Назад |
Перейти на главную страницу
Пользователь Sonicwall vpn не может получить доступ через VPN-туннель
У меня есть пользователь, получающий доступ к Sonicwall NSA 2400 через vpn (сайт A). У этого Sonicwall есть VPN-туннель к другому сайту (Сайт B). Пользователь может пинговать серверы на сайте B и получать доступ к веб-сайтам, расположенным на них, и т. Д. Люди в физической локальной сети на сайте A могут пинговать и telnet с пользователем vpn. Однако проблема в том, что серверы, расположенные на сайте B, не могут связаться с пользователем VPN. Они могут связаться с любым компьютером в локальной сети, но не с пользователями VPN. Я выполнил захват пакета, и каждый раз, когда я пингую пользователя vpn с серверов на сайте B, пакет «потребляется» на межсетевом экране. Я неплохо разбираюсь в сетевых концепциях, но это меня озадачило.
Для этого есть ряд возможных причин.
- Маршрутизация Если Sonicwall выполняет SNAT для любого трафика, идущего с сайта A на сайт B (возможно, из-за перекрывающихся подсетей), тогда трафик от пользователя vpn к серверам в B будет работать, и обратное также будет работать, потому что исходный адрес был заменен через SNAT с адресом Sonicwall, который также выполняет обратную трансляцию. Однако, если серверы на сайте B не знают, куда направлять трафик для пользователя VPN, он будет проходить через шлюз по умолчанию и, следовательно, никогда не достигнет пользователя VPN. Помните: пользователи VPN часто имеют IP-адреса в подсети, сильно отличающейся от подсети, используемой на сайте A, так что VPN-маршрутизатор может направлять пакеты отдельным клиентам.
- Брандмауэр Возможно, в вашем брандмауэре есть правила, разрешающие НОВЫМ пакетам (как в состоянии НОВЫЙ) переходить с сайта A на сайт B, но не наоборот. Это также объяснило бы вашу ситуацию.
- Конфигурация VPN Скорее теоретический. Некоторые сети VPN можно настроить так, чтобы клиенты VPN были недоступны из целевой LAN. Поскольку вы говорите, что люди на сайте A могут связаться с пользователем VPN, это не проблема.
Я предлагаю вам опубликовать свои правила брандмауэра и таблицы маршрутизации, а затем мы сможем их проверить и дать дальнейшие рекомендации.