办公室 VLAN 上的工作站分配有 10.10.0.0/16 范围内的 IP 地址。它被定义为“工作”网络并使用“专用”防火墙规则集。我们使用中央防火墙/路由器在 VLAN 和不同 IP 范围之间传递流量。
其中一个 IP 范围分配给我们的 VPN 解决方案 10.100.0.0/16。出于某种原因,Windows 防火墙(至少在 Windows 7 中)正在阻止来自 10.100 地址的所有传入流量,包括 ping 和 SMB 流量。
为什么要阻止此流量?我认为“私人”连接的规则更为宽松。是因为流量来自 LAN 的网络掩码/子网之外吗?一些“私人”规则的措辞表明了这一点,但我不是 100% 确定。
是否可以在不创建新防火墙规则的情况下允许流量?相反,如果确实是网络掩码/子网导致了问题,是否有办法让网络配置或 Windows 防火墙将其视为正常?创建新规则是有效的,我只是不想去每个工作站并手动应用它。我们还没有域,所以没有组策略推送。
默认情况下,Windows 7 会阻止 ICMP 回显请求,因此除了在防火墙中创建例外之外,唯一的其他选择是完全禁用防火墙。
经过进一步研究:
看起来我要么需要根据具体情况复制所有需要的防火墙规则,要么更改我们的 VPN 使用的 IP 范围。