Merkezden Yönlendirme Şube İnternet Trafiği

Özel bir bağlantı noktasından noktaya bağlı 2 site arasında bir VPN var. Artık internet trafiğinin şubeden ana Firewall'a nasıl izin verileceğini bulmam gerekiyor.

Şubede Sonicwall tz 300 ve HQ'da bir NSA 3600 kullanıyorum.

Şube'den HQ'ya statik bir rotaya (varsayılan rota) ihtiyacım olacak. Ancak, bu yapılandırmayı yapmak için HQ'da ne tür politikalara ihtiyaç duyduğumdan emin değilim (NAT ve güvenlik duvarı ilkeleri)

0
Şubede varsayılan yolun ötesinde bir şey yapmanız gerektiğinden emin değilim. Şube ve merkez ofisleri zaten VPN üzerinden iletişim kuruyorsa, işler muhtemelen işe yaramalı.
katma yazar Ron Maupin, kaynak
Bir cevap sana yardım etti mi? Eğer öyleyse, bunu kabul etmelisiniz ki, soru sonsuza kadar haşhaş olmayacak, bir cevap aramayacaktır. Kendi cevabınızı da gönderebilir ve kendi çözümünüzü bulursanız kabul edebilirsiniz.
katma yazar Ron Maupin, kaynak

2 cevap

Özel bir bağlantıysa gerçekten şifrelemeniz gerekiyor mu? Belki bu yüzden? Sadece soruyorum.

Öyleyse, şube siteleri VPN/Güvenlik cihazında bölünmüş tüneli devre dışı bırakmanız gerekir. Bunun dışında, VPN eşine (HQ) işaret eden bir varsayılan yol bunu yapmalıdır. Oh, ve HQ cihazlarındaki şube alt ağlarına bir rotanın olması gerekecek, böylece paketleri nasıl yönlendireceklerini biliyorlar. Belirli hedef alt ağların VPN tünelini geçmesine izin verilmesi de yapılandırılmak üzere gerekli olabilir.

0
katma
Bu seçenek, bölünmüş tünellemeyi nerede devre dışı bırakır?
katma yazar Jan, kaynak

HQ güvenlik duvarı:
Güvenlik duvarı satıcısından bağımsız olarak, tünel sonundan WAN portuna (varış adresi 'hepsi') olan trafiğe izin vermek için ek bir ilkeye ihtiyacınız olacaktır. Burada, kaynak NAT'ı, şube ağında kullanılanlar gibi özel adresler internet üzerinden yönlendirilmemelidir. Durum bilgisi olan bir güvenlik duvarında, yanıt trafiğinin WAN portundan tünele ve en sonunda da şube LAN'a akmasına izin verilir.

şube güvenlik duvarı:
Şube yönlendirici/güvenlik duvarı üzerinde daha önce belirttiğiniz gibi, HQ güvenlik duvarının (özel) adresini işaret eden ek bir varsayılan rotaya ihtiyacınız vardır. İlişkili politika, şu anda yapabileceği gibi, HQ'nin yalnızca özel adres aralığı değil, hedef olarak "tümünü" içermelidir.

edit:
On the branch firewall, you need an additional (host) route to the public address of the HQ firewall. Otherwise, this address cannot be reached when the tunnel is down. For example, add "1.2.3.4/32" via WAN port.
If you already have a default route in place (pointing to WAN port) then either delete it or make sure it has a higher distance than the new default route to the tunnel.

0
katma