我在 Sonicwall TZ105 和 ZyWall USG20W 之间配置了一个静态 IPsec 隧道。
问题是 VPN 隧道每分钟都会关闭,然后在 Sonicwall 运行失效对等点检测时再次建立隧道。
这是来自 Sonicwall 上的日志。
我已经对此进行了两天的故障排除,并尝试了从固件升级到不同加密等的所有方法。
这涉及 3 个防火墙和 2 个 VPN 连接和路由。
主站点 A 具有本地地址范围192.168.101.0/24
远程站点 B 具有本地地址范围192.168.102.0/24
远程站点 C 具有本地地址范围192.168.100.0/24
需要明确的是,站点 A 有一个到站点 B 的 VPN 和另一个到站点 C 的 VPN。
A可以访问站点B和C,没有问题。
B 可以访问站点 A 但不能访问 C
C 可以访问站点 A 但不能访问 B
我可以创建从站点 B 到站点 C 的 VPN,但这不是我所追求的。
我位于站点 C 并想访问站点 B 上的 FW。
所有防火墙均为 Zywall USG 系列。VPN是IPSec。
我知道这至少涉及路线。任何帮助将不胜感激。
我的情况是这样的;我在我们的联合网络解决方案中托管了许多网站。网络上基本上是3类:
- 已知公众,通过 mac 注册,给予静态 dhcp 租约
- 匿名 LAN 连接,给定特定 dhcp 范围的租约
- 交换机,unix主机防火墙
现在,考虑关注感兴趣的主机
- 111.111.111.111(合沃尔USG 300广域网)
- 192.168.1.1 (ZyWall USG 300 LAN) 负载平衡和 bw 监视器以及处理 NAT
- 192.168.1.2 (Linux www) 服务于 mydomain1.tld 和 mydomain2.tld
- 192.168.123.123(随机局域网客户端)从局域网访问mydomain1.tld
- 23.234.12.253(随机外部客户端)通过 WAN 访问 mydomain1.tld
设置 DNS A 记录,以便 mydomain1.tld 和 mydomain2.tld 都指向 111.111.111.111 - Linux www 为具有 VirtualHost 配置的 http 部分提供服务,设置文档根 pr ServerName,但这并不是很有趣。
NAT 规则将 111.111.111.111:80 转换为 192.168.1.2:80 (1:1 NAT),如下所示:
- 类型:虚拟服务器
- 接口:广域网
- 原IP:任意
- 映射IP:192.168.1.2
- 原始端口:80
- 映射端口:80
当 NAT-Loopback 被激活时,它会导致设备无法从外部接口访问(虽然没有尝试过,如果它使 LAN -> WAN IP:80 工作)
我们的问题如下;
当从外部访问http://mydomain1.tld(23.234.12.253 示例主机)联合网络时 - 一切正常,zywall 通过端口 80 接收请求并将其映射到 linux 主机的 httpd。但是 - 一旦尝试从 LAN 端(内部,192.168.123.123 示例主机)通过 NAT,就会在 Zywall 端口 80 防火墙中被过滤。
我知道这只是因为端口 443 对管理界面开放并且https://mydomain1.tld提示 zywall 登录。
所以我的结论是,访问 111.111.111.111 的 LAN 实际上被路由到 192.168.1.1,同时绕过了 NAT 表。
我需要知道如何设置 NAT / 策略路由,以便 LAN > WAN > LAN 可以通过适当的网络转换运行,而不是进行“快速名称服务器查找”或其他可能的操作。