标签: sonicwall

我有一个戴尔交换机 N1548

我有一个音墙 TZ 215

我已经关注了我可以在网上找到的所有博客和论坛帖子，但仍然无法让我的 sonicpoint 将地址从 sonicwall 分发到无线客户端。

DHCP 适用于所有其他人

这是我从交换机运行的配置

console(config)#show running-config

!Current Configuration:
!System     description "Dell Networking N1548, 6.2.5.3, Linux 3.6.5"
!System Software Version 6.2.5.3
!
configure
vlan 10
exit
vlan 10
name "Wireless"
exit
sntp unicast client enable
sntp server "us.pool.ntp.org"
clock summer-time recurring USA zone "EST"    
clock timezone -5 minutes 0 zone "EST"    
stack
member 1 3    ! N1548
member 2 3    ! N1548
member 3 3    ! N1548
member 4 2    ! N1524P …

我正在尝试将 SonicWALL 配置为允许 VPN 用户进行 LDAP 身份验证。我以前用另一台设备做过这件事，我记得这很简单。但这次我不能让它在我的生活中工作。

当我启用“LDAP + 本地用户”模式，输入 LDAP 服务器信息和 AD 组名称时，我不断收到“LDAP 身份验证失败”或“LDAP 服务器上的凭据无效”错误。我已经尝试了所有对我有意义的设置的不同排列，结果相同。到目前为止，SonicWALL 支持绝对没有帮助。我已按照他们的手册说明进行了操作，但没有解决方案。

这里有人遇到过同样的情况吗？我觉得我错过了某个地方的设置......

我正在使用位于以透明桥接模式运行的 Sonicwall PRO 2040 增强型防火墙后面的一对位于同一位置的 CentOS Linux 服务器。

这些服务器在下载超过几兆字节的文件时遇到了一个奇怪的问题。例如，如果我尝试从 kernel.org 中 wget 或 FTP 一个 Linux 内核的副本，第一个 ~1-2MB 将以 600+K/s 的速度下载，然后吞吐量将下降到 1K/s。

我已经检查了所有可疑的防火墙配置设置，但什么也没找到。更有趣的是，我使用位于同一防火墙后面的 Windows 服务器执行相同的下载，并且它一直以 600+K/s 的速度通过。

有没有人看到这个？我应该从哪里开始寻找解决此问题的方法？

我们希望从 PFSense 和 CARP 转移到一对以主动/被动方式配置的SonicWall NSA 2400 ¹以实现高可用性。

我以前从未与 SonicWall 打过交道，所以有什么我应该知道但他们的销售人员不会告诉我的吗？

我知道他们的许多设备由于许可错误而关闭连接存在问题，并且他们有一个非常复杂的管理 GUI（至少在旧设备上），但是还有其他大的“问题”吗？在向这些设备投入大量资金之前，我需要注意什么？

_{¹如果您不在美国，SonicWall 全球站点会很糟糕。使用美国站点进行所有产品研究，然后在需要本地信息时使用本地站点。}

我有一个站点到站点 VPN 设置了两个 SonicWall（一个 TZ170 和一个 Pro1260）。有人向我建议关闭加密（因此 VPN 仅进行隧道传输）会提高性能。（我不关心安全性，因为 VPN 运行在受信任的线路上。）

使用 FTP 和 HTTP 传输，我测量了大约 130±10 kB/s 的基准性能。Ipsec（第 2 阶段）加密设置为 3DES，因此我将其设置为“无”。然而，效果相反——性能下降到 60±30 kB/s，并且在任何数据传输之前传输停止了大约 25 秒。我尝试了 AES-128，吞吐量上升到 160±5 kB/s。我的线路的额定速度是 193 kB/s（这是一个 T1）。

与我的想法相反，更强的 Ipsec 加密似乎可以提高吞吐量。任何人都可以解释这里可能发生的事情吗？为什么不加密会导致性能低下且高度可变，并导致传输停滞？为什么 AES-128 可以提高性能？

我敢肯定，这对于服务器管理员来说是一个非常简单的问题，但对于不想中断整个公司的互联网访问的程序员来说并不是那么简单。

我们的有线电视提供商为我们分配了两个相邻的 IP 地址。我想将某些流量从第二个 IP 地址路由到特定机器；但我不确定如何设置路线。X1 接口设置为 WAN，子网掩码为 255.255.255.224，其中包括附加 IP 地址。

网络 -> 路由是设置它的正确位置吗？我是否需要为这个单一的 ip 创建一个新的地址对象并将其用作源？

任何帮助将不胜感激。先感谢您。

所以，我已经建立了一个 IPSec 站点到站点隧道。

站点 A 有一个 SonicWall，站点 B 有一个 EdgeRouter。

第一条隧道由站点 A 的 NAT 化 ips 到站点 B 的 NAT 化 ips 组成。

一切都按预期工作。

接下来，我有一个站点 B 需要访问的公共 IP 范围，但是，请求需要看起来像是来自站点 A。当我设置这个隧道时，我只能看到网关处的流量下降。

我无法访问任何这些 ip。由于它在 lan 到 lan 的相同配置中工作正常，我相信这可能是 NAT 问题 - 但我不确定，也不知道如何进一步诊断。

这可能是一个红鲱鱼，因为我不是很自信......我已经尝试在 VPN>WAN/WAN>VPN 上加入“允许所有”规则，然后过滤到一个单独的 IP，然后从站点 B ping 它.. . 我看到丢包了。

任何人都可以在这里提供任何建议吗？

我正在尝试导入由我使用 AD CS 在 Windows 中设置的 CA 创建的证书。我做了以下工作：

1) 创建自己的 CA (MyCompany)
2) 启用 Web 服务（主要是为了便于配置）
3) 在 Sonicwall 本身上生成证书请求
4) 使用 Web 服务对证书进行签名
5) 将签名证书导入 Sonicwall 。 ..这导致证书在“已验证”字段中显示“否”。
6）导入CA的证书。

这就是我卡住的地方。我试图导入 CRL 列表，但收到以下错误：CRL Error - Verification failed using CA certificate. 日志中不会出现更多错误。如果没有 CRL 列表，证书将无法验证，也不会出现在“管理”页面下，因此我可以选择它以通过 HTTPS 使用。

有任何想法吗？

编辑：当我尝试使用我的 HTTP 发布列表时，来自 Sonicwall：

07/02/2013 14:33:54.256 Alert   VPN PKI Cannot Validate Issuer Path         HTTPS        
19  07/02/2013 14:33:54.256 Alert   VPN PKI CRL validation failure for Root Certificate         MyCompanyCA      
20  07/02/2013 14:33:54.256 Alert   VPN …

我们使用 SonicWall NSA 3500 作为我们的主路由器。我们也有一个 SonicWall Analyzer 虚拟设备，它从 NSA 3500 获取信息并确定各种内容，例如带宽使用情况。

我们有来自同一个 ISP 的 2 个互联网连接。一种是电缆，另一种是光纤。光纤连接是我们有 100 GB/mo 限制并且必须支付超额费用的连接。从现在开始，这仅与光纤连接有关。

然而，我们的 ISP 和 Analyzer 设备似乎给我提供了不同的月度读数。

11 月，Analyzer 报告我们的光纤连接使用了118.1 GB的带宽。我们 ISP 的发票显示我们使用了505.1 GB。

这些数字怎么会相差如此之大？如何解决此带宽使用情况的原因？在 SonicWall 分析器中，我查看了整个 11 月的 SonicWall 接口，该接口连接了我们的光纤连接，那时我获得了 118 GB。

我们已经联系了我们的 ISP，他们声称他们的阅读系统没有任何问题。

在我实施了一个新的备份系统后，我们首先开始注意到我们的使用高峰，该系统通过异地互联网复制备份，但是在我们弄清楚这一点时，过去 2 个月已完全从网络中删除。当我说完全删除时，我的意思是我进入了 SonicWall 并禁用了 VPN 连接。我还进入了备份软件并关闭了复制。

我有思科 2921和Sonicwall NSA 3600。我正在尝试设置站点到站点 VPN。我正进入（状态：

Received notify. NO_PROPOSAL_CHOSEN

在 Sonicwall 日志中，但未设置 VPN。

看起来第一阶段没问题，因为我得到：

Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500  CISCO_IP, 500 VPN Policy: test   

在 NO_PROPOSAL_CHOSEN 消息之前的 sonicwall 日志中。

我检查过：

• 双方的认证/授权算法并且它们匹配（DES/SHA1）
• 在连接的两端配置了正确的子网（Sonicwall 端为 172.16.0.0，Cisco 端为 172.19.0.0）

这两种调试加密ISAKMP和调试加密的IPSec思科并没有给我任何的输出。

因为 WAN 接口设置为 /28，所以有一些 nat-i​​ng 设置，但我认为它不相关，所以我从下面的 CISCO 配置示例中删除了它，我会在需要时添加它。连接到 172.19.0.0 的计算机可以使用正确的 IP 地址访问互联网，所以我认为 nat-i​​ng 无关紧要。

有人可以帮我解决这个问题吗？我可能缺少一些配置或者我犯了一个愚蠢的错误。

相关 cisco 配置：

// Phase 1
crypto isakmp policy 1
 authentication pre-share
 group 2 …