У нас есть несколько устройств LAN, подключенных через физическую проводную сеть к SonicWALL TZ210 в подсети 192.168.2.0/24. Некоторым из этих устройств назначаются адреса DHCP в диапазоне от 192.168.2.100 до 192.168.2.199, а некоторые из них имеют статические адреса ниже 192.168.2.100 или выше 192.168.2.240.
На SonicWALL я включил VPN и настроил сервер L2TP на использование 192.168.2.201–192.168.2.220 в качестве локального пула L2TP.
Я могу установить VPN-соединение с SonicWALL и, как и ожидалось, получаю IP-адрес из диапазона пула L2TP. С VPN-устройства (iPhone, но я не думаю, что это разгул) я могу пинговать другие устройства в локальной сети, но не устройства Windows - пинг MacOSX, Ubuntu, SonicWALL все работает нормально (как статические, так и DHCP-адреса), но не Windows. Машины Windows могут пинговать любое устройство, кроме подключенного к VPN. Все другие комбинации устройств могут успешно пинговать друг друга - единственный сбой - это Windows <--> VPN.
Из небольшого исследования кажется, что проблема связана с маршрутизацией в Windows. Запись маршрута для LAN показывает это:
Network Destination Netmask Gateway Interface
192.168.2.0 255.255.255.0 On-link 192.168.2.173
(Это для ПК с Win7; Win XP аналогична, но шлюз указан как локальный IP-адрес, такой же, как интерфейс.)
Это «On-link» указывает, что весь трафик, предназначенный для LAN, отправляется через локальный сетевой адаптер, а не через шлюз по умолчанию SonicWALL. Если я изменю маршрут на использование SonicWALL в качестве шлюза, я могу успешно пропинговать Windows <--> VPN, как и ожидалось:
route change 192.168.2.0 mask 255.255.255.0 192.168.2.254
Итак, хотя у меня есть обходной путь, на самом деле нецелесообразно (или желательно) обходить каждый ПК с Windows и заставлять его отправлять весь трафик LAN через SonicWALL. Есть ли другие решения?
Насколько мне известно, клиенты Windows работают правильно. Маршрут к локальной сети - это интерфейс, подключенный к этой сети, у которой есть IP-адрес в этой сети. При связи с другим хостом, подключенным к той же сети, клиенты Windows будут использовать ARP для MAC-адреса целевого IP-адреса. Поскольку IP-адрес VPN-клиента находится в одной сети, клиенты Windows видят VPN-адрес как локальный, а ARP для MAC-адреса и не получают ответа. Я вижу два решения для этого:
Настройте пул DHCP-клиента VPN для работы в другой сети (192.168.3.0/24) и позвольте Sonicwall обрабатывать трафик маршрутизации между LAN и сетью VPN.
Выясните, как настроить Sonicwall для выполнения прокси-ARP для VPN-клиентов, чтобы, когда клиенты Windows 7 ARP для IP-адреса VPN-клиента, Sonicwall отвечал от имени VPN-клиента, клиент Windows 7 затем передавал трафик на Sonicwall. , который затем направляет трафик к VPN-клиенту.