규칙을 찾을 수 없습니다. Sonicwall은 LAN > VPN 및 VPN > LAN에서 '항상 모든 호스트, 모든 서비스 허용'이라는 액세스 규칙을 자동으로 생성합니다. 이러한 규칙은 수정, 삭제 또는 비활성화할 수 없습니다(VPN을 제거해야만 가능).
사이트 간 VPN을 사용하여 동일한 Cisco ASA에 연결하고 모든 것이 잘 작동하는 5개의 다른 원격 사이트에 대해 정확히 동일한 구성 설정이 있지만 해당 사이트는 Fortigate 방화벽을 사용하므로 이것이 Sonicwall과 관련이 있다고 확신합니다.
질문 1: 혹시 같은 문제를 겪으신 분 계시나요? 어떻게 해결하셨나요?
질문 2: 실행 중인 구성의 전체 텍스트 출력을 얻으려면 Sonicwall에서 CLI를 통해 어떤 명령을 실행해야 합니까?
도움을 주셔서 미리 감사드립니다.
답변1
문제의 각 서브넷이 Sonicwall 네트워크 개체 구성에서 VPN 서브넷으로 정의되어 있습니까? LAN 또는 WAN으로 분류된 경우 VPN 터널에 정의했더라도 "LAN-VPN" 규칙은 적용되지 않습니다. 이것이 귀하의 모델에 적용되는지 확실하지 않습니다(저희 제품은 TZ17/8/90 및 3060s이지만 SonicOS를 실행하는 경우에는 적용되는 것 같습니다).
답변2
의견을 보내주셔서 감사합니다 Kevin, 저는 이것을 생각했지만 개체를 차례로 LAN, WAN 또는 VPN 개체로 분류하여 작동하는 서브넷에 대한 주소 개체를 사용하여 실제로 테스트했지만 아무런 차이가 없었으며 모든 경우에 작동했습니다. 사이트 간 VPN에 자동 추가된 VPN 규칙은 개체를 수동으로 분류한 항목을 무시하는 것 같습니다.
간단히 말해서, 이 테스트를 통해 Sonicwall이 실제로 문제인지에 대한 의문이 점점 더 커졌습니다. 결국에는 문제가 아니었습니다. 결국 상대방의 Cisco ASA는 호스팅 서비스에 의해 관리되므로 내 통제가 불가능합니다. ASA의 구성을 살펴본 후 우리는 VPN 연결의 반대쪽에 규칙을 추가한 천재가 '모두 거부' 규칙 뒤에 액세스 규칙을 배치했다는 것을 발견했습니다. 모두 거부 규칙보다 먼저 액세스 규칙을 이동하면 문제가 즉시 해결되었습니다.