Adquirimos uma pequena empresa que usa um firewall Sonicwall PRO 1260 e configurei um túnel VPN site a site do Sonciwall para nosso firewall Cisco ASA. Atrás do firewall Cisco ASA tenho 8 sub-redes diferentes. Configurei a conexão VPN no Sonicwall para usar um grupo de objetos de endereço que contém todas as sub-redes necessárias.
O túnel VPN do Sonicwall para o Cisco ASA é bem estabelecido e tenho conectividade total do site remoto para a 'sub-rede 1'. Da 'sub-rede 2' (e de todas as outras), o único tráfego que chega à rede remota é ICMP (ping), http e https.
Eu sei que isso significa 'regras de acesso', mas passei horas examinando o Sonicwall e não consigo encontrar nenhuma regra de acesso que pudesse bloquear todo o tráfego, exceto os serviços mencionados acima. O Sonicwall cria automaticamente regras de acesso de LAN > VPN e VPN > LAN que dizem 'permitir qualquer host, qualquer serviço, o tempo todo' - essas regras não podem ser modificadas, excluídas ou desativadas (apenas removendo a VPN).
Eu tenho exatamente a mesma configuração para 5 outros sites remotos usando VPN site a site, conectando-me ao mesmo Cisco ASA e tudo funciona bem, no entanto, esses sites estão usando firewalls Fortigate, então tenho certeza de que isso está relacionado ao Sonicwall.
Pergunta 1: Alguém passou pelo mesmo problema e como você o resolveu?
Pergunta 2: Qual comando preciso executar via CLI no Sonicwall para obter uma saída de texto completo da configuração em execução?
Agradecemos antecipadamente por qualquer ajuda.
Responder1
Você tem cada uma das sub-redes em questão definidas como sub-redes VPN na configuração do objeto de rede Sonicwall? Se você os classificou como LAN ou WAN, suas regras "LAN para VPN" não se aplicarão a eles, mesmo que você os tenha definido no túnel VPN. Não tenho certeza se isso se aplica ao modelo que você tem (os nossos são TZ17/8/90 e 3060s, mas se estiver rodando o SonicOS, acho que sim)
Responder2
Obrigado pelos comentários Kevin, eu tinha pensado nisso, mas na verdade testei usando o objeto de endereço para a sub-rede que estava funcionando classificando o objeto como um objeto LAN ou WAN ou VPN, mas não fez diferença, funcionou em todos os casos. Parece que as regras de VPN adicionadas automaticamente para VPN site a site desconsideram como você classifica manualmente o objeto.
Resumindo, esses testes me levaram a questionar cada vez mais se o Sonicwall era realmente o problema – no final, não era. Depois de muito o Cisco ASA do outro lado é gerenciado por um serviço de hospedagem e, portanto, está fora do meu controle. Depois de analisar a configuração do ASA, descobrimos que o gênio que adicionou as regras para a outra extremidade da conexão VPN colocou uma regra de acesso após uma regra de ‘negar tudo’. Mover a regra de acesso para frente da regra negar tudo resolveu o problema imediatamente.