是否可以通过 VPN 隧道从 Sonicwall(TZ200 系列)WAN 端进行端口转发?(答案:是)

是否可以通过 VPN 隧道从 Sonicwall(TZ200 系列)WAN 端进行端口转发?(答案:是)

TL;DR Sonicwall TZ200 系列是否可以将端口转发到不在本地内部子网上的主机?如果可以,该主机是否可以通过 VPN 隧道访问,并以 Sonicwall 为端点?

我们在远程(第三方)站点上运行了一个应用程序,我们希望该应用程序可以从办公室网络之外使用。设置对该站点的直接访问可能是可行的,但出于一些原因,如果可能的话,我们希望通过主办公室站点传输该流量。站点之间有一个始终处于开启状态的 IPSEC VPN,所涉及的系统都是基于 Windows 的服务器。第三方路由器是 Cisco/Linksys RVxxx。

我知道我可能可以从内部 Linux 机器上做一些涉及 SSH 隧道的 Rube Goldberg 式的事情,但在做任何类似的事情之前,我要么忍受并重新定位服务器,要么在第三方网站上打开它。

基本上我想知道的是

  1. 是否可以?
  2. 是吗可行的- 维护噩梦、神秘的连接和不稳定性都会成为问题,即使我记录了一个晦涩难懂的配置(参见上面的 SSH),也没有人会阅读文档。
  3. 如果既可行又可行,我应该如何设置?我想我会处理 NAT 和访问规则,还有其他吗?我的 VPN 经验通常是在可配置性比 Sonicwalls 更低的路由器上使用站点到站点隧道。
  4. 存在哪些问题(例如,有人在使用 ABC 路由时遇到的欺骗检测丢包问题)?

这个问题类似于客户端通过VPN隧道跨地访问,但我发现该问题的唯一答案并不是特别有用,而且在这种情况下我并不关心 DNS 和 WINS。

答案1

事实上,这既是可能的也是可行的。下面是我如何设置 OWA 访问目前托管但最终将转移到现场的 Exchange 服务器。端口 443 已被使用,因此这还涉及将 Exchange 2007 的 OWA 转移到 40443 上响应。我原本计划也从 40443(在现实世界中)重新映射到 443(内部和通过 VPN),但决定这只是自找麻烦。

在网络/地址对象区域中,为特定远程机器定义一个地址对象,RemoteExchange作为区域中的地址10.11.12.13/255.255.255.255对象。HostVPN

在网络/服务区域中,将服务定义RemoteOWA40443为 ,TCP其起始和结束端口为40443

在网络/NAT策略区域,创建了一项策略

  • 来源
    • 原来的:Any
    • 翻译:Original
  • 目的地
    • 原来的:WAN Primary IP
    • 翻译:RemoteExchange
  • 服务
    • 原来的:RemoteOWA40443
    • 翻译:Original
  • 界面
    • 入站:Any
    • 出站:Any

在防火墙/访问规则中,添加了允许规则

  • 来自区域:WAN
  • 至区域:(VPN我们正在使用 IPSEC,对于其他站点这可能是 SSLVPN)
  • 服务:RemoteOWA40443
  • 来源:Any
  • 目的地:Any
  • 允许的用户:(由您决定)
  • 时间安排:(由您决定)
  • 评论:(Redirect Exchange OWA from our address to hosted server真的,使用这些评论字段 - 当您审查和维护时,您会感谢自己)
  • 启用日志记录:(Checked我最初添加了All Zones用于发件人和收件人的多个规则,然后在测试后删除了没有流量的规则)。

在 Exchange 端,这需要在默认网站的 IIS 管理属性中更改其所监听的 SSL 端口,设置 Outlook Anywhere 的外部主机名,并设置 OWA 的外部 URL 以包含:40443.

相关内容