我与供应商建立了站点到站点 VPN。假设隧道端点在我这边是 192.1.1.101,在供应商那边是 192.1.2.0/24(通过 NAT 连接到他们的 LAN 10.xxx)。这运行正常,我有一台 SonicWall,并且设置了 VPN 策略,因此从我这边到 192.1.2.x 的流量会通过他们的 VPN 到达正确的主机。
问题是我有一个(旧的、不可修改的)应用程序试图连接到他们网络上的 10.0.0.10。如果我能让它像 192.1.2.10 一样通过 VPN,那么它就会到达正确的目的地。供应商不愿意将 10.0.0.10 添加为隧道端点。
我尝试使用 NAT 策略将发往 10.0.0.10 的流量转换为 192.1.2.10,但我认为这也不会通过 VPN 发送,因为 NAT 是在流量离开防火墙时以及在触发 VPN 路由规则之后应用于流量的。基本上,我想将任何流量带到 10.0.0.10,将其目的地更改为 192.1.0.10,然后通过 192.1.0.10 的 VPN 隧道发送。我不是防火墙配置专家,有人能给我指点一下吗?
答案1
除了对流量进行 NAT 处理之外,您是否将其环回 LAN?您可以尝试使用环回连接效果会更好。之后它应该会被路由到您的 VPN。
答案2
我认为 NAT 规则重写目的地是一个好的开始。说实话,我以为这就足够了。你确定流量确实击中了你的防火墙吗?我假设你没有这些数据包要去的本地 10.xxx 网络。
可以尝试的其他方法可能是手动路由策略。您可以通过 VPN 隧道接口发送所有 10.xxx 流量。此外,尝试将 VPN 设置为该 NAT 规则的出口接口。
答案3
正确的方法是将 10.0.0.10/32 网络完全添加到隧道上,从而只允许该远程端点。
根据 NATing,区域间 SonicWall 可以看到源 IP,该源来自 VPN IP,远程管理员需要制定允许该流量的规则。
SonicOS 具有强大的允许/阻止规则,因此即使远程管理员添加了规则,他也只能允许允许主机中的旧服务器与 10.0.0.10 通信,并且默认情况下所有内容都被阻止,所以这是确保安全的最佳方式。