我有一台运行固件 6.5.4.4-44n 的 Sonicwall,并且有一个标准 VPN(不是 SSL-VPN)设置,我通过适用于 Windows 的 Global VPN Client 连接到它。WAN 组 VPN 设置为“拆分隧道”,并且我未选中“将默认网关设置为此网关”和“应用 VPN 控制列表”(选中其中任何一个似乎都不会对行为产生影响)
我想要实现的是,连接到 VPN 的用户可以通过 VPN 访问“X0 子网”(定义为 10.0.0.0/255.255.255.0 的对象),并通过他们自己的外部连接访问互联网的其余部分(而不是通过 VPN 路由互联网流量)。
我发现我的用户可以:
- 如果我将用户“VPN 访问”设置为“X0 子网”,则可以访问互联网,但不能访问 LAN
- 如果我将用户“VPN 访问”设置为“WAN 远程访问网络”(定义为 0.0.0.0/0.0.0.0),则可以访问 LAN,但不能访问互联网
也许我不明白“VPN 访问”是什么意思,但这似乎与我预期的行为相反。(授予“X0 子网”访问权限会导致用户无法访问“X0 子网”)。过去两天,我一直在尝试不同的配置并关注各种互联网帖子,但没有任何进展。有人知道这里发生了什么吗?
访问列表中有“LAN 网络”,这是我的客户端路由图。我的(非 VPN 客户端网络是 10.0.2.0/24。我尝试访问的远程网络是 10.0.0.0/24,位于“LAN 子网”列表中)
route print
===========================================================================
Interface List
7...00 60 73 0e 22 ad ......SonicWALL Virtual NIC
5...08 00 27 be f3 85 ......Intel(R) PRO/1000 MT Desktop Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 25
10.0.0.0 255.255.255.0 On-link 10.0.0.213 257
10.0.0.213 255.255.255.255 On-link 10.0.0.213 257
10.0.0.255 255.255.255.255 On-link 10.0.0.213 257
10.0.2.0 255.255.255.0 On-link 10.0.2.15 281
10.0.2.15 255.255.255.255 On-link 10.0.2.15 281
10.0.2.255 255.255.255.255 On-link 10.0.2.15 281
33.33.171.50 255.255.255.255 10.0.2.2 10.0.2.15 25
33.33.171.50 255.255.255.255 On-link 10.0.0.213 2
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.0.2.15 281
224.0.0.0 240.0.0.0 On-link 10.0.0.213 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.0.2.15 281
255.255.255.255 255.255.255.255 On-link 10.0.0.213 257
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
5 281 fe80::/64 On-link
7 281 fe80::/64 On-link
7 281 fe80::6520:9f25:dd7:33ee/128
On-link
5 281 fe80::bd8b:6045:f79a:1ff9/128
On-link
1 331 ff00::/8 On-link
5 281 ff00::/8 On-link
7 281 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
提前致谢
答案1
当您使用拆分隧道时,您需要定义哪些路由要通过 VPN。因此,当添加“WAN 远程访问网络”时,您有点模拟 VPN 以成为完整隧道。我猜当您只有“X0 子网”时,客户端中缺少一条路由。尝试连接到 VPN 并检查创建的路由(路线打印) 从命令行。作为替代方案,您可以尝试添加“LAN Subnets”而不是“X0 Subnet”。如需故障排除,请查看您的访问规则和路由表。Packet Monitor 也是一个查看网络数据包的好工具。
https://www.sonicwall.com/support/technical-documentation/sonicos-6-5-investigate.pdf
享受 :)
答案2
您通过在 VPN 配置的访问列表中使用允许 X0 子网来做正确的事情,但 Sonicwall 也强迫您制定防火墙规则以仅允许您要允许的服务。它位于防火墙部分下,然后选择 VPN > X0 接口名称。
像下面一样,这是一个开放的规则,但你可以只限制你想要的服务。我假设你的 X0 是你的 LAN,但这只是为了举个例子。
答案3
在我的情况下,我在全隧道(全隧道)模式下使用 SSL VPN,结果,我通过联系 SonicWall 确认,我的拆分隧道 GVPN 客户端的度量设置为 2,并且您确实无法使用 SSL 全隧道操作 GVPN 拆分...所以我只是将 GVPN 设置为全隧道模式,问题就解决了。我们还使用不属于 LDAP / SSLVPN 组的本地用户帐户对其进行了测试,但情况相同。我计划将其作为功能请求报告给 SonicWALL 社区。