Eu tenho duas sub-redes
- R: 192.168.2.0/24. Dentro de A temos um firewall e uma conexão com a internet.
- B: 172.16.12.0/24.
Eles estão conectados entre si por meio de um switch e ambas as sub-redes são configuradas como vlans. O switch possui, portanto, um endereço IP em ambas as sub-redes.
- Dentro de A eu tenho 192.168.2.226
- Dentro de B é 172.16.12.175
Agora tudo funciona bem se eu configurar as máquinas em A da seguinte forma:
- sudo ip route adicionar 172.16.12.0/24 via 192.168.2.226
e máquinas em B via
- sudo ip route adicionar 192.168.2.0/24 via 172.16.12.175
Hosts em B agora podem acessar hosts em A (assim como hosts da Internet).
Agora gostaria de remover a rota estática manual nos hosts em A. Em vez disso, gostaria de adicionar a rota de 192 a 172 por meio de uma regra no firewall, de modo que os hosts em A não precisem de configuração adicional. Para isso adicionei uma "IPv4-Unicast-Route" com o alvo 172.16.12.0/24 e o gateway 192.168.2.226. Agora, os hosts em A podem alcançar B:
> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
1 _gateway (192.168.2.254) 0.199 ms 0.219 ms 0.243 ms
2 192.168.2.226 (192.168.2.226) 1.579 ms 1.995 ms 2.429 ms
3 172.16.12.4 (172.16.12.4) 1.064 ms 1.044 ms 1.026 ms
Mas os hosts em B não podem alcançar os hosts em A:
> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
1 _gateway (172.16.12.175) 8.750 ms 9.058 ms 9.410 ms
2 _gateway (172.16.12.175) 3.811 ms !H 4.551 ms !H 5.006 ms !H
(hosts em B ainda podem alcançar hosts da Internet como 8.8.8.8 ou hosts em A com uma rota IP manual ativa ( sudo ip route add 172.16.12.0/24 via 192.168.2.226))
Qual poderia ser o motivo disso/o que estou faltando em relação à configuração do firewall? Tentei adicionar regras de firewall, que permitem o acesso de 172 hosts a 192, mas não fez diferença.
Editar: devo acrescentar que o firewall tem o ip 192.168.2.254. Ele é roteado corretamente para 192.168.2.226, como pode ser visto no primeiro traceroute.
Rotas de switch Netgear conforme definido na imagem adicionadarotas de comutação netgear
Responder1
Se um host na sub-rede A receber uma solicitação de um host na sub-rede B, mas não tiver uma rota de volta para a sub-rede B, ele não poderá enviar uma resposta. Neste caso, o host na sub-rede A tentará enviar a resposta ao seu gateway padrão. Se o gateway padrão não tiver uma rota para a sub-rede B, a resposta será descartada e o host na sub-rede B nunca receberá uma resposta.
Responder2
A seguinte url da placa do nosso firewall descreve o problema e uma solução.https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-second-router
Você está enfrentando roteamento assimétrico. Tente desabilitar o rastreamento e inspeção de conexão usando os seguintes comandos:
definir bypass de firewall avançado-stateful-firewall-config adicionar source_network xxxx source_netmask 255.255.255.0 dest_network yyyy dest_netmask 255.255.255.0
definir bypass de firewall avançado-stateful-firewall-config adicionar source_network yyyy source_netmask 255.255.255.0 dest_network xxxx dest_netmask 255.255.255.0