Назад | Перейти на главную страницу

Совет по настройке SonicWALL NSA 2400 для использования двух подсетей и режима моста L2

Этот пост не является точной копией Как настроить удаленный доступ к нескольким подсетям за SonicWALL NSA 2400 . Однако у меня эта проблема почти дословно. К сожалению, у нас даже есть платная поддержка SonicWALL, и даже они зацикливаются.

Мы расходимся в том, что я просто пытаюсь использовать режим моста уровня 2. Нет NAT, нет маршрутизации. Наше желание состоит в том, чтобы SonicWALL не выполнял ничего, кроме прослушивания сети, блокировал весь трафик, кроме выбранных портов UDP и TCP, и обеспечивал проверку с отслеживанием состояния для всего другого нежелательного трафика, такого как атаки типа «отказ в обслуживании», антивирус, антишпионское ПО, и т.д. Интерфейс X1 настроен в подсети A. Остальные используемые IP-адреса в подсети назначаются серверам, подключенным к коммутатору через порт X2 (DMZ).

До недавнего времени эта конфигурация отлично работала. Однако теперь мы столкнулись с проблемой. Мы использовали всю нашу подсеть A и требовали больше, поэтому нам была назначена другая подсеть / 28. Серверы, работающие в этой подсети, подключены к одному коммутатору на порту X2, и виртуальные локальные сети не используются, поэтому у нас есть две сети, живущие в одном широковещательном домене. Это казалось нормальным, потому что все, что должен делать SonicWALL, - это проверять пакеты и не заботиться о аспектах маршрутизации проходящего через него трафика. У нас будет сетевой маршрутизатор (который мы не контролируем) на порте X1, который будет беспокоиться о маршрутизации между двумя подсетями, которые фактически находятся в одном широковещательном домене.

Из Интернета эта конфигурация работает нормально. У нас есть доступ как к подсети A, так и к подсети B. Проблема возникает, когда мы хотим, чтобы две сети взаимодействовали с друг друга. Мы ожидали, что две сети будут использовать маршрутизатор на другой стороне SonicWALL для связи друг с другом, но я доказал, что пакеты не проходят через SonicWALL. Нет журналов брандмауэра, указывающих на то, что соединение прерывается из-за правил. Вместо этого, когда я выполняю захват пакетов на SonicWALL, я вижу, что пакеты поступают через порт X2 и не пересылаются. Статус просто говорит «Получено» (что, как ни странно, не может быть найдено как действительный статус в ЛЮБОЙ документации (в документации указано, что «DROPPED» предназначен для отбрасывания трафика из-за правила брандмауэра)).

Служба поддержки прислала мне точный документ, упомянутый в вышеупомянутом сообщении, но он не относится к этой ситуации. После нескольких дней разговоров с более чем сложной техподдержкой мне наконец предложили ничего не сделать, кроме как добавить статический маршрут:

Источник: любой, назначение: подсеть B, шлюз: 0.0.0.0, интерфейс X2.

Текущая таблица маршрутизации содержит только те элементы по умолчанию, которые она добавляет самостоятельно. Поэтому, даже если вы ничего не знаете конкретно о SonicWALL, скажите мне, имеет ли смысл добавление вышеуказанного статического маршрута для кого-либо. Текущая таблица:

Источник: любой, пункт назначения: шлюз подсети A, шлюз: 0.0.0.0, интерфейс X1. Источник: любой, пункт назначения: подсеть A, шлюз: 0.0.0.0, интерфейс X1. Источник: любой, пункт назначения: любой, шлюз: шлюз подсети А, интерфейс X1.

Мне кажется странным, что ни одно из значений уже не является X2. Я чувствую, что тот факт, что шлюз подсети A является единственной причиной, по которой трафик выходит из подсети A, но тогда не имеет смысла, как он возвращается, поскольку это должно покинуть интерфейс X2, а в приведенной выше таблице указан X1. Также интересно, что подсеть B может связываться с Интернетом, что, как мне кажется, связано с последним правилом. Шлюз подсети A и B имеет один и тот же MAC-адрес: так что это должно быть только совпадением, что он работает. По-прежнему не имеет смысла, как трафик попадает в какую-либо подсеть изначально из Интернета.

Оказывается, никто не смог решить мою проблему. Я разговаривал со службой поддержки SonicWALL в течение двух месяцев и не получил ничего, кроме «решений». Они очень ясно дали понять, что не понимают устройства, которые они поддерживают, и предложили мне неприемлемые решения. Им было все равно, что я думаю об их неприемлемых решениях, потому что все, что они сделали, это предложили их снова. Для этих продуктов нет программного обеспечения для эмуляции (по крайней мере, у Cisco есть трассировщик пакетов), и они довольно дороги, поэтому не было возможности протестировать их нелепые решения, кроме небольших временных рамок, которые я так часто имел на рабочем сервере во время запланированного отключения -время. Они тоже этого не уважали и звонили мне в понедельник и просили доступа к SonicWALL. Они казались сбитыми с толку, когда я сказал абсолютно нет.

Худшая поддержка корпоративных продуктов, которые у меня когда-либо были, особенно потому, что так плохо относились к ней. Мы отказались от этого дела, и у меня очень сильное подозрение, что я обнаружил ошибку в их программном обеспечении. Было бы намного лучше, если бы они просто признались в этом, вместо того, чтобы дергать меня два месяца.

Решение: мы заменили две подсети одной большой, которая могла бы поддерживать большее количество хостов.

старый пост, но заслуживающий хорошего комментария относительно статуса "получено" в мониторе пакетов. Я не смог найти ничего об этом статусе в документации Sonicwall / Dell. Наконец-то получил технический специалист, чтобы объяснить это, на самом деле получил краткое описание ...

Получено означает, что пакет был использован интерфейсом. Это означает, что пакет не попал в сеть. Другое использование для получения - в сценарии VPN, когда пакет принимается и расшифровывается.

Возможное решение / исправление: Установите дешевый маршрутизатор в качестве простого маршрутизатора доступа между обеими подсетями. укажите статический маршрут к нему от sonicwall, чтобы весь трафик, проходящий между двумя подсетями, проходил через «другой» маршрутизатор.

Через 3 недели Sonicwall, наконец, вернулся ко мне с ответом, и хотя я включил ссылку на эту страницу, они все равно дали мне тот же ответ, что и вы. Их служба поддержки, похоже, не знает разницы между уровнем 2 и уровнем 3 в модели OSI.

Я действительно подал жалобу, и один из сотрудников службы поддержки позвонил мне, но он, похоже, не знал, что он делает, и я должен был продолжать исправлять его, он, наконец, сдался и согласился, что это не в его силах, и сказал, что ему понадобится передать инженеру.

Кто-нибудь хочет купить sonicwall NSA за 15 000 долларов? Ясно, что у них есть проблемы с Sonicwall Layer 2 Bridging, не говоря уже об их поддержке, которая занимает 3 недели, чтобы отправить готовый ответ по электронной почте.

Похоже, вы пытаетесь заставить sonicwall просто прослушивать трафик, я бы настроил для этого зеркальный порт (на коммутаторе), а затем просто настроил бы интерфейсы WAN для сниффинга. Я бы также настроил порт как зону «сниффинга», так как вас не волнует маршрутизация, зачем он вообще пересылает трафик? Не уверен, что вы пытались это сделать ...

Я использую sonicwall несколько лет, мне больше всего нравится их продукт. Не могу сказать, что действительно много пользуюсь поддержкой, но у меня были взлеты и падения с лучшими обращениями в службу поддержки. Обычно первая и вторая линии поддержки везде довольно слабы.

Пользователь Sonicwall NSA

Если вы используете мостовой режим, в интерфейсе моста есть опция «не маршрутизировать на этой паре моста», которая решает проблему, и подсети могут снова разговаривать (то есть: истинный проход).

Проблема после этого заключается в том, что весь трафик уходит, попадает в ваш маршрутизатор и на обратном пути подчиняется правилам брандмауэра (поэтому вам нужно больше правил, чтобы разрешить ваш собственный IP-адрес). Это также может быть проблемой, когда у вас есть формирователь пакетов перед вашим маршрутизатором (или даже если ваш маршрутизатор имеет только 100-метровый интерфейс вместо 1 ГБ), поскольку это, без сомнения, будет формировать трафик по мере его прохождения и замедлять все. По этой причине я связался с sonicwall, и я согласен, они ужасны, и я не буду продлевать контракт на поддержку, когда это необходимо. Все, что я получаю от них, - это неуместные вырезки и вставки с ответами, которые совершенно бесполезны.

У нас есть NSA 4500, который не из дешевых, и я ожидал от них большего. Будем надеяться, что покупка Dell изменит ситуацию к лучшему. Я сомневаюсь в этом ...

Проблема в том, что вы не использовали VLAN, у вас были перекрывающиеся подсети в одном и том же широковещательном домене Ethernet. Это плохой дизайн и так будет всегда.