Как избежать проблем с обнаружением вторжений / антиспуфингом на sonicwall серии TZ FW

У нас есть FW серии sonicwall tz с двумя подключенными интернет-провайдерами.

У одного из провайдеров есть беспроводная служба, которая работает немного как коммутатор Ethernet: у нас есть IP-адрес с подсетью / 24, а шлюз - .1. Все остальные клиенты в той же подсети (скажем, 195.222.99.0) имеют одинаковый шлюз .1 - это важно, читайте дальше.

Некоторые из наших клиентов также находятся в той же подсети.

Наш конфиг:

• X0: Lan
• X1: 89.90.91.92
• X2: 195.222.99.252/24 (GW 195.222.99.1)

X1 и X2 являются не подключены, кроме того, что оба подключены к общедоступному Интернету.

Конфигурация клиента:

• X1: 195.222.99.123/24 (GW 195.222.99.1)

Что не работает, что работает:

• Трафик 195.222.99.123 (клиент) <-> 89.90.91.92 (X1): предупреждение о спуфинге
• Трафик 195.222.99.123 (клиент) <-> 195.222.99.252 (X1): ОК - нет спуфинга

У меня есть несколько клиентов с IP-адресами в диапазоне 195.222.99.0, и все они вызывают идентичные предупреждения.

Это предупреждение, которое я вижу на FW:

Alert   Intrusion Prevention    IP spoof dropped 195.222.99.252, 21475, X1  89.90.91.92, 80, X1 MAC address: 00:12:ef:41:75:88

На моем FW отключен антиспуфинг (сеть-> mac-ip-anti-spoofing -> config для каждого интерфейса) для всех портов

Я могу вызвать оповещения, подключившись к порту X1 по telnet от клиентов.

С логикой не поспоришь - это является подозрительный трафик. X1 получает трафик с исходным IP-адресом, который соответствует подсети X2s.

Кто-нибудь знает, как я могу сказать FW, что пакеты с подсетью src 195.222.99.0 могут законно появляться на X1?

Я знаю, что идет не так, я видел то же самое раньше, но с более мощными FW вы можете избежать этого с помощью нескольких дополнительных правил. Я не понимаю, как это сделать здесь. И прежде чем вы спросите, почему мы используем этого поставщика услуг - они дают нам задержку в 3 мс (да, 3 мс, это не ошибка) между маршрутизаторами.