Red A 10.110.15.0/24 El firewall es .1 El host A es .2
Red B 10.110.16.0/24 El firewall es .1 El host B es .2
Dos Cisco ASA. Túnel IPSec con un mapa criptográfico que protege 10.110.15.0/24 <-> 10.110.16.0/24.
Digamos que dos hosts, 10.110.15.2 y 10.110.16.2 necesitan comunicarse entre sí. Normalmente tengo que ingresar una ruta estática persistente en cada host de la siguiente manera:
ruta agregar 10.110.16.0 máscara 255.255.255.0 10.110.15.1 métrica 1 -p (en el cuadro "A")
También tengo que ingresar otra ruta estática persistente en el host .16 para que el tráfico sepa cómo regresar a la red .15. Tenga en cuenta que el valor predeterminado para cada máquina ES el firewall, por lo tanto .1.
No tengo ningún problema en agregar rutas persistentes en máquinas Windows/ESX/*nux, pero ¿qué pasa con un conmutador inteligente en la red .16 que quiero administrar desde la red .15?
¿Necesito ejecutar un protocolo de enrutamiento? ¿Necesito tener habilitada la inyección de ruta inversa en ambos extremos del túnel IPSec? ¿Debo agregar una ruta en el firewall? Si es así, ¿cómo se formula? ¿Obtiene una métrica de 1 y mi ruta predeterminada 0.0.0.0 obtiene una métrica de 2?
Respuesta1
Si las puertas de enlace predeterminadas en los Hosts A y B son sus respectivas cajas de firewall (.1), entonces ya debería estar funcionando.
Todo lo que estás haciendo al agregar esas rutas estáticas es decirle al host que dirija el tráfico de esa subred al firewall, lo cual ya debería estar haciendo si la puerta de enlace predeterminada está configurada correctamente.
Además, ¿está seguro de que la máscara de subred está configurada correctamente en los hosts A y B? Si la tuviera como 255.255.0.0, eso crearía los síntomas que describe.