У меня есть WatchGuard XTM33 и Cisco ASA 5505, текущая сеть убегает Cisco, и я хочу в конечном счете мигрировать на WatchGuard с помощью новой схемы IP.
ASA 192.168.111.1/24
WG 10.0.0.1/23
Если я устанавливаю WG и настраиваю один из интерфейсов как внешний, устанавливаю значение по умолчанию gw на 192.168.111.1, трафик, идущий исходящий от работ WG от машины в диапазоне 10.0.0.0/23 однако, если я нахожусь на машине в диапазоне 192.168.111.0/24, я не могу достигнуть 10.0.0.1 (ping, tcp ping на открытом порте, и т.д.).
Что я мог пропускать?
Вам нужен оператор маршрута в ASA, чтобы указать на сеть 10.x.x.x. Предполагая, что у вас есть интерфейс с именем 'inside' и что Watchguard / ASA имеют интерфейсы в той же подсети:
ip route inside 10.0.0.0 255.255.254.0
Кроме того, вам не следует настраивать Watchguard на Трафик NAT с 10.0.0.0/23 на 192.168.111.0/24.
Easy Setup What it sounds like you have
---------- ----------------------------
Internet Internet
| | |
Cisco Watchguard Cisco
| / |
192... 192...
10... |
Watchguard
|
10...
В первом варианте.
Есть:
Cisco WAN: {Internet IP}
Cisco LAN: 192.168.111.1/24
Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet)
Watchguard WAN: {Spare Internet IP - assuming you have one}
Watchguard LAN: 10.0.0.1/23
Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)
Теперь каждое устройство имеет подключение к Интернету, локальное соединение в его главной подсети и вторичный IP, что позволяет ему войти в основную подсеть другого устройства.
Затем добавьте маршрут на каждом устройстве, пересекающем две сети (Cisco -> Вторичный сторожевой таймер. Сторожевой таймер -> Вторичный сторожевой таймер), например
Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2
Cisco route: 10.0.0.0/23 via gateway 192.168.111.2
Ваши компьютеры будут посылать на шлюз по умолчанию. Если трафик направлен на другую подсеть локальной сети, он будет перескакивать между двумя устройствами. Любое устройство может отправлять трафик в Интернет. Правила брандмауэра полностью разделены.
Если вы не можете сделать такую конструкцию, потому что у вас нет свободного публичного IP-адреса в вашем Интернет-соединении, то у вас будут проблемы и вам потребуется более сложная настройка.
.