我有一台 WatchGuard XTM33 和一台 Cisco ASA 5505,当前网络由 Cisco 运行,我希望最终使用新的 IP 方案迁移到 WatchGuard。
ASA 192.168.111.1/24
工作组 10.0.0.1/23
如果我设置 WG 并将其中一个接口配置为外部,将默认 gw 设置为 192.168.111.1,则从 WG 出站的流量可以从 10.0.0.0/23 范围内的机器上运行,但是如果我在 192.168.111.0/24 范围内的机器上,则无法到达 10.0.0.1(ping、在开放端口上 tcp ping 等)。
我可能错过了什么?
答案1
您需要在 ASA 中使用路由语句来指向 10.xxx 网络。假设您有一个名为“inside”的接口,并且 Watchguard / ASA 在同一子网上有接口:
ip route inside 10.0.0.0 255.255.254.0 <watchguard ip>
此外,您不应将 Watchguard 配置为从 10.0.0.0/23 到 192.168.111.0/24 的 NAT 流量。
答案2
Easy Setup What it sounds like you have
---------- ----------------------------
Internet Internet
| | |
Cisco Watchguard Cisco
| / |
192... 192...
10... |
Watchguard
|
10...
选择第一个设计。
有:
Cisco WAN: {Internet IP}
Cisco LAN: 192.168.111.1/24
Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet)
Watchguard WAN: {Spare Internet IP - assuming you have one}
Watchguard LAN: 10.0.0.1/23
Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)
现在,每个设备都有一个互联网连接、一个主子网上的本地连接以及一个可以接入其他设备主子网的辅助 IP。
然后在跨越两个网络的每台设备上添加一条路由(Cisco -> Watchguard 的辅助网络。Watchguard -> Cisco 辅助网络),例如
Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2
Cisco route: 10.0.0.0/23 via gateway 192.168.111.2
您的计算机将发送到其默认网关。如果流量是发往另一个 LAN 子网,它将在两个设备之间跳跃。任一设备都可以发送到互联网。防火墙规则完全独立。
如果您由于互联网连接上没有备用的公共 IP 而无法进行此设计,那么您将遇到更多问题,并且需要更复杂的设置。