У меня есть настройка сети с использованием двух маршрутизаторов pfSense, расположенных следующим образом: -
DMZ1 WAN1 WAN2 DMZ2
| | | |
| | | |
\___ PF1 PF2___/
| |
| |
\___TRUSTED___/
Каждый маршрутизатор pfSense имеет собственное отдельное соединение WAN и отдельную сеть DMZ, подключенную к нему. У них есть общая ДОВЕРЕННАЯ ЛВС.
Машины в доверенной сети имеют PF1 в качестве шлюза по умолчанию. PF1 имеет статический маршрут, определенный к DMZ2 через PF2, а PF2 имеет статический маршрут к DMZ1 через PF1. Существует NAT для WAN, но внутренние сети (DMZ1 / 2 и TRUSTED) используют разные подсети RFC1918.
Я унаследовал эту схему, и все работало нормально. Я изменил конфигурацию PF1 (относящуюся к многоадресной рассылке), и машины в DMZ2 внезапно перестали общаться с ДОВЕРЕННЫМ. Я откатил изменение, но проблема не исчезла.
Я предполагаю, что вы надеетесь, что произойдет то, что пакеты TCP будут проходить DMZ2 -> PF2 -> TRUSTED и при возврате TRUSTED -> PF1 -> PF2 -> DMZ2. Я вижу, что это сработало бы только так. Однако PF1 отбрасывает возвращаемые пакеты. Я проверил это с помощью tcpdump.
Я работал над этим, добавляя статические маршруты в DMZ2 через PF2 к серверам на TRUSTED, но некоторые устройства там не поддерживают статические маршруты, так что это не идеально. Есть ли способ сделать так, чтобы это устройство работало прилично, или же в дизайне есть недостатки?
Спасибо!
Вам нужна возможность обойти фильтрацию для статических маршрутов в разделе Система> Дополнительно. Невозможно фильтровать трафик в этом сценарии, так как он маршрутизируется асимметрично.