Маршрутизация между 2 сетями и 2 роутерами

Question

Маршрутизация между 2 сетями и 2 роутерами

У меня есть WatchGuard XTM33 и Cisco ASA 5505, текущая сеть работает за пределами Cisco, и я хочу со временем перейти на WatchGuard, используя новую схему IP.

ASA 192.168.111.1/24

РГ 10.0.0.1/23

Если я настраиваю WG и настраиваю один из интерфейсов как внешний, задаю gw по умолчанию 192.168.111.1, трафик, исходящий из WG, работает с машины в диапазоне 10.0.0.0/23, однако, если я нахожусь на машине с 192.168.111.0/24 диапазон, я не могу достичь 10.0.0.1 (ping, tcp ping на открытом порту и т. Д.).

Чего мне не хватать?

0

networking routing cisco-asa ip-routing watchguard

Источник

KPS 12 ноя '14 в 20:28

2 ответа

Другие вопросы по тегам networking routing cisco-asa ip-routing watchguard

TessellatingHeckler 13 ноя '14 в 00:29 2014-11-13 00:29 · Answer 1 · 2014-11-13 00:29

  Easy Setup               What it sounds like you have
  ----------               ----------------------------

  Internet                     Internet
  |     |                        |
Cisco  Watchguard              Cisco
  |     /                        |
   192...                      192...
   10...                         |
                               Watchguard
                                 |
                               10...

Перейти на первый дизайн.

Есть:

Cisco WAN: {Internet IP}
Cisco LAN: 192.168.111.1/24
Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet)

Watchguard WAN: {Spare Internet IP - assuming you have one}
Watchguard LAN: 10.0.0.1/23
Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)

Теперь каждое устройство имеет подключение к Интернету, локальное подключение в своей основной подсети и дополнительный IP-адрес, что дает ему доступ к основной подсети другого устройства.

Затем добавьте маршрут на каждое устройство, пересекающее две сети (Cisco -> вторичное устройство Watchguard. Watchguard -> вторичное устройство Cisco), например

Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2
Cisco route: 10.0.0.0/23 via gateway 192.168.111.2

Ваши компьютеры отправят на их шлюз по умолчанию. Если трафик для другой подсети LAN, он будет переключаться между двумя устройствами. Любое устройство может отправить в Интернет. Правила брандмауэра совершенно разные.

Если вы не можете сделать этот дизайн, потому что у вас нет свободного общедоступного IP-адреса в вашем интернет-соединении, тогда у вас будет больше проблем и вам потребуется более сложная настройка.

Ray 12 ноя '14 в 21:13 2014-11-12 21:13 · Answer 2 · 2014-11-12 21:13

Требуется инструкция маршрута в ASA, чтобы указать на сеть 10.xxx. Предполагая, что у вас есть интерфейс с именем 'inside' и что Watchguard / ASA имеет интерфейсы в одной подсети:

ip route inside 10.0.0.0 255.255.254.0 <watchguard ip>

Кроме того, вы не должны настраивать Watchguard для трафика NAT с 10.0.0.0/23 до 192.168.111.0/24.