我们收购了一家使用 Sonicwall PRO 1260 防火墙的小公司,我已经配置了从 Sonciwall 到我们的 Cisco ASA 防火墙的站点到站点 VPN 隧道。在 Cisco ASA 防火墙后面,我有 8 个不同的子网。我已将 Sonicwall 上的 VPN 连接配置为使用包含所有必需子网的地址对象组。
从 Sonicwall 到 Cisco ASA 的 VPN 隧道建立良好,我可以从远程站点完全连接到“子网 1”。从“子网 2”(和所有其他子网)开始,通过远程网络的唯一流量是 ICMP(ping)、http 和 https。
我知道这叫“访问规则”,但我花了几个小时在 Sonicwall 上倾注,找不到任何访问规则会导致除上述服务之外的所有流量都被阻止。Sonicwall 自动从 LAN > VPN 和 VPN > LAN 创建访问规则,上面写着“始终允许任何主机、任何服务” - 这些规则无法修改、删除或停用(只能通过删除 VPN)。
我对使用站点到站点 VPN 的其他 5 个远程站点的配置设置完全相同,连接到同一个 Cisco ASA 并且一切正常,但是这些站点使用的是 Fortigate 防火墙,所以我确信这与 Sonicwall 有关。
问题1:有没有人遇到过同样的问题,您是如何解决的?
问题 2:我需要通过 Sonicwall 上的 CLI 运行什么命令才能获得运行配置的全文输出?
提前感谢您的任何帮助。
您是否在 Sonicwall 网络对象配置中将每个相关子网定义为 VPN 子网?如果您将它们归类为 LAN 或 WAN,那么即使您在 VPN 隧道中定义了它们,您的“LAN 到 VPN”规则也不会适用于它们。我不确定这是否适用于您拥有的型号(我们的是 TZ17/8/90 和 3060s,但如果它运行的是 SonicOS,我认为它适用)
感谢凯文的评论,我曾想过这一点,但实际上使用子网的地址对象进行了测试,该子网通过将对象依次分类为 LAN 或 WAN 或 VPN 对象来工作,但没有区别,它在所有情况下都有效。站点到站点 VPN 的自动添加 VPN 规则似乎忽略了您手动将对象分类为的内容。
长话短说,这个测试让我越来越怀疑 Sonicwall 是否真的是问题所在——最终不是。之后,另一端的 Cisco ASA 由托管服务管理,因此不受我的控制。在查看 ASA 的配置后,我们发现为 VPN 连接的另一端添加规则的天才在“全部拒绝”规则之后放置了访问规则。将访问规则移动到拒绝所有规则之前立即解决了问题。