是否可以通過 VPN 隧道從 Sonicwall(TZ200 系列)WAN 端進行埠轉發?(答案:是的)
TL;DR Sonicwall TZ200 系列能否將埠轉發到不在本地內部子網上的主機?如果是這樣,該主機是否可以通過 VPN 隧道以 Sonicwall 作為一個端點進行訪問?
我們有一個在遠端(第三方)站點上執行的應用程序,我們希望從辦公室網路外部提供該應用程序。設置對該站點的直接訪問可能是可能的,但出於幾個原因,我們希望盡可能通過主要辦公站點匯集該流量。站點之間有一個永遠線上的 IPSEC VPN,所涉及的系統都是基於 Windows 的伺服器。第三方路由器是 Cisco/Linksys RVxxx。
我知道我可能會從內部 Linux 機器上做涉及 SSH 隧道的 Rube Goldberg 式的事情,但我要麼把它吸起來,重新定位伺服器,要麼在做類似的事情之前在第三方網站上打開它。
基本上我想知道的是
- 是否可以?
- 是否可行- 維護噩夢、神秘連接和不穩定都是問題,即使我記錄了一個晦澀難懂的配置(參見上面的 SSH),也沒有人閱讀文件。
- 如果既可行又可行,我應該如何設置它?我想我會處理 NAT 和訪問規則,還有什麼?我的 VPN 經驗通常是在可配置性低於 Sonicwalls 的路由器上使用站點到站點隧道。
- 有哪些問題(例如,欺騙檢測丟棄某人使用 ABC 路由遇到的數據包的問題)?
這個問題類似於Client access cross location through VPN tunnel,但我沒有找到特別有用的唯一答案,在這種情況下我不關心 DNS 和 WINS。
這實際上是可能的,也是可行的。以下是我如何設置 OWA 訪問目前託管但最終將移至現場的 Exchange 伺服器。埠 443 已在使用中,因此這還涉及將 Exchange 2007 的 OWA 轉換為響應 40443。我最初計劃也將 40443(在現實世界中)重新映射到 443(內部和通過 VPN),但我決定只是要求麻煩。
在 Network/Address Objects 區域中,為特定的遠端機器定義了一個地址對象,
RemoteExchange
在區域中10.11.12.13/255.255.255.255
作為 a 。Host``VPN
在 Network/Serices 區域中,定義了一個服務
RemoteOWA40443
,TCP
其開始和結束埠為40443
.在 Network/NAT Policies 區域中,創建了一個策略
- 來源
+ 原來的:
Any
+ 翻譯:Original
- 目的地
+ 原來的:
WAN Primary IP
+ 翻譯:RemoteExchange
- 服務
+ 原來的:
RemoteOWA40443
+ 翻譯:Original
- 界面
+ 入境:
Any
+ 出境:Any
在防火牆/訪問規則中,添加了允許規則
- 從區域:
WAN
- To Zone:(
VPN
我們正在使用 IPSEC,這可能是其他站點的 SSLVPN)- 服務:
RemoteOWA40443
- 來源:
Any
- 目的地:
Any
- 允許的使用者:(由您決定)
- 時間表:(由您決定)
- 評論:(
Redirect Exchange OWA from our address to hosted server
真的,使用這些評論欄位 - 當您審查和維護時,您會感謝自己)- 啟用日誌記錄:(
Checked
我最初All Zones
為 From 和 To 添加了多個規則,然後在測試後刪除了沒有流量的規則)。在 Exchange 端,這需要更改它在預設網站的 IIS 管理屬性中偵聽的 SSL 埠,為 Outlook Anywhere 設置外部主機名,並為 OWA 設置外部 URL 以包含
:40443
.