Я пытаюсь работать с SonicOS API в проекте, чтобы попытаться автоматизировать обновление и развертывание сертификатов SSL от Let's Encrypt. Однако я не могу установить соединение с конечной точкой API из-за брандмауэра, как бы я ни пытался туда попасть:
- По LAN (X0) IP-адресу - Соединение отклоняет соединение HTTPS, поскольку установленный сертификат SSL предназначен для общедоступного адреса поддомена (
fw.example.com). Конечно, я обычно получаю доступ к интерфейсу управления брандмауэром через браузер и могу в интерактивном режиме сказать браузеру «игнорировать ошибку»/«принять риск» и продолжить. Однако мое приложение предназначено для работы без вмешательства пользователя, поэтому этого не произойдет.
- По DNS-имени (
https://fw.example.com) - Согласно исключению, выброшенному моим приложением, брандмауэр "активно отказывается" от соединения. Я попытался использовать браузер, чтобы перейти к DNS-имени отсюда, и я получаю то же самое: «Отказано в подключении».
- По общедоступному (X1) IP-адресу - Это в основном просто так, я могу сказать, что я пробовал, но, по крайней мере, я получаю другую ошибку от этого подключения. Здесь говорится, что время ожидания соединения истекло (а не было отклонено), но, поскольку сертификат SSL выдается для DNS-имени, я предполагаю, что это в конечном итоге приведет к тому же результату, что и попытка через IP-адрес локальной сети.
После прочтения принятого ответа на Управление Sonicwall HTTPS из локальной сети с использованием WAN IP, я зашел и добавил следующее правило доступа и политику NAT (поскольку ОП, похоже, находится в аналогичной ситуации, если не по тем же причинам).:
Теперь, по крайней мере, я больше не получаю сообщение об ошибке «Отказано в подключении», когда пытаюсь получить доступ к интерфейсу управления по DNS-имени отсюда, но теперь я получаю сообщение «Время ожидания подключения истекло». я может доступ к нему из-за пределов нашей сети (проверено с моим мобильным устройством), поэтому я знаю, что это не просто прямой отказ от соединений на этом интерфейсе.Я уверен, что это просто вопрос «настройки» этих правил/настроек конфигурации, но я не уверен, что я мог здесь упустить. Может ли кто-нибудь помочь мне найти то, что мне не хватает, чтобы правильно настроить эти правила?
РЕДАКТИРОВАТЬ
Я уже обнаружил одну «проблему» с конфигурацией, как я указал на скриншоте выше: я случайно установил службу на HTTP-управление вместо HTTPS-управление. Я исправил это в Настройки политики NAT, но я до сих пор не могу туда попасть. Я снова получаю сообщение об ошибке «Отказано в подключении», когда пытаюсь попасть туда по DNS-имени в своем браузере.
- Оригинальный источник: Подсети, защищенные брандмауэром
- Переведенный источник: Оригинал
- Первоначальный пункт назначения: X1 IP
- Переведенное место назначения: Все IP управления X1
- Оригинальный сервис: HTTPС Управление
- Служба перевода: Оригинал
- Входящий интерфейс: Х1
- Исходящий интерфейс: Любой
