Назад | Перейти на главную страницу

Пользователь Sonicwall vpn не может получить доступ через VPN-туннель

У меня есть пользователь, получающий доступ к Sonicwall NSA 2400 через vpn (сайт A). У этого Sonicwall есть VPN-туннель к другому сайту (Сайт B). Пользователь может пинговать серверы на сайте B и получать доступ к веб-сайтам, расположенным на них, и т. Д. Люди в физической локальной сети на сайте A могут пинговать и telnet с пользователем vpn. Однако проблема в том, что серверы, расположенные на сайте B, не могут связаться с пользователем VPN. Они могут связаться с любым компьютером в локальной сети, но не с пользователями VPN. Я выполнил захват пакета, и каждый раз, когда я пингую пользователя vpn с серверов на сайте B, пакет «потребляется» на межсетевом экране. Я неплохо разбираюсь в сетевых концепциях, но это меня озадачило.

Для этого есть ряд возможных причин.

  1. Маршрутизация Если Sonicwall выполняет SNAT для любого трафика, идущего с сайта A на сайт B (возможно, из-за перекрывающихся подсетей), тогда трафик от пользователя vpn к серверам в B будет работать, и обратное также будет работать, потому что исходный адрес был заменен через SNAT с адресом Sonicwall, который также выполняет обратную трансляцию. Однако, если серверы на сайте B не знают, куда направлять трафик для пользователя VPN, он будет проходить через шлюз по умолчанию и, следовательно, никогда не достигнет пользователя VPN. Помните: пользователи VPN часто имеют IP-адреса в подсети, сильно отличающейся от подсети, используемой на сайте A, так что VPN-маршрутизатор может направлять пакеты отдельным клиентам.
  2. Брандмауэр Возможно, в вашем брандмауэре есть правила, разрешающие НОВЫМ пакетам (как в состоянии НОВЫЙ) переходить с сайта A на сайт B, но не наоборот. Это также объяснило бы вашу ситуацию.
  3. Конфигурация VPN Скорее теоретический. Некоторые сети VPN можно настроить так, чтобы клиенты VPN были недоступны из целевой LAN. Поскольку вы говорите, что люди на сайте A могут связаться с пользователем VPN, это не проблема.

Я предлагаю вам опубликовать свои правила брандмауэра и таблицы маршрутизации, а затем мы сможем их проверить и дать дальнейшие рекомендации.