VPN: SonicWall Global VPNクライアント(GVC)で接続したときインターネットアクセスできない

Description

VPN: SonicWall Global VPNクライアント(GVC)で接続したときインターネットアクセスできない

Resolution


問題:Global VPN Clientで接続したときVPNネットワークにアクセスできるがインターネットにアクセスできない

 

GroupVPNのコネクションの制御の設定で“トンネルを分割する“を使用することでSonicWallファイアウォールにGlobal VPN Client(GVC)で接続すると同時に、他のすべてのトラフィック(ウェブサーフィンのような)をローカルインターネットコネクションを使用してVPNリソースにアクセスすることができます。

また、インターネット向けのラフィックのすべてが、はじめにクライアントVPNコネクションの向こう側に送られて、そのファイアウォールのインターネットコネクションから送り出される'すべてのゲートウェイ'(または、'全てのゲートウェイ')の構成を選ぶこともできます。

GVCからSonicWallへの接続に“トンネルを分割する“接続を行った場合、いくつかの設定が間違っている場合には、インターネット接続がブロックされる場合があります。

同様に”すべてのゲートウェイ“でGVC接続を行った場合ファイアウォールでインターネットアクセスが動作するように設定をする必要があります


 考えられる原因:

- GVCGroupVPN構成(VPN->設定)で以下のオプションを有効にすることによってインターネットトラフィックをブロックする現象が発生します。

  • デフォルトゲートウェイ--ネットワーク管理者がこのVPNポリシでIPSecパケットがデフォルトネットワークルータのIPアドレスに送られるように指定します。  パケットはスタティックルートと比較されれルートが見つけられない場合、セキュリティアプライアンスはDefaultゲートウェイをチェックします。 Defaultゲートウェイが検出された場合、パケットはゲートウェイを通して送られます。 さもなければ、パケットはドロップさせられます。
  • コネクション制御 このゲートウェイのみ - 一度に可能な接続が一つに制限されます。指定されるとゲートウェイのポリシで指定された宛先ネットワークに一致するトラフィックがVPNトンネルを通して送られます。また、このオプションが“このゲートウェイをデフォルトルートに設定する“と共に選択された場合、インターネットトラフィックはこのVPNトンネルを通して送られます。
  • “このゲートウェイをデフォルトルートに設定する“ - このオプションがチェックされた場合、 Tunnel Allの設定と同じ振る舞いになります。 チェックをはずした場合、”このゲートウェイ”か”全てのゲートウェイ”で許可トラフィックが選択されているなら、Global VPN Clientはすべてのマッチしないトラフィックをドロップすることになります。

 ノート: GroupVPNポリシのクライアントタブの“このゲートウェイをデフォルトルートに設定する“がチェックされていなくて、”トンネルを分割する”が選択されていないなら、インターネットトラフィックはブロックされます。 このオプションは、すべてのリモートVPNコネクションがこのVPNトンネルを通ってインターネットにアクセスするのを可能にする。この設定を使用する場合ひとつのVPNのみ構成することが可能です。

 

トンネルを分割するのためのGroupVPN設定
WAN GroupVPNポリシの編集アイコンをクリックしてください。 VPNポリシーウィンドウが表示されます。

  1. 詳細設定タブをクリックします。デフォルトゲートウェイを0.0.0.0に設定します。
  2. クライアントタブをクリックしコネクションの制御を“トンネルを分割する”に設定してください。
  3. ”このゲートウェイをデフォルト ルートに設定する ”のチェックを外します。
  4. OKをクリックしてください。

 

上の設定で問題が解決しない場合、ユーザ -> ローカルユーザーで、VPNアクセス列のアイコンの上にマウスを置き、割り当てられて引き継いでいるネットワークオブジェクトを確認してください 全ての“トンネルを分割する”ユーザで、以下のオブジェクトが構成されていないことを確認してください。

- VPN DHCPクライアント
- WANリモートアクセスネットワーク
- 設定されていない、そのため0.0.0.の値を持っている何らかのネットワークオブジェクト

これらのオブジェクトは”トンネルを分割する” GroupVPNを”すべてのゲートウェイ”GroupVPNへとしてしまいます。この設定の適切な例としては‘LAN Subnets'や‘Firewalled Subnets'等です。

 

GVCで接続したときにリモート・ユーザーがそれでもインターネットアクセスができない場合、Global VPN クライアントを実行しているPCの設定を確認してください。コマンドプロンプトを開きroute printコマンドをタイプします。route printディスティネーションとして0.0.0.0/0のルートがひとつだけ存在するべきで、そのゲートウェイはクライアントPC上で構成されたデフォルトゲートウェイであるべきです。 それがGVCの仮想アダプターのIPをゲートウェイとする0.0.0.0/0のルートも存在する場合はRoute Allポリシを引き継いでいる可能性があります。

“すべてのゲートウェイ“/“このゲートウェイのみ”のためのGroupVPN設定

 VPN>設定ページでVPNポリシを構成します。 GroupVPNエントリーの編集アイコンをクリックすると VPNポリシウィンドウが表示されます。

  1. 詳細設定タブをクリックし、デフォルトゲートウェイを0.0.0.0に設定します。
  2. クライアントタブをクリックし、”コネクション制御”を“このゲートウェイのみ”もしくは“すべてのゲートウェイ”に設定します。
  3. “このゲートウェイをデフォルト ルートに設定する“をチェックします。
  4. OKをクリックします。
  5. ネットワーク->NATポリシでファイアウォールのWANを経由してインターネットに出ていくため、リモートGVCユーザから来るトラフィックを翻訳するNATポリシを追加する必要があります。 これがVPN上のDHCPのあるなしにかかわらずWAN GroupVPNポリシで必要です。このNATポリシはVPNのすべてインターネットに向かうトラフィック以外のトラフィックには影響を与えません。NATポリシは以下のようなものです:

  • 変換前の送信元:すべて
  • 変換後の送信元: WAN Primary IP (or X1 IP) 
  • 変換前の送信先: すべて
  • 変換後の送信先: オリジナル 
  • 変換前サービス: すべて
  • 変換後サービス: オリジナル 
  • 受信インターフェース: X1 (or WAN) 
  • 送信インターフェース: X1 (or WAN) 
  • NATポリシーを有効にするをチェック 
  • 再帰ポリシーを作成するはチェックしないこと 
  • OKをクリック

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
SonicWall SuperMassive 9000 Series
Firewalls
SonicWall SuperMassive E10000 Series
Firewalls
TZ Series
not finding your answers?
Ask the Community