TL;DR Sonicwall TZ200 系列是否可以将端口转发到不在本地内部子网上的主机?如果可以,该主机是否可以通过 VPN 隧道访问,并以 Sonicwall 为端点?
我们在远程(第三方)站点上运行了一个应用程序,我们希望该应用程序可以从办公室网络之外使用。设置对该站点的直接访问可能是可行的,但出于一些原因,如果可能的话,我们希望通过主办公室站点传输该流量。站点之间有一个始终处于开启状态的 IPSEC VPN,所涉及的系统都是基于 Windows 的服务器。第三方路由器是 Cisco/Linksys RVxxx。
我知道我可能可以从内部 Linux 机器上做一些涉及 SSH 隧道的 Rube Goldberg 式的事情,但在做任何类似的事情之前,我要么忍受并重新定位服务器,要么在第三方网站上打开它。
基本上我想知道的是
- 是否可以?
- 是吗可行的- 维护噩梦、神秘的连接和不稳定性都会成为问题,即使我记录了一个晦涩难懂的配置(参见上面的 SSH),也没有人会阅读文档。
- 如果既可行又可行,我应该如何设置?我想我会处理 NAT 和访问规则,还有其他吗?我的 VPN 经验通常是在可配置性比 Sonicwalls 更低的路由器上使用站点到站点隧道。
- 存在哪些问题(例如,有人在使用 ABC 路由时遇到的欺骗检测丢包问题)?
这个问题类似于客户端通过VPN隧道跨地访问,但我发现该问题的唯一答案并不是特别有用,而且在这种情况下我并不关心 DNS 和 WINS。
答案1
事实上,这既是可能的也是可行的。下面是我如何设置 OWA 访问目前托管但最终将转移到现场的 Exchange 服务器。端口 443 已被使用,因此这还涉及将 Exchange 2007 的 OWA 转移到 40443 上响应。我原本计划也从 40443(在现实世界中)重新映射到 443(内部和通过 VPN),但决定这只是自找麻烦。
在网络/地址对象区域中,为特定远程机器定义一个地址对象,RemoteExchange
作为区域中的地址10.11.12.13/255.255.255.255
对象。Host
VPN
在网络/服务区域中,将服务定义RemoteOWA40443
为 ,TCP
其起始和结束端口为40443
。
在网络/NAT策略区域,创建了一项策略
- 来源
- 原来的:
Any
- 翻译:
Original
- 目的地
- 原来的:
WAN Primary IP
- 翻译:
RemoteExchange
- 服务
- 原来的:
RemoteOWA40443
- 翻译:
Original
- 界面
- 入站:
Any
- 出站:
Any
在防火墙/访问规则中,添加了允许规则
- 来自区域:
WAN
- 至区域:(
VPN
我们正在使用 IPSEC,对于其他站点这可能是 SSLVPN) - 服务:
RemoteOWA40443
- 来源:
Any
- 目的地:
Any
- 允许的用户:(由您决定)
- 时间安排:(由您决定)
- 评论:(
Redirect Exchange OWA from our address to hosted server
真的,使用这些评论字段 - 当您审查和维护时,您会感谢自己) - 启用日志记录:(
Checked
我最初添加了All Zones
用于发件人和收件人的多个规则,然后在测试后删除了没有流量的规则)。
在 Exchange 端,这需要在默认网站的 IIS 管理属性中更改其所监听的 SSL 端口,设置 Outlook Anywhere 的外部主机名,并设置 OWA 的外部 URL 以包含:40443
.