我們收購了一家使用 Sonicwall PRO 1260 防火牆的小公司,我配置了從 Sonciwall 到我們的 Cisco ASA 防火牆的站點到站點 VPN 隧道。在 Cisco ASA 防火牆後面有 8 個不同的子網路。我已在 Sonicwall 上設定 VPN 連線以使用包含所有必需子網路的位址物件群組。
從 Sonicwall 到 Cisco ASA 的 VPN 隧道建立良好,並且我具有從遠端站台到「子網路 1」的完整連線。從「子網路 2」(以及所有其他子網路),到達遠端網路的唯一流量是 ICMP (ping)、http 和 https。
我知道這就是“訪問規則”,但我花了幾個小時在 Sonicwall 上搜索,找不到任何訪問規則會導致除上述服務之外的所有流量被阻止。 Sonicwall 會自動從 LAN > VPN 和 VPN > LAN 建立存取規則,表示「始終允許任何主機、任何服務」 - 這些規則無法修改、刪除或停用(只能透過刪除 VPN 來實現)。
我對其他 5 個使用站點到站點 VPN 的遠端站點進行了完全相同的配置設置,連接到相同的 Cisco ASA,一切正常,但這些站點使用 Fortigate 防火牆,所以我確信這與 Sonicwall 有關。
問題1:有沒有人遇到同樣的問題,你是如何解決的?
問題 2:我需要透過 Sonicwall 上的 CLI 執行什麼命令才能取得運行配置的全文輸出?
預先感謝您的任何幫助。
答案1
您是否已在 Sonicwall 網路物件配置中將每個相關子網路定義為 VPN 子網路?如果您將它們分類為 LAN 或 WAN,那麼即使您在 VPN 隧道中定義了它們,您的「LAN 到 VPN」規則也不會套用到它們。我不確定這是否適用於您擁有的型號(我們的是 TZ17/8/90 和 3060s,但如果它運行 SonicOS,我認為它適用)
答案2
感謝凱文的評論,我曾想到過這一點,但實際上使用子網的地址對象進行了測試,該子網通過依次將對象分類為LAN 或WAN 或VPN 對象來工作,但這沒有什麼區別,它在所有情況下都有效。網站到網站 VPN 的自動新增 VPN 規則似乎忽略了您手動將物件分類為的內容。
長話短說,這次測試讓我越來越懷疑 Sonicwall 是否真的是問題所在 - 最終它不是。畢竟另一端的 Cisco ASA 由託管服務管理,因此不受我的控制。查看 ASA 的設定後,我們發現為 VPN 連線另一端新增規則的天才在「拒絕全部」規則之後放置了存取規則。將存取規則移到拒絕所有規則之前立即解決了問題。