对于如何处理可能的简单路由问题有点困惑。
我通过 VPN 接入 10.1.xx 子网上的 Cisco ASA。现在,我不仅想与私有 10.1.xx 进行交互,还想与 172.16.xx 上的 dmz 进行交互
在 TAC 会话中,思科代表确认我的 VPN 用户可以在两个子网上进行流量传输;他表示,问题在于,虽然流量可以顺利地从 10.1.xx 流向 172.16.xx,但流量却无法从 172 传回至 10;因此,目标服务器存在路由问题。
在 Linux 系统(CentOS)上,如何添加路由,以便从 10.1.50.1 到 172.16.50.1(默认 gw 和主服务器 nic)发起的流量可以来回流动?
虽然我喜欢尝试,但我不希望破坏路线,也不想让客户抱怨他们的网站无法加载;-)
示例设置:eth0 为 172.16.50.1,网关为 172.16.1.1,掩码为 255.255.0.0 eth1 为 10.1.50.1,掩码为 255.255.0.0 VPN 用户 IP 位于 10.1 子网中,例如 10.1.200.1
谢谢指点!
答案1
问题是如何在 Linux 上路由到不同的子网。我详细解释了情况,给出了一般性答复,没有具体说明。
我在开发服务器上破解了它:
route add -net 10.1.200.0 (VPN ip pool) netmask 255.255.255.0 gw 172.16.1.1
然后应用于生产。这非常有效,而且,它还能节省一台主机,否则这台主机将计入 ASA 基本许可证限制的 10 台主机中——例如,当 ssh 进入 10.1.50.1 时,主机数增加 1,因为 VPN 用户被视为 ASA“外部”,但是当 ssh 进入 172.16.50.1 上的同一台机器时,主机数保持不变,因为这个接口已经通过与外界的持续进出流量占用了一台主机。