Início / server / Perguntas / 1152025
Accepted
Nils
Asked: 2024-01-23 00:07:44 +0800 CST

Roteamento IP de duas sub-redes

  • 772

Eu tenho duas sub-redes

  • R: 192.168.2.0/24. Dentro de A temos um firewall e uma conexão com a internet.
  • B: 172.16.12.0/24.

Eles estão conectados entre si por meio de um switch e ambas as sub-redes são configuradas como vlans. O switch possui, portanto, um endereço IP em ambas as sub-redes.

  • Dentro de A eu tenho 192.168.2.226
  • Dentro de B é 172.16.12.175

Agora tudo funciona bem se eu configurar as máquinas em A da seguinte forma:

  • sudo ip route adicionar 172.16.12.0/24 via 192.168.2.226

e máquinas em B via

  • sudo ip route adicionar 192.168.2.0/24 via 172.16.12.175

Hosts em B agora podem acessar hosts em A (assim como hosts da Internet).

Agora gostaria de remover a rota estática manual nos hosts em A. Em vez disso, gostaria de adicionar a rota de 192 a 172 por meio de uma regra no firewall, de modo que os hosts em A não precisem de configuração adicional. Para isso adicionei uma "IPv4-Unicast-Route" com o alvo 172.16.12.0/24 e o gateway 192.168.2.226. Agora, os hosts em A podem alcançar B:

> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
 1  _gateway (192.168.2.254)  0.199 ms  0.219 ms  0.243 ms
 2  192.168.2.226 (192.168.2.226)  1.579 ms  1.995 ms  2.429 ms
 3  172.16.12.4 (172.16.12.4)  1.064 ms  1.044 ms  1.026 ms

Mas os hosts em B não podem alcançar os hosts em A:

> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
 1  _gateway (172.16.12.175)  8.750 ms  9.058 ms  9.410 ms
 2  _gateway (172.16.12.175)  3.811 ms !H  4.551 ms !H  5.006 ms !H

(hosts em B ainda podem alcançar hosts da Internet como 8.8.8.8 ou hosts em A com uma rota IP manual ativa ( sudo ip route add 172.16.12.0/24 via 192.168.2.226))

Qual poderia ser o motivo disso/o que estou faltando em relação à configuração do firewall? Tentei adicionar regras de firewall, que permitem o acesso de 172 hosts a 192, mas não fez diferença.

Editar: devo acrescentar que o firewall tem o ip 192.168.2.254. Ele é roteado corretamente para 192.168.2.226, como pode ser visto no primeiro traceroute.

Rotas de switch Netgear conforme definido na imagem adicionada rotas de switch netgear

firewall

2 respostas

  1. Se um host na sub-rede A receber uma solicitação de um host na sub-rede B, mas não tiver uma rota de volta para a sub-rede B, ele não poderá enviar uma resposta. Neste caso, o host na sub-rede A tentará enviar a resposta ao seu gateway padrão. Se o gateway padrão não tiver uma rota para a sub-rede B, a resposta será descartada e o host na sub-rede B nunca receberá uma resposta.

    • 0
  2. Best Answer

    A seguinte url da placa do nosso firewall descreve o problema e uma solução. https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-second-router

    Você está enfrentando roteamento assimétrico. Tente desabilitar o rastreamento e inspeção de conexão usando os seguintes comandos:

    definir bypass de firewall avançado-stateful-firewall-config adicionar source_network xxxx source_netmask 255.255.255.0 dest_network yyyy dest_netmask 255.255.255.0

    definir bypass de firewall avançado-stateful-firewall-config adicionar source_network yyyy source_netmask 255.255.255.0 dest_network xxxx dest_netmask 255.255.255.0

    • 0

relate perguntas