Portanto, temos dois escritórios conectados via Sonicwall IKE VPN:
- QG é 10.42.0.0/16
- Remoto é 10.63.0.0/16
Há um compartilhamento de arquivos MS em uma caixa do Windows 7 Pro em HQ, 10.42.3.203, e as máquinas no escritório remoto precisam acessá-lo. Ambos os firewalls têm regras de “permissão de qualquer para qualquer” para o tráfego entre as duas redes e nenhuma regra de negação que se aplicaria ao tráfego.
Abaixo está uma transcrição tshark de alguém no escritório remoto tentando acessar o compartilhamento no HQ. A máquina que o executa escuta em uma porta de uplink espelhada atrás do firewall HQ.
414.411940 10.63.3.39 -> 10.42.3.203 TCP 66 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.518100 10.63.3.39 -> 10.42.3.203 TCP 66 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK
415.519325 10.63.3.39 -> 10.42.3.203 TCP 66 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
417.429670 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
418.516965 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
418.516969 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
423.421594 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55628 > microsoft-ds [SYN] Seq=0 Win=65535 Len=
424.525998 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55636 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
424.526002 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55635 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0
436.553750 10.63.3.39 -> 10.42.3.203 NBNS 92 Name query NBSTAT *<00><00><00><00><00><00><00><00><00><00><00><00>
436.554051 10.42.3.203 -> 10.63.3.39 NBNS 217 Name query response NBSTAT
436.603070 10.63.3.39 -> 10.42.3.203 TCP 66 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=256 SACK_
439.614949 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
445.600591 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Retransmission] 55690 > netbios-ssn [SYN] Seq=0 Win=8192 Len=0
457.620875 10.63.3.39 -> 10.42.3.203 TCP 66 55734 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
457.621149 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.159020 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.159258 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.689704 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Port numbers reused] 55734 > http [SYN] Seq=0 Win=8192 Len=0 MS
458.690002 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55734 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
458.725494 10.63.3.39 -> 10.42.3.203 TCP 66 55736 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1398 WS=4 SACK_PERM=1
458.725696 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.260930 10.63.3.39 -> 10.42.3.203 TCP 66 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.261180 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
459.795362 10.63.3.39 -> 10.42.3.203 TCP 62 [TCP Port numbers reused] 55736 > http [SYN] Seq=0 Win=8192 Len=0 MS
459.795640 10.42.3.203 -> 10.63.3.39 TCP 60 http > 55736 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Ele apenas parece ignorar os pacotes até a consulta NBNS à qual ele responde e, em seguida, ignora ou RSTs alternadamente quaisquer outros pacotes.
Ele também faz uma coisa divertida onde o ping funciona de uma maneira, mas não de outra:
29.683073 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=36/9216, ttl=128
29.688421 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=36/9216, ttl=128
30.758418 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=37/9472, ttl=128
30.764715 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=37/9472, ttl=128
31.759546 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=38/9728, ttl=128
31.764583 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=38/9728, ttl=128
32.760653 10.42.3.203 -> 10.63.3.39 ICMP 74 Echo (ping) request id=0x0001, seq=39/9984, ttl=128
32.766173 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) reply id=0x0001, seq=39/9984, ttl=128
45.221105 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4217/30992, ttl=128
49.749227 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4218/31248, ttl=128
54.747578 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4219/31504, ttl=128
59.754256 10.63.3.39 -> 10.42.3.203 ICMP 74 Echo (ping) request id=0x0001, seq=4220/31760, ttl=128
O firewall do Windows não está habilitado na máquina e todas as máquinas dentro do HQ podem acessá-lo perfeitamente. Existe um servidor Samba em outro lugar da rede que também funciona bem em todos os escritórios. É como se essas máquinas Windows estivessem simplesmente recusando tráfego de coisas que não estão em sua sub-rede.
Isenção de responsabilidade: não escolhi a sub-rede nem a execução de um compartilhamento de arquivos em uma caixa do Windows 7. Ambos estão antes do meu tempo e não posso mudar isso neste momento. Eu sei que eles são burros/ruins respectivamente, por favor, tente ignorar eles. Obrigado.
Responder1
Você éclaroO Firewall do Windows (e todos os outros firewalls, se houver) estão configurados corretamente? Você diz que está errado, mas isso é uma péssima ideia por si só. Para confirmar que está devidamente desligado portodosinterfaces, você pode postar uma captura de tela da tela do painel de controle do Firewall do Windows do PC Win 7.
Por padrão, o Firewall do Windows bloqueará solicitações de compartilhamento de arquivos de fora da sub-rede local (e o ping é considerado um protocolo de compartilhamento de arquivos...), e seu problema parece exatamente assim ou um problema de roteamento (mas os pings funcionam de outra maneira rodada sugere que isso não é provável).
A existência da configuração somente sub-rede, bem como a forma de alterá-la, não é particularmente óbvia nas configurações do Firewall do Windows. Você deve acessar Configurações avançadas por meio do painel de controle ou executando diretamente wf.msc e garantir que todas as regras de compartilhamento de arquivos e impressoras de entrada, na guia Escopo, não estejam limitadas à "Sub-rede local".