Назад | Перейти на главную страницу

sonicwall vpn и NAT

У меня есть настройка VPN типа "сеть-сеть" с поставщиком. Допустим, конечные точки туннеля - 192.1.1.101 на моей стороне и 192.1.2.0/24 на стороне поставщика (которые получают NAT, подключенные к их локальной сети 10.x.x.x). Это работает нормально, у меня есть SonicWall, и у меня есть настройка политики VPN, поэтому трафик на 192.1.2.x с моей стороны проходит через их VPN и достигает правильных хостов.

Проблема в том, что у меня есть (старое, немодифицируемое) приложение, которое пытается подключиться к 10.0.0.10 в их сети. Если я могу заставить это пройти через VPN, как если бы это был 192.1.2.10, то он достиг бы правильного пункта назначения. Производитель не желает добавлять 10.0.0.10 в качестве конечной точки туннеля.

Я пробовал использовать политику NAT для преобразования трафика с 10.0.0.10 на 192.1.2.10, но я считаю, что это также не отправляет его через VPN, потому что NAT применяется к трафику, когда он покидает брандмауэр и после точки, в которой он мог бы сработать. правило маршрутизации VPN. В основном я хочу направить любой трафик на 10.0.0.10, изменить его пункт назначения на 192.1.0.10 и отправить его через VPN-туннель для 192.1.0.10. Я не эксперт в настройке брандмауэра, может ли кто-нибудь указать мне правильное направление?

Правильный способ - полностью добавить сеть 10.0.0.10/32 в туннель, тем самым разрешив только эту удаленную конечную точку.

В зависимости от NAT, Inter Zone, SonicWall потенциально может видеть IP-адрес источника, который является источником IP-адреса VPN, и удаленному администратору потребуется создать разрешающее правило для этого трафика.

У SonicOS есть строгие правила разрешения / блокировки, поэтому даже если удаленный администратор добавит правило, он может разрешить только вашему старому серверу на разрешенном хосте общаться с 10.0.0.10, и по умолчанию все заблокировано, так что это лучший способ чтобы быть в безопасности.

Я бы оставил правило NAT, переписать пункт назначения - хорошее начало. Если честно, я подумал, что этого будет достаточно. Вы уверены, что трафик действительно попадает в ваш брандмауэр? Я предполагаю, что у вас нет локальной сети 10.x.x.x, в которую собираются эти пакеты.

Также можно попробовать политику маршрутизации вручную. Вы можете отправлять весь трафик 10.x.x.x через интерфейс VPN-туннеля. Также попробуйте установить VPN в качестве интерфейса выхода для этого правила NAT.

Помимо NAT, вы возвращали его обратно в свою локальную сеть? Вы можете попробовать использовать петлевое соединение с лучшими результатами. После этого он должен быть перенаправлен на ваш VPN.