我的公司网络运行在 SonicWall NSA 220 后面。我们有一个有线内部网络,其中包含工作站和文件服务器,但所有 WLAN 都在 DMZ 上,以允许客人使用它但无法访问好东西。
WLAN 区域不是内置区域,因为内置区域需要 Dlink 接入点。因此,就 SonicWall 所知,VPN 用户只是其自身网络端口上的另一个 DMZ。
我们设置了 L2TP VPN,从外部连接时运行良好。
我的问题是 WLAN 上的用户无法连接到 VPN。会议室等地方的笔记本电脑需要 VPN,但当我们尝试使用与同一用户在家中的 WLAN 上相同的设置进行拨号时,什么也没有发生。
在我们以前的防火墙 ZyXEL USG 上使用相同的接入点,相同的连接可以完美运行。
我尝试过允许从 WLAN DMZ 到公共网关地址的各种访问,甚至临时允许直接从 DMZ 到 LAN,但在每种情况下,VPN 连接尝试似乎都无法到达目标。当有人从家里连接时,SonicWall 日志会包含大量信息,从 IKE 开始——但当尝试从 WLAN 连接时,日志中完全没有关于此的信息。
WLAN 可以直接完全访问 LAN 上的单个服务器以及另一个 DMZ,因此我认为不太可能是普通的防火墙问题。另一方面,日志没有记录这一事实听起来像是防火墙断开了连接。
我已经为 WLAN DMZ 设置了 GroupVPN 策略,它使用与 WAN GroupVPN 策略完全相同的设置。
LAN、VPN和WLAN DMZ IP当然是三个不同的子网。
有任何想法吗?
答案1
如果其他人遇到这种情况,解决方案很简单,但是当您习惯使用另一个工作方式略有不同的防火墙时,它会变得不直观:客户端配置文件的 VPN 连接地址必须是 DMZ 的内部网关地址,而不是用于 WAN VPN 的地址。
这意味着要么需要两个不同的 VPN 连接,要么 DMZ 上的设备必须有自己的 DNS 服务器,当从 DMZ 内部请求 VPN 的 FQDN 时,该服务器返回 DMZ 的网关地址(对于漫游用户来说更容易)。
可能还有第三种可能性,即创建一个环回规则,捕获从 DMZ 到外部 VPN 地址的请求并将其路由回内部网关,但我还没有测试过。