У меня есть две подсети
- A: 192.168.2.0/24. В A у нас есть брандмауэр и подключение к Интернету.
- Б: 172.16.12.0/24.
Они соединены друг с другом через коммутатор, и обе подсети настроены как vlan. Таким образом, коммутатор имеет IP-адрес в обеих подсетях.
- В пределах А у меня 192.168.2.226
- В пределах B это 172.16.12.175
Теперь все работает нормально, если я настрою машины в A следующим образом:
- sudo ip route add 172.16.12.0/24 через 192.168.2.226
и машины в B через
- sudo ip route add 192.168.2.0/24 через 172.16.12.175
Хосты на B теперь могут получать доступ к хостам на A (а также к интернет-хостам).
Теперь я хотел бы удалить ручной статический маршрут на хостах на A. Вместо этого я хотел бы добавить маршрут от 192 до 172 через правило в брандмауэре, так что хосты на A не нуждаются в дальнейшей настройке. Для этого я добавил "IPv4-Unicast-Route" с целью 172.16.12.0/24 и шлюзом 192.168.2.226. Теперь хосты на A могут достичь B:
> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
1 _gateway (192.168.2.254) 0.199 ms 0.219 ms 0.243 ms
2 192.168.2.226 (192.168.2.226) 1.579 ms 1.995 ms 2.429 ms
3 172.16.12.4 (172.16.12.4) 1.064 ms 1.044 ms 1.026 ms
Но хосты на B не могут связаться с хостами на A:
> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
1 _gateway (172.16.12.175) 8.750 ms 9.058 ms 9.410 ms
2 _gateway (172.16.12.175) 3.811 ms !H 4.551 ms !H 5.006 ms !H
(хосты на B по-прежнему могут подключаться к интернет-хостам, таким как 8.8.8.8, или к хостам на A с активным ручным IP-маршрутом ( sudo ip route add 172.16.12.0/24 via 192.168.2.226))
В чем может быть причина этого / что я упускаю в настройках брандмауэра? Я пробовал добавлять правила брандмауэра, которые разрешают доступ 172 хостам к 192, но это не помогло.
Редактировать: Добавлю, что у брандмауэра IP 192.168.2.254. Он правильно направляет на 192.168.2.226, как видно в первой трассировке.
Маршруты коммутатора Netgear, как указано на добавленном изображениимаршруты коммутатора netgear
решение1
Если хост в подсети A получает запрос от хоста в подсети B, но не имеет обратного маршрута к подсети B, он не сможет отправить ответ. В этом случае хост в подсети A попытается отправить ответ на свой шлюз по умолчанию. Если у шлюза по умолчанию нет маршрута к подсети B, ответ будет отброшен, и хост в подсети B никогда не получит ответ.
решение2
Ниже приведен URL-адрес платы нашего брандмауэра, описывающий проблему и ее решение.https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-second-router
У вас асимметричная маршрутизация. Попробуйте отключить отслеживание и проверку соединения, используя следующие команды:
установить расширенный-брандмауэр обход-государственный-брандмауэр-config добавить исходная_сеть xxxx исходная_сетевая_маска 255.255.255.0 конечная_сеть yyyy конечная_сетевая_маска 255.255.255.0
установить расширенный-брандмауэр обход-государственный-брандмауэр-config добавить исходная_сеть yyyy исходная_сетевая_маска 255.255.255.0 конечная_сеть xxxx конечная_сетевая_маска 255.255.255.0