Rede A 10.110.15.0/24 Firewall é .1 Host A é .2
Rede B 10.110.16.0/24 Firewall é .1 Host B é .2
Dois Cisco ASA. Túnel IPSec com um mapa criptográfico que protege 10.110.15.0/24 <-> 10.110.16.0/24.
Digamos que dois hosts, 10.110.15.2 e 10.110.16.2, precisem se comunicar. Normalmente eu tenho que inserir uma rota estática persistente em cada host nos moldes de:
rota adicionar 10.110.16.0 máscara 255.255.255.0 10.110.15.1 métrica 1 -p (na caixa "A")
Também preciso inserir outra rota estática persistente no host .16 para que o tráfego saiba como voltar para a rede .15. Observe que o padrão para cada máquina É o firewall, então .1.
Não tenho problemas em adicionar rotas persistentes em máquinas Windows/ESX/*nux, mas que tal um switch inteligente na rede .16 que desejo gerenciar a partir da rede .15.
Preciso executar um protocolo de roteamento? Preciso ter a injeção de rota reversa habilitada em ambas as extremidades do túnel IPSec? Devo adicionar uma rota no firewall? Se sim, como você o formula? Ele obtém uma métrica de 1 e minha rota padrão 0.0.0.0 obtém uma métrica de 2?
Responder1
Se os gateways padrão nos Hosts A e B forem suas respectivas caixas de firewall (.1), então já deverão estar funcionando.
Tudo o que você faz ao adicionar essas rotas estáticas é dizer ao host para direcionar o tráfego dessa sub-rede para o firewall - o que já deveria estar fazendo se o gateway padrão estiver configurado corretamente.
Você também tem certeza de que a máscara de sub-rede está configurada corretamente nos hosts A e B - se você a tivesse como 255.255.0.0, isso criaria os sintomas que você descreve.