Назад | Перейти на главную страницу

VPN в маршрутизатор за Sonicwall

Мы установили Sonicwall TZ Firewall и настроили L2TP / Ipsec VPN.

SonicWall подключен к внутреннему маршрутизатору в подсети 192.168.168.0/30 с SonicWall на 192.168.168.1 и внутренним маршрутизатором (Dreytek Vigor) на 192.168.168.2

Клиенты VPN выделяются диапазону L2TP 10.10.20.10 - 10.10.20.49

Наконец, на Дрейтеке есть внутренняя подсеть 192.168.100.0/24 с DNS и DHCP-сервером на 192.168.100.63.

У меня много проблем с получением VPN-клиентов доступа к подсети 192.168.100.0/24. Я установил статический маршрут на SonicWall со шлюзом 192.168.168.2. Я также установил статический маршрут на Dreytek, указывающий подсеть VPN 10.10.20.0/24 обратно на шлюз 192.168.168.1.

Я могу успешно пинговать VPN-клиентов (например, 10.10.20.11) и получать доступ к общим сетевым ресурсам на VPN-клиентах изнутри внутренней подсети, но на всю жизнь я не могу получить доступ ни к чему в диапазоне 192.168.100.0 от VPN-клиента.

Я не уверен, что мне чего-то не хватает в отношении маршрутизации или мне нужно открыть разрешения на маршрутизаторах? Я пробовал добавлять статические маршруты на самих VPN-клиентах, но это ничего не дало. Я также установил то, что я считаю правильным правилом доступа на SonicWall (Разрешить, VPN -> LAN, любой источник -> 192.168.100.0), но все равно ничего.

Есть идеи, что мне не хватает?

Убедитесь, что в sonicwall, в конфигурации пользователя VPN, этим пользователям разрешен доступ к сети 192.168.100.X.

Вы правильно сделали, добавив правила брандмауэра, но у вас тоже есть политика VPN.

По умолчанию sonicwall ничего не разрешает пользователю vpn, но если вы выберете All Firewalled подсеть, диапазон draytek может не входить в эту группу безопасности, поэтому добавьте свой диапазон draytek пользователю.

Спасибо за помощь, ребята, это оказалось проблемой с правилами доступа (правило с более высоким приоритетом блокировало входящий WAN-трафик, несмотря на то, что мои правила разрешали трафик vpn).

Для всех, кто боролся, это был монитор пакетов на брандмауэре, который помог разобраться в этом, поэтому я предлагаю вам использовать его для отладки соединения.