SSL-VPN in 허브-스포크 구성 / 지사 LAN 접근 가능 / 본사 LAN 접근 불가

베테랑 포티넷 사용자들은 이미 게시글 제목만 보고 모든 것을 이해하고 고개를 저으며 "이 멍청한 아이제트 좀 봐라"라고 휘파람을 부르듯 중얼거립니다.

저 같은 경우, 내일 10시간 후 비행기로 떠나는 순진한 사용자가 있는데, 올바른 정책을 적용해서 (SSL-VPN으로 연결된) 지사에서 본사 네트워크로 트래픽을 허용하는 방법을 찾지 못하고 있습니다. 이것은 상당한 문제입니다. 공유 폴더가 '허브’에서 오는 인증에 의존하기 때문에, 비행하는 사람이 문서를 가져올 수 없고, 곧 "도메인 인증 서버를 찾을 수 없음"이라는 화면을 필드에서 WhatsApp으로 찍은 스크린샷과 함께 보내며, 고위 인사에게 CC를 보낼지도 모릅니다 - 그래서, 다른 누군가가 내일 "이 멍청한 아이제트"라고 중얼거릴 수도 있고, 무작위 포티넷 사용자들 only.

이미 지사와 본사 간 SSL-VPN 주소로의 트래픽 허용 정책을 시도했지만 - 로그에서 유추할 수 있는 것은, 트래픽은 나가는 것처럼 보이나 들어오지 못하는 것(xxxx 바이트 아웃 / 0 바이트 인)입니다. 정말 전형적이네요. 거의 지루할 정도입니다.

오늘 밤의 주된 계획은 술을 더 마시다가 작동하는 해결책을 찾는 것입니다. 이 방법이 때때로 효과가 있습니다.

필수 질문 "이멍청한 아이제트, 원래 계획이 뭐였어요?!"에 대한 답변: 지난 한 주 동안 불을 끄는 것에 몰두하지 않는 것이 제 계획이었고, 그것은 대단히 실패했습니다.

좋은 밤 되세요, 또는, 서로 도와보세요. 컴퓨터 화면 앞에서 시간을 보내는 더 나쁜 방법도 있고, 더 좋은 방법도 있습니다. 결정하세요.

경로 공유를 위해 iBGP를 사용하고 계신가요?

정적 재배치를 활성화하세요

SSL 네트워크에 대한 정적 경로를 SSL 루트 인터페이스로 설정하세요

방화벽 정책이 제자리에 있는지 확인하세요

좋아요

무언가 빠진 정보가 있습니다.
지사 방화벽에서 SSLVPN에 연결하나요?
이것이 허브에 어떻게 연결되어 있나요? IPsec VPN인가요?

지사의 경우:
SSLVPN 인터페이스에서 IPsec 허브로의 정책이 필요합니다
SSLVPN 클라이언트 서브넷에 대한 정적 라우트가 필요하며, 이는 SSLVPN 인터페이스를 가리켜야 합니다. 허브 쪽 라우트는 이미 설정되어 있다고 가정합니다.

허브의 경우:
IPsec 인터페이스에서 LAN(또는 접근하려는 곳)으로의 정책이 필요합니다
SSLVPN 서브넷에 대한 정적 라우트가 IPsec 인터페이스를 가리키도록 해야 합니다.

패킷이 나가고 응답이 지사로 돌아오지 않는다면, 트래픽은 아마 허브에 멈춰 있을 가능성이 높습니다. 따라서 아직 경로나 정책이 부족할 수 있습니다.

또한 허브 쪽 로그를 확인하고 어떤 일이 일어나는지 살펴보세요. 이상적으로는 스니퍼 또는 플로우를 실행하고 출력물을 공유하세요.

간단히 말씀드리자면, 지사 방화벽 로그를 볼 때 나가는 트래픽은 보이나 들어오는 트래픽이 없는 것 같습니다.
만약 그렇다면, 본사 쪽의 라우팅 문제가 원인일 수 있습니다. 본사의 라우트가 SSL VPN IP 범위에 대해 어디를 가리키는지 확인하세요.