Вопросы Теги

Маршрутизация между 2 сетями и 2 маршрутизаторами

У меня есть WatchGuard XTM33 и Cisco ASA 5505, текущая сеть убегает Cisco, и я хочу в конечном счете мигрировать на WatchGuard с помощью новой схемы IP.

ASA 192.168.111.1/24

WG 10.0.0.1/23

Если я устанавливаю WG и настраиваю один из интерфейсов как внешний, устанавливаю значение по умолчанию gw на 192.168.111.1, трафик, идущий исходящий от работ WG от машины в диапазоне 10.0.0.0/23 однако, если я нахожусь на машине в диапазоне 192.168.111.0/24, я не могу достигнуть 10.0.0.1 (ping, tcp ping на открытом порте, и т.д.).

Что я мог пропускать?

0
задан 12 November 2014 в 22:28
2 ответа

Вам нужен оператор маршрута в ASA, чтобы указать на сеть 10.x.x.x. Предполагая, что у вас есть интерфейс с именем 'inside' и что Watchguard / ASA имеют интерфейсы в той же подсети:

ip route inside 10.0.0.0 255.255.254.0

Кроме того, вам не следует настраивать Watchguard на Трафик NAT с 10.0.0.0/23 на 192.168.111.0/24.

1
ответ дан 4 December 2019 в 13:54 
  Easy Setup               What it sounds like you have
  ----------               ----------------------------

  Internet                     Internet
  |     |                        |
Cisco  Watchguard              Cisco
  |     /                        |
   192...                      192...
   10...                         |
                               Watchguard
                                 |
                               10...

В первом варианте.

Есть:

Cisco WAN: {Internet IP}
Cisco LAN: 192.168.111.1/24
Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet)

Watchguard WAN: {Spare Internet IP - assuming you have one}
Watchguard LAN: 10.0.0.1/23
Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)

Теперь каждое устройство имеет подключение к Интернету, локальное соединение в его главной подсети и вторичный IP, что позволяет ему войти в основную подсеть другого устройства.

Затем добавьте маршрут на каждом устройстве, пересекающем две сети (Cisco -> Вторичный сторожевой таймер. Сторожевой таймер -> Вторичный сторожевой таймер), например

Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2
Cisco route: 10.0.0.0/23 via gateway 192.168.111.2

Ваши компьютеры будут посылать на шлюз по умолчанию. Если трафик направлен на другую подсеть локальной сети, он будет перескакивать между двумя устройствами. Любое устройство может отправлять трафик в Интернет. Правила брандмауэра полностью разделены.

Если вы не можете сделать такую конструкцию, потому что у вас нет свободного публичного IP-адреса в вашем Интернет-соединении, то у вас будут проблемы и вам потребуется более сложная настройка.

.
1
ответ дан 4 December 2019 в 13:54

Теги

Похожие вопросы