この投稿は SonicWALLの背後にある複数のサブネットへのリモートアクセスを設定する方法NSA 24 )の正確な複製ではありません。しかし、私はこの問題をほぼ逐語的に抱えています。 、SonicWALLのサポートも支払っており、ループを介してスローされています。
異なる点は、単にレイヤー2ブリッジモードを使用しようとしていることです。 NATもルーティングもありません。私たちの望みは、SonicWALLにネットワークでリッスンするだけで、UDPとTCPポートを選択する以外のすべてのトラフィックをブロックし、サービス拒否攻撃などの他のすべての不要なトラフィックをステートフルに検査することです。 、アンチウイルス、アンチスパイウェアなど。X1インターフェイスはサブネットAで構成されます。サブネット内の残りの使用可能なIPは、X2(DMZ)ポートのスイッチに接続されたサーバーに割り当てられます。
最近まで、この構成はうまく機能していました。しかし今、私たちは問題に直面しています。サブネットA全体を使用し、さらに必要だったため、別の/ 28サブネットが割り当てられました。このサブネットで実行されているサーバーは、ポートX2の同じスイッチに接続されており、VLANは使用されていないため、同じブロードキャストドメイン内に2つのネットワークが存在します。 SonicWALLが実行する必要があるのはパケット検査だけであり、SonicWALLを通過するトラフィックのルーティングの側面を気にする必要がないため、これは問題ないように思われました。ポートX1上のネットワークのルーター(私たちが制御していない)は、実際には同じブロードキャストドメインにある2つのサブネット間のルーティングについて心配することになります。
インターネットからは、この構成は正常に機能します。サブネットAとサブネットBの両方のネットワークにアクセスできます。 2つのネットワークを互いに通信させたい場合に問題が発生します。 2つのネットワークがSonicWALLの反対側にあるルーターを使用して相互に通信することを期待していましたが、パケットがSonicWALLを通過しないことを証明しました。ルールが原因で通信が切断されていることを示すファイアウォールログはありません。代わりに、SonicWALLでパケットキャプチャを実行すると、パケットがポートX2に着信し、転送されないことがわかります。ステータスは単に「受信済み」と表示されます(奇妙なことに、どのドキュメントでも有効なステータスとして見つかりません(ドキュメントには「DROPPED」はファイアウォールルールによるトラフィックのドロップ用であると記載されています))。
サポートから、上記の投稿で参照されている正確なドキュメントが送られてきましたが、この状況には当てはまりません。困難以上のサポートと何日も話し合った後、私はついに静的ルートを追加する以外に何もしないように提案されました。
ソース:任意、宛先:サブネットB、ゲートウェイ:0.0.0.0、インターフェイスX2。
現在のルーティングテーブルには、独自に追加するデフォルトのアイテムのみが含まれています。したがって、SonicWALLについて特に何も知らなくても、上記の静的ルートを追加することが誰にとっても意味があるかどうかを教えてください。現在のテーブルは次のとおりです。
ソース:任意、宛先:サブネットゲートウェイ、ゲートウェイ:0.0.0.0、インターフェースX1。ソース:任意、宛先:サブネットA、ゲートウェイ:0.0.0.0、インターフェースX1。ソース:任意、宛先:任意、ゲートウェイ:サブネットゲートウェイ、インターフェースX1。
どの値もすでにX2ではないのは奇妙に思えます。トラフィックがサブネットAから出る唯一の理由はサブネットAゲートウェイであるように感じますが、インターフェイスX2が残り、上記の表にX1がリストされているため、どのように戻るかは意味がありません。サブネットBがインターネットと通信できることも興味深いです。これは最後のルールによるものだと思います。サブネットAとBのゲートウェイは同じMACアドレスを持っているため、それが機能するのは偶然である必要があります。それでも、トラフィックが最初にインターネットからどちらのサブネットに到達するかは意味がありません。
誰も私の問題を解決することができなかったことがわかりました。私はSonicWALLのサポートと2か月間話をしましたが、真っ暗な「解決策」しか受け取りませんでした。彼らは、彼らがサポートしているデバイスを理解していないことを非常に明確にし、受け入れられない解決策を私に与えました。彼らは私が彼らの容認できない解決策についてどう思ったかを気にしませんでした。なぜなら彼らがしたのは彼らをもう一度提案することだけだからです。これらの製品にはエミュレーションソフトウェアがなく(少なくともCiscoにはパケットトレーサーがあります)、かなり高価なので、スケジュールされたダウン中にライブサーバーで頻繁に使用した短い時間枠以外に、ばかげたソリューションをテストする方法はありませんでした。 -時間。彼らもこれを尊重せず、月曜日に私に電話して、SonicWALLへのアクセスを要求しました。私が絶対に言わなかったとき、彼らは困惑しているようでした。
私が今までに受けたエンタープライズ製品に対する最悪のサポート、特にこれを不十分に扱うことは自由ではなかったためです。私たちは事件を放棄しました、そして私が見つけたのは彼らのソフトウェアのバグであるという非常に高い疑いを持っています。彼らが私を2か月間ぐいと動かすのではなく、それを認めただけならもっと良かったでしょう。
解決策:より多くのホストをサポートできる1つの大きなサブネットに対して2つのサブネットをダンプしました。
古い投稿ですが、パケットモニターの「受信済み」ステータスに関してコメントする価値があります。 Sonicwall/Dellのドキュメントでは、このステータスについて何も見つかりませんでした。ついにそれを説明する技術を手に入れました、実際に簡単な説明を手に入れました...
Receivedは、パケットがインターフェイスによって消費されたことを意味します。これは、パケットがネットワークの内部に到達しなかったことを意味します。receivedのその他の用途は、パケットが受信されて復号化されるVPNシナリオです。
3週間後、Sonicwallはついに返信を返してきました。このページへのリンクを含めても、あなたとまったく同じ返信が返ってきました。彼らのサポートは、OSIモデルのレイヤー2とレイヤー3の違いを知らないようです。
私は苦情を言い、サポートスタッフの一人に電話をかけてもらいましたが、彼は自分が何をしているのかわからなかったので、私は彼を修正し続けなければなりませんでした。それをエンジニアに渡すために。
誰もが15,000ドルのsonicwallNSAを使いたいですか?明らかに、彼らはSonicwall Layer 2 Bridgingの問題であり、定型の返信を電子メールで送信するのに3週間かかるサポートは言うまでもありません。
そのための可能な解決策/修正:両方のサブネット間に単純なアクセスルーターとして安価なルーターをインストールします。 2つのサブネット間を通過するすべてのトラフィックが「他の」ルーターを経由するように、ソニックウォールから静的ルートをポイントします。
ブリッジモードを実行している場合、問題を解決する「このブリッジペアでルーティングしない」オプションがブリッジインターフェイスにあり、サブネットは再び通信できます(つまり、真のパススルー)。
この後の問題は、すべてのトラフィックが送信され、ルーターに到達し、戻る途中でファイアウォールルールの対象となることです(したがって、独自のIPを許可するにはさらにルールが必要です)。また、ルーターの前にパケットシェーパーがある場合(またはルーターに1GBではなく100mのインターフェイスしかない場合でも)、トラフィックが通過するときにトラフィックが形成され、すべてが遅くなることは間違いありません。そのため、私はsonicwallに連絡しましたが、同意します。彼らはひどいので、期限が来てもサポート契約を更新しません。私が彼らから得るのは、まったく役に立たない無関係なカットアンドペーストの回答だけです。
NSA 4500は安価なキットではないので、もっと期待していました。デルの買収によって事態が好転することを期待しましょう。しかし、私はそれを疑っています...
ソニックウォールにトラフィックをスニッフィングさせようとしているようです。このためにミラーリングされたポート(スイッチ上)を構成してから、スニッフィング用のWANインターフェイスを構成します。ルーティングを気にしないので、ポートを「スニッフィング」ゾーンとしても構成します。なぜトラフィックを転送するのでしょうか。これがあなたがやろうとしていたことであるかどうかわからない...
私は数年間sonicwallを使用してきましたが、ほとんどの場合、すべての製品が気に入っています。私が本当にサポートをたくさん使っているとは言えませんが、最高のサポートコールで浮き沈みがありました。通常、サポートの1行目と2行目はどこでもかなり弱いです。
Sonicwall NSAユーザー