tengo dos subredes
- R: 192.168.2.0/24. Dentro de A tenemos un firewall y una conexión a Internet.
- B: 172.16.12.0/24.
Están conectados entre sí mediante un conmutador y ambas subredes están configuradas como VLAN. Por tanto, el conmutador tiene una dirección IP dentro de ambas subredes.
- Dentro de A tengo 192.168.2.226
- Dentro de B es 172.16.12.175
Ahora todo funciona bien si configuro las máquinas en A de la siguiente manera:
- ruta sudo ip agregar 172.16.12.0/24 a través de 192.168.2.226
y máquinas en B vía
- ruta sudo ip agregar 192.168.2.0/24 a través de 172.16.12.175
Los hosts en B ahora pueden acceder a los hosts en A (así como a los hosts de Internet).
Ahora me gustaría eliminar la ruta estática manual en los hosts de A. En su lugar, me gustaría agregar la ruta de 192 a 172 mediante una regla en el firewall, de modo que los hosts de A no necesiten configuración adicional. Con este fin, agregué una "Ruta de unidifusión IPv4" con el objetivo 172.16.12.0/24 y la puerta de enlace 192.168.2.226. Ahora, los anfitriones en A pueden llegar a B:
> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
1 _gateway (192.168.2.254) 0.199 ms 0.219 ms 0.243 ms
2 192.168.2.226 (192.168.2.226) 1.579 ms 1.995 ms 2.429 ms
3 172.16.12.4 (172.16.12.4) 1.064 ms 1.044 ms 1.026 ms
Pero los hosts en B no pueden alcanzar los hosts en A:
> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
1 _gateway (172.16.12.175) 8.750 ms 9.058 ms 9.410 ms
2 _gateway (172.16.12.175) 3.811 ms !H 4.551 ms !H 5.006 ms !H
(Los hosts en B aún pueden llegar a hosts de Internet como 8.8.8.8, o hosts en A con una ruta IP manual activa ( sudo ip route add 172.16.12.0/24 via 192.168.2.226))
¿Cuál podría ser el motivo de esto/qué me falta respecto a la configuración del firewall? Intenté agregar reglas de firewall que permiten el acceso de 172 hosts a 192, pero eso no hizo la diferencia.
Editar: agregaré que el firewall tiene la IP 192.168.2.254. Enruta correctamente a 192.168.2.226 como se puede ver en el primer traceroute.
Rutas de conmutación de Netgear tal como se definen en la imagen agregadarutas de cambio de netgear
Respuesta1
Si un host en la subred A recibe una solicitud de un host en la subred B, pero no tiene una ruta de regreso a la subred B, no podrá enviar una respuesta. En este caso, el host de la subred A intentará enviar la respuesta a su puerta de enlace predeterminada. Si la puerta de enlace predeterminada no tiene una ruta a la subred B, la respuesta se descartará y el host en la subred B nunca recibirá una respuesta.
Respuesta2
La siguiente URL del tablero de nuestro firewall describe el problema y una solución.https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-first-router
Está experimentando un enrutamiento asimétrico. Intente deshabilitar el seguimiento y la inspección de conexiones utilizando los siguientes comandos:
establecer configuración avanzada de firewall bypass-stateful-firewall agregar source_network xxxx source_netmask 255.255.255.0 dest_network yyyy dest_netmask 255.255.255.0
configure la configuración avanzada del firewall bypass-stateful-firewall agregue source_network yyyy source_netmask 255.255.255.0 dest_network xxxx dest_netmask 255.255.255.0