У нас есть инструмент удаленного доступа под названием Simple Help. Это позволяет нам получать доступ к компьютерам наших клиентов и помогать им в решении проблем. Я могу войти в него с моей удаленной рабочей станции и подключиться к клиентской рабочей станции через наш сервер. Затем после успешного UDP-соединения Simple Help попытается «обновить» соединение и исключить сервер из поля зрения, оставив вам прямое UDP-соединение между рабочими станциями. Это отлично работает во многих сетях. Однако у одного из наших клиентов есть брандмауэр Sonicwall, и он, похоже, блокирует этот последний шаг, «обновление». Похоже, когда Simple Help пытается обновить соединение, Sonicwall Intrustion Prevention срабатывает и останавливает его. Я пытался отключить службу IPS, но безуспешно. Я попытался сразу отключить службы Gateway AV, IPS и AntiSpyware в меню «Службы безопасности», но все равно безуспешно. Я пробовал удалить все эти службы из зон LAN и WAN. Я также пробовал добавить исключение IPS для разных IP-адресов, но безуспешно. И он всегда регистрирует, что IPS обнаружила вероятное или возможное сканирование портов.
Вот ссылка на экранную шапку журнала SW: https://skydrive.live.com/redir?resid=D7404A61BC894BC2!225
Есть идеи, как заставить Sonicwall оставить этот трафик в покое?
В качестве альтернативы SimpleHelp Tech предположил, что, возможно, sonicwall просто предупреждает о событии IPS, а не блокирует его через IPS. Он сказал, что может помочь опция под названием «Включить согласованный NAT» - есть какие-то мысли?
Похоже, что произошло то, что соединение продолжалось достаточно долго, чтобы SonicWall переключил порты с NAT и эффективно уничтожил ваш старый сеанс. Когда соединение установлено, оно поступает на порт XXXX, но через определенное время, если трафика недостаточно (keep-alives), соединение на этом порту будет перенаправлено на порт YYYY. SonicWall сделал это, чтобы продолжить маршрутизацию трафика ... но ваше приложение не работает, поэтому оно умирает. Согласованный NAT решает эту проблему, сохраняя соединение открытым и не меняя порты.
Это большая проблема, если вы пытаетесь использовать SIP-телефоны с размещенной АТС за пределами вашего брандмауэра.
Думаю, я опубликовал немного раньше времени, но, возможно, это поможет другим. Опция «Включить согласованный NAT», о которой я упоминал в своем вопросе, похоже, сработала. Любые объяснения того, что именно делает эта опция, приветствуются. Но моя основная проблема вроде бы решена.