Som titeln antyder finns det en enhet där ute som försöker etablera en VPN-tunnel. Det finns ingen policy för den IP/tunneln, så loggar visar ett VPN-varningsmeddelande IKE Responder: VPN-policy för gateway-adress inte hittad var 30:e sekund. Jag antog att skapa en Nekar regel med den ursprungliga IP:n som källa och alla tjänster nekade skulle blockera allt från den IP:n, men loggen fortsätter visa IKE-responder-meddelanden med det oundvikliga Payload bearbetning misslyckades meddelande.Finns det ett sätt att blockera allt, inklusive försök till VPN-tunnlar från en WAN-IP?
När du skapade din nekarregel, vilka zoner skapade du den för?
Det borde fungera om du skapar en WAN > WAN nek, eller kasseringsregel med källan som den felande IP:n, och destinationen som din WAN publik-IP.
Du kan låta tjänsten vara ‘Any’ eller välja tjänst IKE.
De initiala IKE-meddelandena för att skapa tunneln är tekniskt WAN till WAN, likaså SSLVPN-trafiken på port 4433. Endast när tunneln är etablerad passerar trafiken till ditt LAN / andra zoner.
Redigering: vi har dessa regler för att säkerställa att tunnlar endast är tillåtna på en av våra WAN-anslutningar. Jag är osäker på om det stoppar meddelandena i loggen, men i teorin borde det eftersom regeln skulle släppa trafiken innan den vidarebefordras till VPN-delen av SonicWall.
Jag skapar ett adressobjekt för varje IP-adress jag vill blockera, sedan skapar ett adresgrupp som innehåller dessa blockerade IP-adresser.
Därifrån skapar jag en WAN till LAN-brandväggsregel med källobjekten som den blockerade IP-adressgruppen, destinationen som mitt LAN, tjänsten som vilken som helst, och åtgärden att neka allt.
Denna konfiguration är baserad på dokumentation tillhandahållen av SonicWall, samt hjälp tillhandahållen av SonicWall-teknisk support. Jag har också testat denna konfiguration och funnit att den fungerar. Testet bestod av att lägga till min offentliga WAN-IP-adress från mitt kontor till blocklistan och sedan försöka skapa en VPN-tunnel till SonicWall, samt att försöka köra portskanningar av SonicWall utifrån.
Om du använder Site till Site VPN: er och inte den globala VPN-klienten, kan du redigera standardreglerna för att åstadkomma detta. När du aktiverar IPSEC VPN: er, skapar SonicWall automatiskt två IKE-regler som visas som WAN till WAN. En kommer från WAN-gränssnittets IP och den andra till WAN-gränssnittets IP. Du kan ändra källan från ‘Any’ till de offentliga IP:erna för din grannkontor (skapa en grupp om du har fler än en VPN-tunnel).
Du kan fortfarande se försöken i loggarna på något sätt, men det förhindrar att brandväggen faktiskt kontrollerar om parametrarna är korrekta. Vissa PCI-skannrar kommer att klaga om IKE är öppet och detta förhindrar att du flaggas för det också.
Om du använder den globala VPN-klienten, kan du behöva använda en nekarregel, prova att specificera IKE i regeln istället för ‘Any’.
“Aktivera möjligheten att ta bort och fullt redigera automatiskt tillagda åtkomstregler.”
https://www.sonicwall.com/support/knowledge-base/how-to-edit-or-delete-auto-added-access-rule-s-and-nat-policies/170502578285909/
Sedan kan du ändra dina policyer för IKE, till endast dina WAN-IP:er istället för ‘Any’.
Jag har försökt att åstadkomma detta i evigheter men har inte hittat någon lösning. Det irriterar mig så mycket. Brandväggsregler hjälper inte.
Jag ska prova WAN > WAN. Jag tror att jag hade det inställt som WAN > VPN och såg inga räknare i regelloggen.
Jag tror att det löste det. Det ser ut som att skapa samma brandväggsregel men Zone WAN > WAN var tricket. Det hade aldrig fallit mig in att trafiken fortfarande är på WAN-sidan. Tack så mycket!
Fungerade som en charm! Tack
Jag har samma setup för att blockera annan WAN-trafik så jag lade helt enkelt till WAN-IP i gruppen. Det stoppade inte IKE-trafiken. Troligen för att den inte nådde LAN-sidan än.
Trevligt! Glad att jag kunde hjälpa till
Vilka tjänster blockerar du med den brandväggsregeln? Är det inställt på ‘any/all’?
Vad är prioriteten för den? Ändra till 1.
Ja, alltid överst/prioritet 1.
Hmmmm. Har du försökt göra en specifik regel för att blockera den tjänsten för den specifika adressobjektet?