Назад | Перейти на главную страницу

Маршрутизация между подсетями на разных vlan, связанных маршрутизатором / межсетевым экраном

У меня есть две сети, которые я хотел бы подключить с помощью маршрутизатора / брандмауэра для фильтрации трафика между ними. Одна сеть находится в публичной подсети, скажем 64.22.12.192/27 а другая сеть находится в частной подсети 192.168.0.0/24. Они подключены через маршрутизатор, который имеет три порта Ethernet, один из которых подключен к Интернету, а два других подключены к общедоступной и частной подсетям и находятся на своих собственных VLANS. Как сделать частную подсеть видимой для общедоступной сети? Вот схема сети:

Router1> eth0 --- подключен к Интернету
Router1> eth1 --- 64.22.12.193/27 Подключен к подсети VLAN 64 64.22.12.193/27
Router1> eth3 --- 192.168.0.1/24 Подключен к VLAN 192 Подсеть 192.168.0.0/24

Я пробовал статическую маршрутизацию 192.168.0.0/24 к 64.22.12.193 на маршрутизаторе я также пробовал маршрутизировать его на 192.168.0.1. Ни то, ни другое не сработало.

Я хочу, чтобы трафик между двумя подсетями проходил через маршрутизатор, потому что я хочу иметь возможность настраивать правила брандмауэра на маршрутизаторе между подсетями.

Я пробовал статические маршруты, но не смог заставить их работать, я что-то делаю не так?
Я понимаю, что могу использовать NAT, но для доступа к отдельным частным IP-машинам мне пришлось бы настроить NAT один-к-одному, который съел бы мои драгоценные ограниченные общедоступные IP-адреса.
Нужно ли мне для этого настраивать туннель? Разве туннель не обходит правила брандмауэра?

Показать IP-маршрут:

default via 66.22.32.137 dev eth0  proto zebra 
192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.1
64.22.12.192/27 dev eth1  proto kernel  scope link  src 64.22.12.193
66.22.32.136/29 dev eth0  proto kernel  scope link  src 66.22.32.141
127.0.0.0/8 dev lo  proto kernel  scope link  src 127.0.0.1

Я пробовал статические маршруты, но не смог заставить их работать

Вам не нужны статические маршруты, в вашей системе уже есть все необходимые маршруты. Linux автоматически настраивает маршруты для каждой локальной сети. Предполагая, что у вас включен ip_forward и нет правил брандмауэра, блокирующих в настоящее время трафик, все должно работать.

Нужно ли мне для этого настраивать туннель?

Нет, вам не нужны туннели.

Я понимаю, что могу использовать NAT, но для доступа к отдельным частным IP-машинам,

Вам не нужны никакие правила NAT. Фактически, если у вас уже есть слишком широкая настройка SNAT / MASQ, это может быть вашей проблемой.

Предполагая, что все клиенты включены 64.22.12.192/27 и 192.168.0.0/24 используют ваш Linux-сервер в качестве шлюза по умолчанию, и у вас нет настроек правил SNAT / MASQ для изменения исходного адреса трафика, идущего от eth3 -> eth1, связь должна работать.