Ich habe zwei Subnetze
- A: 192.168.2.0/24. Innerhalb von A haben wir eine Firewall und eine Verbindung zum Internet.
- B: 172.16.12.0/24.
Sie sind über einen Switch miteinander verbunden und beide Subnetze sind als VLANs konfiguriert. Der Switch hat somit eine IP-Adresse innerhalb beider Subnetze.
- Innerhalb von A habe ich 192.168.2.226
- Innerhalb von B ist es 172.16.12.175
Jetzt funktioniert alles einwandfrei, wenn ich die Maschinen in A wie folgt konfiguriere:
- sudo ip route add 172.16.12.0/24 über 192.168.2.226
und Maschinen in B über
- sudo ip route add 192.168.2.0/24 über 172.16.12.175
Hosts auf B können jetzt auf Hosts auf A (sowie auf Internet-Hosts) zugreifen.
Nun möchte ich die manuelle, statische Route auf Hosts auf A entfernen. Stattdessen möchte ich die Route von 192 nach 172 über eine Regel in der Firewall hinzufügen, so dass Hosts auf A keine weitere Konfiguration benötigen. Zu diesem Zweck habe ich eine „IPv4-Unicast-Route“ mit dem Ziel 172.16.12.0/24 und dem Gateway 192.168.2.226 hinzugefügt. Nun können Hosts auf A B erreichen:
> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
1 _gateway (192.168.2.254) 0.199 ms 0.219 ms 0.243 ms
2 192.168.2.226 (192.168.2.226) 1.579 ms 1.995 ms 2.429 ms
3 172.16.12.4 (172.16.12.4) 1.064 ms 1.044 ms 1.026 ms
Aber Hosts auf B können Hosts auf A nicht erreichen:
> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
1 _gateway (172.16.12.175) 8.750 ms 9.058 ms 9.410 ms
2 _gateway (172.16.12.175) 3.811 ms !H 4.551 ms !H 5.006 ms !H
(Hosts auf B können immer noch Internet-Hosts wie 8.8.8.8 oder Hosts auf A mit einer aktiven manuellen IP-Route ( sudo ip route add 172.16.12.0/24 via 192.168.2.226) erreichen)
Was könnte der Grund dafür sein bzw. was übersehe ich bei der Konfiguration der Firewall? Ich habe versucht, Firewall-Regeln hinzuzufügen, die den Zugriff von 172 auf 192 Hosts ermöglichen, aber das hat keinen Unterschied gemacht.
Bearbeiten: Ich füge hinzu, dass die Firewall die IP 192.168.2.254 hat. Sie routet korrekt zu 192.168.2.226, wie im ersten Traceroute zu sehen ist.
Netgear-Switch-Routen wie im hinzugefügten Bild definiertNetgear-Switch-Routen
Antwort1
Wenn ein Host in Subnetz A eine Anfrage von einem Host in Subnetz B empfängt, aber keine Route zurück zu Subnetz B hat, kann er keine Antwort senden. In diesem Fall versucht der Host in Subnetz A, die Antwort an sein Standard-Gateway zu senden. Wenn das Standard-Gateway keine Route zu Subnetz B hat, wird die Antwort verworfen und der Host in Subnetz B erhält nie eine Antwort.
Antwort2
Die folgende URL der Platine unserer Firewall beschreibt das Problem und eine Lösung.https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-second-router
Sie erleben asymmetrisches Routing. Versuchen Sie, die Verbindungsverfolgung und -prüfung mit den folgenden Befehlen zu deaktivieren:
setze erweiterte Firewall, umgehe Stateful-Firewall-Konfiguration, füge Quellnetzwerk xxxx hinzu, Quellnetzmaske 255.255.255.0, Zielnetzwerk yyyy, Zielnetzmaske 255.255.255.0
setze erweiterte Firewall, Bypass-Stateful-Firewall-Konfiguration, füge Quellnetzwerk yyyy hinzu, Quellnetzmaske 255.255.255.0, Zielnetzwerk xxxx, Zielnetzmaske 255.255.255.0