<解決済み> 解決策は編集3を参照してください。
こんにちは。この問題のトラブルシューティングに数時間取り組んできましたが、もうどうすればいいのかわからなくなっています。
まず、私は「reverseProxy」というポリシーを持っています。タイプはカスタムタイプで、UDPとTCPの80と443ポートを対象としています。送信元:Any、宛先:SNATの外部IPから「内部IP」へ。
すべてのユーザー(内部外部問わず)は、このポリシーで正常にリダイレクトされます。ただし、SSL VPNを設定しようとしているときに、SSL VPNのユーザーだけがリダイレクトされず、「内部ポリシー」でブロックされています。Web UIのポリシーチェッカーを使用すると、スプーフィング攻撃として分類されると表示されました。スクリーンショットを撮ろうと試みましたが、その時は単に次のように表示されました:
Policy Checker cannot complete the requested search at this time. Verify that your search parameters were entered correctly and try again.
VPNユーザーがSNATの背後にあるサーバーへのアクセスを許可するようポリシーを変更する方法がわかりません。VPNポリシーは「To: Any」を許可しており、SNATポリシーは「From: Any」を許可しています。助けていただけると幸いです。何度も同じところをぐるぐる回っていて、精神的に限界です。
ルータの設定をルーティングからブリッジに変更しようとしましたが、残念ながらブリッジはAndroidデバイスで使用しているOpenVPNクライアントと互換性がないため選択できません。
こちらはポリシーのスクリーンショットです:https://i.imgur.com/jojoAUA.png
編集:Watchguardを再起動したところ、ポリシーチェッカーの動作スクリーンショットを取得できました。最初にテストしたときはIPを間違えて入力したのか、スプーフィングと分類されていませんでした。VPNネットワークに対してはNAT IPにリダイレクトされませんが、WiFiネットワークインターフェースからIPを取得してテストすると正常にリダイレクトされます。
編集2:トラフィックモニタのログのスクリーンショットも取りました。こちらは再びスプーフィングと表示されています。正直、何が起こっているのかわからなくなっていますが、これが唯一生成されるメッセージです:
https://i.imgur.com/qcNFJFm.png
編集3:ついに解決策を見つけました。SNATが「External」インターフェースで設定されていたのを、「Any-External」に変更しただけで正常に動作し始めました。皆さんの助けに感謝します。
トラフィックモニタの試行時のスクリーンショットが必要です
SSL/VPNをテストするには、https://[ip]:443/ssl_vpn.html にアクセスする必要があります。ファイアウォールのポート443を内部IPにプロキシしている場合、SSL/VPNは正常に動作しません。
スプーフィングの無効化は緊急時には効果的かもしれません。パケットが仮想IPから出所しているが、ファイアウォールはそのIPを所有していないためです。ループバックポリシーを追加してください。設定方法のドキュメントがあります。基本的に、送信元:VPNサブネット(例:192.168.114.0/24)宛先:SNATの設定と同じにし、その上で詳細設定で公開IPを別に設定します。ポリシーのログをオンにし、既存のSNATより上に新しいポリシーを配置します。ポート範囲は必要なポートだけ使用してください。"ANY"は避けてください。これにより自動的に順序が変わるかもしれません。説明は完璧ではないかもしれませんが、正しい方向だと思います。
完了しました。今は編集にありますが、こちらが直接のリンクです:https://i.imgur.com/qcNFJFm.png
VPNを設定したときにポートを444に変更したことを忘れていました。VPNに接続できるクライアントはいますが、接続後にSNATの背後にあるサーバーへアクセスできません。
基本的にこうです: NAT Loopback and Static NAT (SNAT)
ただし、FromフィールドにはVPNネットワークの範囲(例:192.168.114.0/24)を入力しますか?
"vpn client ip"は、あなたがSSL VPN範囲として指定したIP範囲ですか?
なぜなら、IPスプーフィングは、ファイアウォールがサブネットを含むトラフィックを予期していない場合に起こるからです。
奇妙なNATや設定はありますか?
VPNクライアント用にあなたの内部IPスキームに含まれないIPプールを作成し、そのIPにアクセスできるようにユーザーに許可しましたか? トレースでは443ポートが表示されており、実際には444に来るはずです。
aztman
10
はい。その後、すぐに動作しなかった場合は、新しいポリシーを使っていることをログで確認してください。
簡単な解決策は、IPスプーフィングを無効にして動作させることです。その後、チケットを出して問題解決を待つのも良いでしょう。
良い質問です。VPNクライアントには、私の内部スキームと異なるIPスキームがあり、すべてのネットワークリソースへのアクセスが許可設定されています。
ただし、私がトレースしているのはポート443であり、ユーザーはHTTPSリソースにアクセスしています。その場合、ポート444をトレースすべきでしょうか? VPNはポート444ですが、SNAT背後のHTTPSリソースはポート443です。
あまり効果がないようです。もっとログを取ってみました。スクリーンショットのリンクは以下です:https://i.imgur.com/DH2F7sK.png
追記:最初のリンクにはIP情報をマスクし忘れた部分があったので差し替えました。
