我有一位用户通过 VPN(站点 A)访问 Sonicwall NSA 2400。此 Sonicwall 有一个通往另一个站点(站点 B)的 VPN 隧道。用户可以 ping 站点 B 上的服务器,并访问位于这些服务器上的网站等。站点 A 物理 LAN 上的人员可以 ping 和 telnet 到 VPN 用户。但是,问题是位于站点 B 的服务器无法联系 VPN 用户。他们可以联系 LAN 上的任何计算机,但不能联系 VPN 用户。我已经进行了数据包捕获,每当我从站点 B 的服务器 ping VPN 用户时,数据包都会在防火墙上“消耗”。我对网络概念很了解,但这让我很困惑。
答案1
造成这种情况的原因可能有很多。
- 路由如果 Sonicwall 对从站点 A 到站点 B 的任何流量执行 SNAT(可能是由于子网重叠),那么从 VPN 用户到 B 服务器的流量将有效,反向流量也将有效,因为原始地址已被 Sonicwall 的地址替换为 SNAT,后者也执行反向转换。但是,如果站点 B 上的服务器不知道将 VPN 用户的流量路由到哪里,流量将通过默认网关出去,因此永远不会到达 VPN 用户。请记住:VPN 用户的 IP 地址通常位于与站点 A 上使用的子网截然不同的子网中,因此 VPN 路由器可以将数据包路由到各个客户端。
- 防火墙您的防火墙可能有规则允许新数据包(处于新状态)从站点 A 传输到站点 B,但不允许反向传输。这也可以解释您的情况。
- VPN 配置更多的是理论上的问题。某些 VPN 可以配置为无法从目标 LAN 访问 VPN 客户端。由于您说站点 A 上的人员可以访问 VPN 用户,因此这似乎不是问题。
我建议您发布您的防火墙规则和路由表,然后我们可以检查并提供进一步的建议。