我们已经收购了一家使用Sonicwall PRO 1260防火墙的小公司,并且已经configuration了从Sonciwall到思科ASA防火墙的站点到站点VPN隧道。 在思科ASA防火墙的后面,我有8个不同的子网。 我在Sonicwall上configuration了VPN连接,使用包含所有必需子网的地址对象组。
从Sonicwall到Cisco ASA的VPN通道build立良好,并且从远程站点到“子网1”有完整的连接。 从“子网2”(以及所有其他networking),到达远程networking的唯一stream量是ICMP(ping),http和https。
我知道这个尖叫'访问规则',但我已经花了数小时浇筑Sonicwall,并且没有find访问规则,除了上面提到的服务被阻止之外,将导致所有的交易。 Sonicwall会自动从LAN> VPN和VPN> LAN创build“允许任何主机,任何服务,始终”的访问规则 – 这些规则不能被修改,删除或取消激活(只能通过删除VPN)。
我有5个使用站点到站点VPN的其他远程站点的完全相同的configuration设置,连接到相同的思科ASA,一切工作正常,但这些站点使用的是Fortigate防火墙,所以我相信这是与Sonicwall有关。
问题1:有没有人遇到同样的问题,你是如何解决的?
问题2:我需要通过SonicWALL上的CLI运行什么命令来获取运行configuration的全文输出?
预先感谢您的帮助。
您是否将每个有问题的子网定义为SonicWALLnetworking对象configuration中的VPN子网? 如果将它们分类为LAN或WAN,则即使在VPN隧道中定义了它们,您的“LAN到VPN”规则也不适用于它们。 我不确定这是否适用于您的模型(我们是TZ17 / 8/90和3060s,但是如果运行SonicOS,我认为它是)
感谢评论凯文,我想到了这一点,但实际上testing使用地址对象的子网是通过将对象依次分类为LAN或WAN或VPN对象,但它没有任何区别,它在所有情况下工作。 看起来,站点到站点VPN的自动添加的VPN规则忽略了手动将对象分类为的内容。
长话短说,这个testing让我越来越疑问,如果Sonicwall实际上是问题 – 最终不是这样。 在另一端的思科ASA之后,由托pipe服务pipe理,因此不受我的控制。 在查看ASA的configuration之后,我们发现为VPN连接的另一端添加规则的天才在“拒绝所有”规则之后放置了访问规则。 在拒绝所有规则之前移动访问规则立即解决了问题。