Назад | Перейти на главную страницу

Маршрутизация между 2 сетями и 2 маршрутизаторами

У меня есть WatchGuard XTM33 и Cisco ASA 5505, текущая сеть работает от Cisco, и я хочу в конечном итоге перейти на WatchGuard, используя новую схему IP.

ASA 192.168.111.1/24

WG 10.0.0.1/23

Если я настраиваю WG и настраиваю один из интерфейсов как внешний, устанавливаю gw по умолчанию на 192.168.111.1, исходящий трафик из WG работает с машины в диапазоне 10.0.0.0/23, однако, если я нахожусь на машине в 192.168.111.0 / 24, я не могу достичь 10.0.0.1 (ping, tcp ping на открытом порту и т. Д.).

Что я мог упустить? 

  Easy Setup               What it sounds like you have
  ----------               ----------------------------

  Internet                     Internet
  |     |                        |
Cisco  Watchguard              Cisco
  |     /                        |
   192...                      192...
   10...                         |
                               Watchguard
                                 |
                               10...

Выбирайте первый дизайн.

Есть:

Cisco WAN: {Internet IP}
Cisco LAN: 192.168.111.1/24
Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet)

Watchguard WAN: {Spare Internet IP - assuming you have one}
Watchguard LAN: 10.0.0.1/23
Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)

Теперь у каждого устройства есть подключение к Интернету, локальное соединение в своей основной подсети и дополнительный IP-адрес, обеспечивающий ему доступ к основной подсети другого устройства.

Затем добавьте маршрут на каждом устройстве, пересекающем две сети (Cisco -> вторичный Watchguard. Watchguard -> Cisco вторичный), например

Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2
Cisco route: 10.0.0.0/23 via gateway 192.168.111.2

Ваши компьютеры отправят на свой шлюз по умолчанию. Если трафик предназначен для другой подсети LAN, он будет переключаться между двумя устройствами. Любое устройство может отправлять в Интернет. Правила брандмауэра полностью разделены.

Если вы не можете сделать этот дизайн, потому что у вас нет свободного общедоступного IP-адреса в вашем интернет-соединении, тогда у вас будет больше проблем и потребуется более сложная настройка.

Вам нужен оператор маршрута в ASA, чтобы указать на сеть 10.x.x.x. Предполагая, что у вас есть интерфейс, называемый «внутри», и что Watchguard / ASA имеют интерфейсы в той же подсети:

ip route inside 10.0.0.0 255.255.254.0 <watchguard ip>

Кроме того, не следует настраивать Watchguard для трафика NAT с 10.0.0.0/23 на 192.168.111.0/24.