A conectividade com a Internet do WatchGuard Firebox falha após adicionar a rota BovpnVif a 0.0.0.0/0

Ambiente: A rede de uma empresa tem um dispositivo Firebox M-series com Total Security Suite na sede. Cada filial tem um Firebox da série T menor sem serviços de assinatura. Por esse motivo, todo o tráfego das filiais é roteado pelo dispositivo M-series na matriz. Alguns Fireboxes de filiais possuem um IP estático, outros o obtêm via DHCP.

Ocasionalmente, pode haver alguns problemas com o túnel (por exemplo, se a rede HQ estiver inativa). Portanto, os Fireboxes da filial precisam ser capazes de abandonar a 0.0.0.0/0rota pelo túnel e trabalhar de forma autônoma por um tempo, já que a conectividade com a Internet do BO é crucial para o negócio. Isso funciona com BO Virtual Interface, mas não com 0.0.0.0/0BO GW & Tunnel.

Configuração relacionada simplificada (apenas uma Externa e Confiável if), uma filial com DHCP.

• Firebox-HQ ( 10.9.0.1) - M670 [Fireware OS v12.2.1.B572649]
  • Interfaces (Modo Roteado)
    • eth0: ISP1 [Externo] - 198.51.100.123/24(Estático)
    • eth1: Confiável [Confiável] -10.9.0.1/24
  • Interface VPN ( bvpn20): BovpnVif.BO20 [IKEv1]
    • Rota para10.9.20.0/24
• Firebox-BO20 ( 10.9.20.1) - T55 [Fireware OS v12.2.1.B572649]
  • Interfaces (Modo Roteado)
    • Servidores DNS: 192.0.2.10& 192.0.2.20(servidores DNS do ISP2)
    • eth0: ISP2 [Externo] - 203.0.113.33/24(DHCP)
    • eth1: Confiável [Confiável] -10.9.20.1/24
  • Interface VPN ( bvpn1): BovpnVif.HQ [IKEv1]
    • Rota para0.0.0.0/0
    • Configurações VPN: [x] Remova as rotas VPN quando o túnel para um BOVPN vif estiver inativo.

Tudo funciona exatamente como esperado quando o túnel está inativo. O Firebox-BO20 pode funcionar como um resolvedor de DNS para sua eth1rede. Tanto 10.9.20.0/24o Firebox quanto o próprio podem acessar a Internet.

Problema: Quando o túnel está ativo e a 0.0.0.0/0rota bvpn1é adicionada, os clientes eth1podem acessar a Internet através da VPN e todos os recursos (incluindo servidores DNS) no HQ.

IPv4 Routes
------------
Destination     Gateway         Genmask         Flags   Metric    Interface   
0.0.0.0         0.0.0.0         0.0.0.0         U       1         bvpn1       
0.0.0.0         203.0.113.1     0.0.0.0         UG      5         eth0        
10.9.20.0       0.0.0.0         255.255.255.0   U       0         eth1        
203.0.113.0     0.0.0.0         255.255.255.0   U       0         eth0        
127.0.0.0       0.0.0.0         255.0.0.0       U       0         lo           

No entanto, o Firebox para de funcionar como um resolvedor de DNS e perde sua própria conectividade com a Internet . Isso se deve ao fato de as próprias conexões do Firebox começarem a usar a rota também.

• Os servidores DNS do ISP2 192.0.2.10não 192.0.2.20podem ser acessados ​​pelo ISP1.
• Os dispositivos na rede 10.9.20.0/24podem acessar a Internet através do bvpn1.
• O Firebox não usa seu IP interno 10.9.20.1pelo túnel, mas o 203.0.113.33.
• A regra de firewall Any From Firebox-00é codificada e não aparece no Policy Manager. Caso contrário, teria sido fácil forçá-lo a usar eth0com <policy-routing>.

Existem políticas de firewall para permitir todo o tráfego necessário em ambos os appliances; o problema fica, portanto, delimitado apenas ao roteamento.