web-dev-qa-db-ja.com

ソニックウォールVPNユーザーはVPNトンネルからアクセスできません

ユーザーがvpn経由でSonicwall NSA 2400(サイトA)にアクセスしています。このSonicwallには別のサイト(サイトB)へのVPNトンネルがあります。ユーザーはサイトBのサーバーにpingを実行してアクセスできます。サイトAの物理LAN上のユーザーは、VPNユーザーにpingおよびtelnetを実行できますが、問題は、サイトBにあるサーバーがVPNユーザーに接続できないことです。LAN上の任意のコンピューターに接続できます。 、ただしvpnユーザーはありません。パケットキャプチャを実行しました。サイトBのサーバーからvpnユーザーにpingを実行すると、パケットはファイアウォールで「消費」されます。ネットワーキングの概念はかなり得意ですが、これで困惑しました。 。

vpnsonicwallsite-to-site-vpn
1
ThePfaff

これにはいくつかの理由が考えられます。

  1. ルーティング SonicwallがサイトAからサイトBに向かうトラフィックに対してSNATを実行する場合(サブネットの重複が原因である可能性があります)、VPNユーザーからBのサーバーへのトラフィックが機能し、その逆も機能します。 、元のアドレスがSNATに置き換えられ、逆変換も実行するSonicwallのアドレスに置き換えられたためです。ただし、サイトBのサーバーがVPNユーザーのトラフィックをルーティングする場所を知らない場合、サーバーはデフォルトゲートウェイを経由するため、VPNユーザーに到達することはありません。注意:VPNユーザーは、サイトAで使用されているサブネットとは非常に異なるサブネットにIPアドレスを持っていることが多いため、VPNルーターはパケットを個々のクライアントにルーティングできます。
  2. ファイアウォールファイアウォールに(状態NEWのように)新しいパケットがサイトAからサイトBに移動することを許可するルールがある可能性がありますが、その逆はできません。それはまたあなたの状況を説明するでしょう。
  3. VPN構成理論的なものです。一部のVPNは、VPNクライアントがターゲットLANから到達できないように構成できます。サイトAの人はVPNユーザーに連絡できると言っているので、これは問題ではないようです。

ファイアウォールルールとルーティングテーブルを投稿することをお勧めします。そうすれば、それを調べてさらにアドバイスすることができます。

2
wolfgangsz