web-dev-qa-db-ja.com

Sonicwall(TZ200シリーズ)WAN側からVPNトンネルを介してポートフォワードすることは可能ですか?(回答:はい)

TL; DR Sonicwall TZ200シリーズは、ローカル内部サブネット上にないホストにポート転送できますか?もしそうなら、そのホストは、Sonicwallを1つのエンドポイントとしてVPNトンネルを介してアクセスされるホストになることができますか?

リモート(サードパーティ)サイトで実行されているアプリケーションがあり、オフィスネットワークの外部から利用できるようにしたいと考えています。そのサイトへの直接アクセスを設定することは可能かもしれませんが、いくつかの理由から、可能であればそのトラフィックを本社サイトに集中させたいと考えています。サイト間には常にアップのIPSECVPNがあり、関連するシステムはすべてWindowsベースのサーバーです。サードパーティのルータはCisco/LinksysRVxxxです。

おそらく内部LinuxボックスからのSSHトンネルを含むRubeGoldberg風のことを行うことができると思いますが、そのようなことをする前に、それを吸い上げてサーバーを再配置するか、サードパーティのサイトで開いてもらいます。

基本的に私が疑問に思っているのは

  1. 出来ますか?
  2. それは実行可能ですか-メンテナンスの悪夢、謎の接続、不安定さはすべて問題になります。あいまいで難解な構成を文書化しても(上記のSSHを参照)、誰もドキュメントを読みません。
  3. それが可能かつ実行可能である場合、どのように設定すればよいですか? NATとアクセスルールを扱っていると思いますが、他に何かありますか?私のVPNの経験は、通常、Sonicwallsよりも構成可能性が低いルーター上のサイト間トンネルを使用しています。
  4. キャッチは何ですか(たとえば、誰かがA-B-Cルーティングで遭遇したパケットをドロップするスプーフィング検出の問題)?

この質問は VPNトンネルを介したクライアントアクセスクロスロケーション に似ていますが、特に役立つ唯一の答えは見つかりません。DNSとWINSについては心配していません。この場合。

1
fencepost

これは実際、可能であり、実行可能です。これが、現在ホストされているが最終的にはオンサイトに移動するExchangeサーバーへのOWAアクセス用に設定する方法です。ポート443はすでに使用されていたため、これにはExchange 2007のOWAを40443で応答するようにシフトすることも含まれます。当初は40443(実世界)から443(内部およびVPN経由)に再マップすることも計画していましたが、トラブル。

[ネットワーク/アドレスオブジェクト]領域で、特定のリモートマシンのアドレスオブジェクトを、10.11.12.13/255.255.255.255RemoteExchangeHostゾーンのVPNとして定義しました。

ネットワーク/サービス領域で、サービスRemoteOWA40443TCPとして定義し、開始ポートと終了ポートを40443にしました。

[ネットワーク/ NATポリシー]領域で、次のポリシーを作成しました

  • ソース
    • オリジナル:Any
    • 翻訳:Original
    • オリジナル:WAN Primary IP
    • 翻訳:RemoteExchange
  • サービス
    • オリジナル:RemoteOWA40443
    • 翻訳:Original
  • インターフェース
    • インバウンド:Any
    • アウトバウンド:Any

ファイアウォール/アクセスルールに、許可ルールを追加しました

  • ゾーンから:WAN
  • ゾーンへ:VPN(IPSECを使用しています。これは他のサイトのSSLVPNである可能性があります)
  • サービス:RemoteOWA40443
  • 出典:Any
  • 宛先:Any
  • 許可されるユーザー:(あなた次第)
  • スケジュール:(あなた次第)
  • コメント:Redirect Exchange OWA from our address to hosted server(実際には、これらのコメントフィールドを使用してください。レビューおよび保守を行うときに感謝します)
  • ロギングを有効にする:Checked(最初は、FromとToにAll Zonesを使用して複数のルールを追加し、テスト後にトラフィックのないルールを削除しました)。

Exchange側では、これには、デフォルトのWebサイトのIIS管理プロパティ)でリッスンしているSSLポートの変更、Outlook Anywhereの外部ホスト名の設定、およびの外部URLの設定が必要でした。 :40443を含めるOWA。

1
fencepost