У меня есть корпоративная сеть, работающая за SonicWall NSA 220. У нас есть проводная внутренняя сеть с рабочими станциями и файловыми серверами, но все WLAN находятся в DMZ, чтобы гости могли использовать ее без доступа к хорошему оборудованию.
Зона WLAN НЕ является встроенной, поскольку для этого требуются точки доступа Dlink. Итак, насколько известно SonicWall, пользователи VPN - это просто еще одна DMZ на своем собственном сетевом порту.
У нас настроен L2TP VPN, который отлично работает при подключении извне.
Моя проблема в том, что пользователи WLAN не могут подключиться к VPN. Это необходимо для ноутбуков в конференц-залах и тому подобном, но когда мы пытаемся дозвониться, используя те же самые настройки, которые те же пользователи используют на тех же компьютерах из своей домашней сети WLAN, ничего не происходит.
Те же соединения безупречно работали на нашем бывшем межсетевом экране ZyXEL USG, используя те же точки доступа.
Я попытался разрешить все виды доступа из DMZ WLAN к общедоступному адресу шлюза, временно даже напрямую из DMZ в LAN, но в каждом случае кажется, что попытка VPN-подключения даже не достигает своей цели. В журнале SonicWall содержится много информации, когда кто-то подключается из дома, начиная с IKE, но при попытке подключения из WLAN журнал об этом полностью пуст.
Существует полный доступ напрямую из WLAN к одному серверу в LAN и к другой DMZ, поэтому я считаю, что проблема с обычным брандмауэром маловероятна. С другой стороны, тот факт, что журнал ведется тихо, звучит как брандмауэр, разрывающий соединение.
Я установил политику GroupVPN для WLAN DMZ, которая использует те же параметры, что и политика WAN GroupVPN.
LAN, VPN и WLAN DMZ IP - это, конечно, три разные подсети.
Любые идеи?
В случае, если кто-то еще столкнется с этим, решение простое, но не интуитивно понятное, если вы привыкли к другому брандмауэру, который работает немного иначе: в профилях клиентов должен быть адрес VPN-соединения, который должен быть адресом внутреннего шлюза DMZ, а не один, используемый для WAN VPN.
Это означает, что необходимы либо два разных VPN-соединения, либо устройства в DMZ должны иметь собственный DNS-сервер, который возвращает адрес шлюза DMZ, когда полное доменное имя VPN запрашивается из DMZ (проще для пользователей в роуминге).
Может существовать третья возможность создания правила обратной петли, которое перехватывает запросы из DMZ на внешний адрес VPN и направляет их обратно на внутренний шлюз, но я этого не тестировал.