LAN имеет две точки входа - как управлять трафиком

я попросил этот вопрос вчера когда я (казалось бы) не мог получить трафик через мой маршрутизатор.

С тех пор я потратил много времени на захват пакетов, ASA 5505 cli / ASDM и wirehark.

Я наконец понял, что моя проблема в том, что в LAN есть две записи.

LAN - 10.10.5.0/24, PDC (DHCP / DNS / etc) - 10.10.5.5, межсетевой экран Watchguard - 10.10.5.1

Одна точка входа имеет настроенный брандмауэр Watchguard, и его цель - управлять почти всем трафиком в нашей организации. Фактически, он обрабатывает весь трафик за исключением одного конкретного набора.

Это другая точка входа для одного клиента. Сервер этого клиента находится по адресу 10.10.5.30, а маршрутизатор ASA 5505 - 10.10.5.2 (подключен через модем).

Мы запускаем службы на нескольких наших серверах на UDP 3000. Мы хотим, чтобы все остальные серверы, весь интернет, ftp и т. Д. Трафик выходили через главный шлюз Watchguard. И это так.

Но для этого одного сервера я хочу, чтобы через ASA 5505 проходил только порт 3000-3002 UDP. Все данные UDP с других серверов (включая порт 3000-3002) должны проходить через WG.

Я обнаружил, что пока трафик поступает через 10.10.5.2 (ASA5505), правильный сервер, 10.10.5.30, получает данные, НО затем 10.10.5.30 пытается отправить запросы ACK обратно через 10.10.5.30. 5.1 межсетевой экран.

Симптомы состоят в том, что похоже, что через ASA не проходит трафик, и мы не получаем никакого потока. Как я могу принудительно использовать определенные протоколы и порты для этого сервера через ASA, а не через WG?

ASA 5505 имеет правила NAT для пересылки всего UDP прямо на .30 и отбрасывания всего остального.

Важные заметки: Другой серверы используют один и тот же протокол и порт через WatchGuard в 10.10.5.1, поэтому я не могу просто вытолкнуть ВСЕ данные порта UDP 3000 локальной сети из одного соединения - мне нужно разделить его.

Обновить По сути, мне нужно создать маршрут на сервере 10.10.5.30 явно для портов UDP 3000-3002. Думаю. Это Windows 2003 Server SP2