Esta é aproximadamente a infraestrutura de rede a partir de agora
Como você pode ver, tenho dois roteadores/firewalls no Nethserver e no OpnSense (este foi instalado recentemente com o novo ISP).
A sub-rede da LAN Nethserver é 192.168.0.0/24 (chamada de sub-rede 0) A sub-rede da LAN OpnSense é 192.168.2.0/24 (chamada de sub-rede 2)
A maioria dos dispositivos conectados à rede (ponto de acesso ou via switch) são da sub-rede 192.168.0.0/24 com o DG de 192.168.0.1
Entendo que os dispositivos na sub-rede 0 não são capazes de se conectar/comunicar diretamente com dispositivos da sub-rede 2, pois são de sub-redes diferentes (o ARP não funciona) e qualquer solicitação é basicamente enviada eventualmente para o DG 192.168.0.1
Uma vez aqui, o roteador Nethserver o envia para fora da rede para encontrar o(s) dispositivo(s)
Tentei adicionar uma rota estática no Nethserver usando o comando abaixo
ip route add 192.168.2.0/24 via 192.168.2.1 dev eth0
Mas isso apenas dá a saída
RTNETLINK answers: Network is unreachable
Estou faltando alguma coisa aqui. Eu sei isso. Mas não posso apontar o dedo para isso.
Se entendi seu diagrama corretamente, ambas as sub-redes IP estão na mesma Ethernet (sem VLANs ou qualquer outro isolamento L2). Nesta configuração, o ARP pode funcionar – os hosts simplesmente não sabem da possibilidade. Isso está diretamente relacionado à sua mensagem de erro.
O "próximo salto" deve ser um endereço para o qual seu sistema já tenha uma rota direta. Você não pode rotear 192.168.2.0/24 via 192.168.2.1 porque a tabela de roteamento ainda não sabe como chegar a 192.168.2.1 .
Se você tiver certeza de que 192.168.2.1 está na mesma rede Ethernet (ou seja, pode ser resolvido via ARP), há duas maneiras de informar o Linux sobre isso:
Use o
onlinksinalizador para substituir a verificação.Ou crie manualmente uma rota local (não gateway) para o próximo salto.
Mas... como toda a sub-rede está igualmente na mesma Ethernet, você pode simplesmente declarar a sub-rede inteira como on-link:
...e então o sistema usará ARP diretamente para todos os hosts. (Você também pode implantar essa rota em dispositivos clientes via DHCP para obter melhor desempenho.)
Esperamos que tudo isso seja temporário – embora ter duas sub-redes e dois roteadores sobrepostos dessa forma não seja o pior, certamente também não é uma boa prática. (Por exemplo, você entrará em situações em que o tráfego passa por um roteador em uma direção, mas diretamente na outra, e isso confunde seu firewall.) Idealmente, as duas sub-redes seriam VLANs diferentes e os roteadores teriam uma conexão /30 dedicada. entre eles (ou, claro, um roteador para lidar com ambas as sub-redes).
Alternativamente, você poderia ter uma sub-rede IP com dois gateways, o DHCP fornecendo um endereço de gateway e certos servidores sendo configurados manualmente para usar o outro. Ainda não é ótimo, mas parece um pouco melhor do que a configuração atual.
Vale ressaltar também que para conectividade total a rota “FROM” também deve estar presente - a “outra ponta” da comunicação precisa saber para onde enviar a resposta. Significado: você também deve criar uma rota semelhante no OpnSense.