我们收购了一家使用 Sonicwall PRO 1260 防火墙的小公司,我已配置从 Sonciwall 到我们的 Cisco ASA 防火墙的站点到站点 VPN 隧道。在 Cisco ASA 防火墙后面,我有 8 个不同的子网。我已将 Sonicwall 上的 VPN 连接配置为使用包含所有必需子网的地址对象组。
从 Sonicwall 到 Cisco ASA 的 VPN 隧道建立良好,并且我从远程站点到“子网 1”具有完全连接。从“子网 2”(以及所有其他子网),唯一到达远程网络的流量是 ICMP(ping)、http 和 https。
我知道这听起来像是“访问规则”,但我花了几个小时仔细研究 Sonicwall,却找不到任何访问规则会导致除上述服务之外的所有流量被阻止。Sonicwall 会自动从 LAN > VPN 和 VPN > LAN 创建访问规则,这些规则规定“始终允许任何主机、任何服务” - 这些规则无法修改、删除或停用(只能通过删除 VPN 来实现)。
我为其他 5 个远程站点使用站点到站点 VPN 设置了完全相同的配置,连接到同一个 Cisco ASA,一切正常,但是这些站点使用的是 Fortigate 防火墙,所以我确信这与 Sonicwall 有关。
问题 1:有人遇到过同样的问题吗?您是如何解决的?
问题 2:我需要通过 Sonicwall 上的 CLI 运行什么命令才能获得正在运行的配置的全文输出?
在此先感谢您的帮助。
答案1
您是否在 Sonicwall 网络对象配置中将每个相关子网定义为 VPN 子网?如果您将它们归类为 LAN 或 WAN,那么即使您在 VPN 隧道中定义了它们,您的“LAN 到 VPN”规则也不会适用于它们。我不确定这是否适用于您拥有的型号(我们的是 TZ17/8/90 和 3060s,但如果它运行的是 SonicOS,我认为它适用)
答案2
感谢 Kevin 的评论,我曾想过这一点,但实际上使用子网的地址对象进行了测试,该子网通过依次将对象分类为 LAN 或 WAN 或 VPN 对象来工作,但这并没有什么区别,它在所有情况下都有效。似乎自动添加的站点到站点 VPN 的 VPN 规则忽略了您手动将对象分类为什么。
长话短说,这次测试让我越来越怀疑 Sonicwall 是否真的是问题所在——最终发现不是。经过很长时间,另一端的 Cisco ASA 由托管服务管理,因此不受我的控制。查看 ASA 的配置后,我们发现为 VPN 连接另一端添加规则的天才将访问规则放在了“全部拒绝”规则之后。将访问规则移到全部拒绝规则之前立即解决了问题。