Рейтинг:0

Доступ к общедоступному интерфейсу управления SonicWALL из подсети локальной сети, защищенной брандмауэром.

флаг ec

Я пытаюсь работать с SonicOS API в проекте, чтобы попытаться автоматизировать обновление и развертывание сертификатов SSL от Let's Encrypt. Однако я не могу установить соединение с конечной точкой API из-за брандмауэра, как бы я ни пытался туда попасть:

  • По LAN (X0) IP-адресу - Соединение отклоняет соединение HTTPS, поскольку установленный сертификат SSL предназначен для общедоступного адреса поддомена (fw.example.com). Конечно, я обычно получаю доступ к интерфейсу управления брандмауэром через браузер и могу в интерактивном режиме сказать браузеру «игнорировать ошибку»/«принять риск» и продолжить. Однако мое приложение предназначено для работы без вмешательства пользователя, поэтому этого не произойдет.
  • По DNS-имени (https://fw.example.com) - Согласно исключению, выброшенному моим приложением, брандмауэр "активно отказывается" от соединения. Я попытался использовать браузер, чтобы перейти к DNS-имени отсюда, и я получаю то же самое: «Отказано в подключении».
  • По общедоступному (X1) IP-адресу - Это в основном просто так, я могу сказать, что я пробовал, но, по крайней мере, я получаю другую ошибку от этого подключения. Здесь говорится, что время ожидания соединения истекло (а не было отклонено), но, поскольку сертификат SSL выдается для DNS-имени, я предполагаю, что это в конечном итоге приведет к тому же результату, что и попытка через IP-адрес локальной сети.

После прочтения принятого ответа на Управление Sonicwall HTTPS из локальной сети с использованием WAN IP, я зашел и добавил следующее правило доступа и политику NAT (поскольку ОП, похоже, находится в аналогичной ситуации, если не по тем же причинам).:

Управление WAN из настроек LAN

Теперь, по крайней мере, я больше не получаю сообщение об ошибке «Отказано в подключении», когда пытаюсь получить доступ к интерфейсу управления по DNS-имени отсюда, но теперь я получаю сообщение «Время ожидания подключения истекло». я может доступ к нему из-за пределов нашей сети (проверено с моим мобильным устройством), поэтому я знаю, что это не просто прямой отказ от соединений на этом интерфейсе.Я уверен, что это просто вопрос «настройки» этих правил/настроек конфигурации, но я не уверен, что я мог здесь упустить. Может ли кто-нибудь помочь мне найти то, что мне не хватает, чтобы правильно настроить эти правила?


РЕДАКТИРОВАТЬ

Я уже обнаружил одну «проблему» с конфигурацией, как я указал на скриншоте выше: я случайно установил службу на HTTP-управление вместо HTTPS-управление. Я исправил это в Настройки политики NAT, но я до сих пор не могу туда попасть. Я снова получаю сообщение об ошибке «Отказано в подключении», когда пытаюсь попасть туда по DNS-имени в своем браузере.

  • Оригинальный источник: Подсети, защищенные брандмауэром
  • Переведенный источник: Оригинал
  • Первоначальный пункт назначения: X1 IP
  • Переведенное место назначения: Все IP управления X1
  • Оригинальный сервис: HTTPС Управление
  • Служба перевода: Оригинал
  • Входящий интерфейс: Х1
  • Исходящий интерфейс: Любой
G_Hosa_Phat avatar
флаг ec
Я нашел способ обойти эту проблему для своего текущего проекта - игнорирование ошибки сертификата при подключении к IP-адресу локальной сети, но мне все же хотелось бы знать, как этого добиться.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.