我有兩個子網路
- 答:192.168.2.0/24。在 A 內,我們有防火牆和網路連線。
- 乙:172.16.12.0/24。
它們透過交換器相互連接,並且兩個子網路都配置為 VLAN。因此,交換器在兩個子網路內都有一個 IP 位址。
- 在 A 內我有 192.168.2.226
- B 內為 172.16.12.175
現在,如果我按如下方式配置 A 中的機器,則一切正常:
- sudo ip 路由透過 192.168.2.226 新增 172.16.12.0/24
和 B 中的機器透過
- sudo ip 路由透過 172.16.12.175 新增 192.168.2.0/24
B 上的主機現在可以存取 A 上的主機(以及 Internet 主機)。
現在我想刪除 A 上主機上的手動靜態路由。為此,我添加了一個“IPv4-Unicast-Route”,目標為 172.16.12.0/24,網關為 192.168.2.226。現在,A 上的主機可以存取 B:
> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
1 _gateway (192.168.2.254) 0.199 ms 0.219 ms 0.243 ms
2 192.168.2.226 (192.168.2.226) 1.579 ms 1.995 ms 2.429 ms
3 172.16.12.4 (172.16.12.4) 1.064 ms 1.044 ms 1.026 ms
但是 B 上的主機無法存取 A 上的主機:
> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
1 _gateway (172.16.12.175) 8.750 ms 9.058 ms 9.410 ms
2 _gateway (172.16.12.175) 3.811 ms !H 4.551 ms !H 5.006 ms !H
(B 上的主機仍可存取 8.8.8.8 等網際網路主機,或具有活動手動 IP 路由 ( sudo ip route add 172.16.12.0/24 via 192.168.2.226) 的 A 上的主機)
原因可能是什麼/我在防火牆配置方面缺少什麼?我嘗試新增防火牆規則,讓 172 台主機能夠存取 192 台主機,但這並沒有什麼區別。
編輯:我要補充一點,防火牆的IP位址是192.168.2.254。正如第一個追蹤路由所示,它確實正確路由到 192.168.2.226。
Netgear 交換器路由如所新增的映像所定義網件交換器路由
答案1
如果子網路 A 中的主機收到子網路 B 中的主機的請求,但沒有傳回子網路 B 的路由,則它將無法傳送回應。在這種情況下,子網路 A 中的主機將嘗試將回應傳送到其預設閘道。如果預設閘道沒有到子網路 B 的路由,則回應將被丟棄,子網路 B 中的主機將永遠不會收到回應。
答案2
我們的防火牆板的以下網址描述了問題和解決方案。https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-second-router
您遇到了非對稱路由。嘗試使用以下命令停用連線追蹤和檢查:
設定進階防火牆旁通狀態防火牆配置新增來源網路 xxxx 來源網路遮罩 255.255.255.0 目標網路 yyyy 目標網路遮罩 255.255.255.0
設定進階防火牆旁通狀態防火牆設定新增來源網路 yyyy 來源網路遮罩 255.255.255.0 目標網路 xxxx 目標網路遮罩 255.255.255.0