我们安装了 Sonicwall TZ 防火墙并配置了 L2TP/Ipsec VPN。
SonicWall 连接到子网 192.168.168.0/30 上的内部路由器,其中 SonicWall 位于 192.168.168.1 上,内部路由器(Dreytek Vigor)位于 192.168.168.2 上
VPN 客户端被分配到 L2TP 范围 10.10.20.10 - 10.10.20.49
最后,Dreytek 上有一个内部子网 192.168.100.0/24,其 DNS 和 DHCP 服务器位于 192.168.100.63。
我在让 VPN 客户端访问 192.168.100.0/24 子网时遇到了很多麻烦。我在 SonicWall 上设置了一条静态路由,网关为 192.168.168.2。我还在 Dreytek 上设置了一条静态路由,将 VPN 子网 10.10.20.0/24 指向 192.168.168.1 网关。
我可以成功 ping 通 VPN 客户端(例如 10.10.20.11)并从内部子网内访问 VPN 客户端上的共享网络资源,但就我而言,我无法从 VPN 客户端访问 192.168.100.0 范围内的任何内容。
我不确定我是否遗漏了有关路由的某些内容,或者我是否需要在路由器上开放权限?我尝试在 VPN 客户端上添加静态路由,但没有任何效果。我还在 SonicWall 上设置了我认为正确的访问规则(允许、VPN -> LAN、任何来源 -> 192.168.100.0),但仍然没有任何效果。
知道我遗漏了什么吗?
答案1
确保在 sonicwall 的 VPN 用户配置中允许那些用户访问 192.168.100.X 网络。
通过添加防火墙规则,您做得正确,但您也有 VPN 策略。
默认情况下,sonicwall 不会允许 vpn 用户进行任何操作,但如果您选择“所有防火墙子网”,draytek 范围可能不在该安全组中,因此请将您的 draytek 范围添加到用户。
答案2
谢谢大家的帮助,结果发现是访问规则的问题(尽管我的规则允许 vpn 流量,但优先级较高的规则阻止了入站 wan 流量)。
对于其他遇到困难的人来说,防火墙上的数据包监视器可以帮助你找到问题的根源,所以我建议你使用它来调试连接