ファームウェアVersion6.5.1.x以降へのアップグレードにあったっての注意点
Description
ファームウェアVersion6.5.1.x以降へのアップグレード後に
LAN/DMZ/WLAN(保護/公開/無線)ゾーンからWANへの送信トラフィックに対しソースNATが適用されます。
また、アップグレード後ファイアーウォールからサーバまでの経路上にルータがある場合にTCP接続がタイムアウトする事がございます。
詳しくはファームウェアVersion6.5.1.x以降へのアップグレード後、一部ホストへのTCP接続がタイムアウトする
をご参照ください。
Cause
前提として、NATポリシーには"既定"と"個別"の2つのクラスが存在します。
"既定"は管理インターフェイスに対するHTTPS管理やWANインターフェイスのIKE受信
など、インターフェイスが定義される際にシステムが自動追加するNATポリシーで、
ユーザは編集する事が出来ません。
"個別"はユーザがカスタムで追加するNATポリシーです。
SonicWall装置はWANインターフェイスを定義すると自動的に送信元IPを
定義されたWANインターフェイスIPに変換するアウトバウンドのソースNATポリシーを追加します。
このソースNATポリシーはインターフェイスが定義される際にシステムが自動追加するNATポリシーですが、ユーザが任意で変更削除が可能です。
6.5.0まではユーザによる変更が可能な為クラスが”個別”でしたが、
6.5.1以降のファームウェアではシステムが自動追加するNATポリシーなので”既定”にクラスが見直しされています。
Resolution
変更の影響でファームウェアVersion6.5.1.xへアップグレードいただいたタイミングで以下のNATポリシーが追加されます。
※X0がLAN、X1がWANの場合
変換前送信元:すべて
変換後送信元:X1 IP
変換前送信先:すべて
変換後送信先:オリジナル
変換前サービス:すべて
変換後サービス:オリジナル
受信インターフェイス:X0
発信インターフェイス:X1
クラス:既定
上記とは別にアップグレード前に存在していたソースNATポリシーは以下の通り引き継がれます。
変換前送信元:すべて
変換後送信元:X1 IP
変換前送信先:すべて
変換後送信先:オリジナル
変換前サービス:すべて
変換後サービス:オリジナル
受信インターフェイス:X0
発信インターフェイス:X1
クラス:個別
仮に、アップグレード前に”個別”NATポリシーを手動で無効化、あるいは送信元アドレスを変更されている場合、
アップグレード後に自動追加された”既定”NATポリシーが高い優先順位で適用されてしまい、
想定した動作となりません。
6.5.3以降のバージョンへアップグレードされますと”個別”のLAN>WAN、ソースNATポリシーは
自動削除され、”既定”のポリシーのみが有効化された状態で追加されます。
大変お手数ですがアップグレード後にNATポリシーの設定見直しをお願い致します。