在彻底改造 LAN 之前,我正在家中对 PaloAlto PA-440 防火墙进行初始设置,但无法让 FW 访问互联网来下载许可证和更新。我应该在 PA FW 上查看/更改什么才能解决这个问题?
这是我的设置:
[LAN1] [LAN2] [LAN3]
G/W:192.168.254.254/24 G/W:10.0.1.1/24 G/W:10.0.0.1/24
Internet -> Arris cable modem (NAT) -> Synology Router (NAT) -> PA FW (NAT) -> Mgmt IF
MOCA device 1 NAS rPi
MOCA device 2 PCs
IoT
LAN3 设备:
- 可以 ping LAN2 上的设备
- 可以解析互联网网站的 DNS
- 无法 ping LAN1 上的设备
- 无法在 LAN1 和 Internet 上打开网站
LAN2 工作正常并从 PA FW 和 LAN1 设备获得 ping 回复;可以在 LAN1 上访问互联网和管理 GUI。
LAN 1 和 LAN 2 是消费级产品,具有标准 NAT 和 DHCP 设置,包括每个下游网关的 DHCP 预留。LAN3 是 PA 防火墙,在 SOURCE 上设置了动态 IP 和端口 NAT。目前,我有一个广泛的策略,允许从内部到外部区域的所有流量。日志表明 PA FW 规则正在匹配并允许出站流量,但会话结束已过期或不适用。
我即将在 LAN2 和 LAN3 上启动数据包捕获,看看能找到什么。TIA
*警告 - 由于 MOCA 设备,我无法将电缆调制解调器更改为桥接模式,并且不想将 Synology 更改为桥接模式,因为它和 NAS 具有需要移植到 PA FW 的自定义设置...一旦它更新并运行。
答案1
事实证明,虽然 PA FW 在外部接口上具有正确的 IP 地址,以及允许出站流量的适当的区域和策略,但我忽略了默认静态路由和管理接口都需要更新以反映 Synology IP 地址(10.0.1.1)分别作为“下一跳”和网关。
感谢 networkengineering.stackexchange.com 的用户 @FrameHowitzer 为我指明正确的方向。
(发布于此以供将来参考。)