おそらく簡単な問題だと思いますが、私たちは最近、10.1.10で動作しているHAペアのPA-850を引き継ぎ、IPSEC VPNを通じて中央拠点から管理(Web GUIとSSHの両方)にアクセスできるよう設定を行いたいです。
現状については、VPNは設定して稼働していますが、管理IPへのアクセスを許可する設定方法がわからずにいます。
VPN経由のトラフィックは正しい宛先で到達していますが、逆方向のトラフィックは帰ってきません。今のところ、「アクセス許可リスト」に管理インターフェースへの接続を許可するIPが設定されていないようです。
どこを確認すればよいでしょうか?
トンネルのインターフェースに適切な管理プロファイルを追加すれば、そのインターフェースに割り当てられたIPを使ってGUIにアクセスできます。
ループバックを作成してVPNゾーンに割り当ててください。アクセス制限を忘れずに設定してください。必要な人々に異なるIP範囲を割り当てることもできます。
面白い事実ですが、ネットワークや動的ルーティングがおかしい場合は、ループバックにSSH接続し、その後モニタリングインターフェースから2番目のSSHセッションを開き、そこからアクセスできるものに接続することも可能です。コアにVLANインターフェースを設定すれば、信頼できる「裏口」ができあがります。
追記:これはあなたの問題を解決しませんが、アクセス性に良い追加機能となり、家庭からネットワークをコントロールする自信もつきます。
管理IPへのルートが正しく設定されていることを確認してください。ルートが設定されていなければ、トラフィックは通りません。セキュリティポリシーがこのトラフィックを許可しているかも確認してください。
トラフィックモニターを使って、管理IPへのトラフィックが許可されているか拒否されているかを確認しましょう。どのインターフェースから出ているかもチェックしてください。その後、リモートのファイアウォールでも同じことを行います。
VPNはPalo to Paloですか、それともPalo to Ciscoですか?
実際にはSonicWall NSAとPaloです。VPNトンネルを正しく通っていますので、Palo側の設定のみ必要だと思います。
Paloに到達しているトラフィックが見えると言いましたが、「許可」セキュリティポリシーにヒットしていますか?Paloにルートは設定されていますか? SonicWall VPNクライアントに戻すルートもありますか?
許可ルールにヒットしているようですし、そのルールはLANのマシンから管理インターフェースにアクセスする際にも使われています。
ロギングビューの「アプリケーション」部分は「未完了」とだけ表示されていて、これは最初の接続要求以外の通信が通っていないことを示唆しています(ルーティングの問題であり、接続の応答が送信元IPに戻されていないことも意味します)。
トラフィックをトンネルを通して返していますか?
ルートはVPNトンネルのインターフェースに向けて送信されている必要があります。
仮想ルーターの設定で、静的ルートに追加し、クライアントネットワークのサブネット/サブネットを追加し、VPNを設定したトンネルインターフェースを選びます。
これでルーティングの問題は解決します。
もう一つ、Proxy IDを追加する必要があります。これは「ポリシーベースVPN」の場合に必要です。
Proxy ID内で小さなタグIDを作成し、リモートIPのアドレス、そしてメインオフィスの0.0.0.0/0を追加します(セットアップに応じて逆もあります)。
役立つことを願います。
送信および受信バイト数を有効にしてください。受信が0なら、返信トラフィックがファイアウォールに返されていません。
アドバイスありがとうございます。再確認しましたが、リモートサブネットには静的ルートが設定されていますし、SonicWallの設定も逆方向に設定されています。
PAからローカルのマシンでtracerouteを行うと、いくつかのホップを経由しているのがわかります。最初は機械のサブネットのゲートウェイIP、その次はPAの別のインターフェースのようで、最後に管理IPに到達します。
これが問題だと思っていて、中間のサブネットもルーティングに追加しましたが、効果はありません。
最終的にはデバイスの設定を一から再構築するつもりですが、それまでモニタリングに接続できると良いですね。
結局のところ、問題は管理インターフェースのゲートウェイIPがレイヤー3ルーティングを行うスイッチにあり、そのスイッチにはVPNのトラフィックを送るルートが設定されていませんでした。皆さんのアドバイスに感謝します。これからはPaloの管理にもっと慣れる必要がありそうです!