Possível encaminhar porta a partir de um lado WAN do Sonicwall (série TZ200) através de um túnel VPN? (Resposta: sim)

1

TL; DR Um encaminhamento de porta da série Sonicwall TZ200 para um host que não esteja na sub-rede interna local? Se sim, esse host pode ser acessado através de um túnel VPN com o Sonicwall como um endpoint?

Temos um aplicativo em execução em um site remoto (de terceiros) que gostaríamos de disponibilizar fora das redes do escritório. Configurar o acesso direto a esse site pode ser possível, mas, por alguns motivos, gostaríamos de canalizar esse tráfego pelo site do escritório principal, se possível. Existe uma VPN IPSEC sempre ativa entre os sites, e os sistemas envolvidos são todos servidores baseados no Windows. O roteador de terceiros é um Cisco / Linksys RVxxx.

Eu sei que eu provavelmente poderia fazer coisas de Rube Goldberg envolvendo túneis SSH de caixas internas do Linux, mas eu sugaria e realocaria o servidor ou o abriria no site de terceiros antes de fazer qualquer coisa assim .

Basicamente, o que eu estou querendo saber é

  1. É possível?
  2. É factível - pesadelos de manutenção, conexões misteriosas e instabilidade seriam todos problemas, e mesmo se eu documentar uma configuração obscura e esotérica (veja SSH acima), ninguém lê a documentação.
  3. Se for possível e viável, como devo configurá-lo? Eu suponho que eu estaria lidando com as regras NAT e Access, mais alguma coisa? Minha experiência de VPN é geralmente com túneis site a site em roteadores com menos configurabilidade do que Sonicwalls.
  4. Quais são as capturas (por exemplo, o problema com a detecção de falsificação descartando pacotes que alguém encontrou em um roteamento A-B-C)?

Esta pergunta é semelhante a Localização transversal do acesso do cliente por meio do túnel VPN , mas eu não estou achando a única resposta para aquele particularmente útil e eu não estou preocupado com DNS e WINS neste caso.

    
por fencepost 12.09.2011 / 19:58

1 resposta

1

Isso é de fato possível e viável. Aqui está como eu configurei para o acesso do OWA a um servidor Exchange que está hospedado atualmente, mas que eventualmente irá migrar para o local. A porta 443 já estava em uso, o que também envolve a mudança do OWA do Exchange 2007 para responder no 40443. Eu planejara originalmente também fazer o remapeamento de 40443 (no mundo real) para 443 (internamente e sobre VPN), mas decidi que estava apenas perguntando por problemas.

Na área Objetos de Rede / Endereço, definiu um Objeto de Endereço para a máquina remota específica, RemoteExchange on 10.11.12.13/255.255.255.255 como Host na VPN Zone.

Na área Rede / Serviços, definiu um serviço RemoteOWA40443 as TCP com as portas inicial e final de 40443 .

Na área Políticas de rede / NAT, crie uma política com

  • Source
    • Original: Any
    • Translated: Original
  • Destination
    • Original: WAN Primary IP
    • Translated: RemoteExchange
  • Service
    • Original: RemoteOWA40443
    • Translated: Original
  • Interface
    • Inbound: Any
    • Outbound: Any

No Firewall / Regras de acesso, adicionada uma regra Permitir

  • Da zona: WAN
  • Para Zona: VPN (estamos usando o IPSEC, isso pode ser SSLVPN para outros sites)
  • Serviço: RemoteOWA40443
  • Origem: Any
  • Destino: Any
  • Usuários permitidos: (até você)
  • Agenda: (até você)
  • Comentário: Redirect Exchange OWA from our address to hosted server (Realmente, use esses campos de comentários - você agradecerá ao revisar e manter)
  • Habilitar o registro em log: Checked (adicionei originalmente várias regras usando All Zones para De e Para e, em seguida, removi as regras sem tráfego depois de testar).

No lado do Exchange, isso exigia a alteração da porta SSL em que ele estava escutando nas propriedades do Administrador do IIS para o site padrão, a definição do nome do host externo para o Outlook em Qualquer Lugar e a configuração da URL externa do OWA para incluir o :40443 .

    
por 15.09.2011 / 21:40