WatchGuard Firebox在将BovpnVif路由添加到0.0.0.0/0后，自己的互联网连接失败

Question

环境:一家公司的网络在总部有一个带有全面安全套件的Firebox系列设备.每个分支机构都有一个较小的T系列火箱，没有订阅服务.由于这个原因，来自分支机构的所有流量都是通过总部的M系列设备进行的.一些分支机构Fireboxes具有静态IP，有些则通过DHCP获得它。

有时，隧道可能会出现一些问题(例如，如果HQ网络关闭)。因此，分支机构Fireboxes需要能够通过隧道放弃0.0.0.0/0路由，独立工作一段时间，因为BO互联网连接对于业务至关重要。这适用于BO虚拟接口，但不适用于BO和隧道上的0.0.0.0/0。

简化(仅一个外部和可信的if)相关的配置，一个分支机构与DHCP。

• 火箱-总部(10.9.0.1) - M670 防火墙操作系统v12.2.1.B572649
  • 接口(路由模式)
    • eth0：ISP1 外部 - 198.51.100.123/24 (静态)
    • eth1：受信任的可信赖的 - 10.9.0.1/24

- VPN Interface (`bvpn20`): BovpnVif.BO20 [IKEv1]  
    - Route to `10.9.20.0/24`

• 火箱-BO20 (10.9.20.1) - T55 防火墙操作系统v12.2.1.B572649
  • 接口(路由模式)
    • DNS服务器：192.0.2.10 & 192.0.2.20 (ISP2 2‘S DNS服务器)
    • eth0：ISP2 外部 - 203.0.113.33/24 (DHCP)
    • eth1：受信任的可信赖的 - 10.9.20.1/24

- VPN Interface (`bvpn1`): BovpnVif.HQ [IKEv1]  
    - Route to `0.0.0.0/0`
    - VPN Settings: [x] Remove VPN routes when the tunnel for a BOVPN vif is down.

当隧道坍塌时，一切都如期而至。Firebox-BO20可以作为其eth1网络的DNS解析器工作。10.9.20.0/24和Firebox本身都可以访问互联网。

问题:当隧道打开，通过0.0.0.0/0添加bvpn1路由时，eth1上的客户端可以通过VPN和所有资源(包括资源)访问互联网。DNS服务器)在总部。

IPv4 Routes
------------
Destination     Gateway         Genmask         Flags   Metric    Interface   
0.0.0.0         0.0.0.0         0.0.0.0         U       1         bvpn1       
0.0.0.0         203.0.113.1     0.0.0.0         UG      5         eth0        
10.9.20.0       0.0.0.0         255.255.255.0   U       0         eth1        
203.0.113.0     0.0.0.0         255.255.255.0   U       0         eth0        
127.0.0.0       0.0.0.0         255.0.0.0       U       0         lo           

但是，Firebox停止作为DNS解析器工作，并失去其自己的Internet连接。这是因为Firebox自己的连接也开始使用该路由。

• ISP1 2‘S DNS服务器192.0.2.10 & 192.0.2.20无法从ISP1访问。
• 网络10.9.20.0/24上的设备可以通过bvpn1接入互联网。
• Firebox不是通过隧道使用内部IP 10.9.20.1，而是使用203.0.113.33。
• 防火墙规则Any From Firebox-00是硬编码的，不会出现在策略管理器中。否则，就很容易强迫它将eth0与<policy-routing>结合使用。

防火墙策略允许这两种设备上的所有必要通信；因此，问题仅限于路由。

Answer 1

对于ISP2 2‘S DNS服务器，您需要向Firebox-BO20添加静态路由。

• 从Fireware Polixy Manager > Network >Routes.
  • 添加...静态路由，主机IPv4，到192.0.2.10，网关203.0.113.1度量0。
  • 添加...静态路由，主机IPv4，到192.0.2.20，网关203.0.113.1度量0。

将设置保存到Firebox后，连接隧道的路由表如下所示：

IPv4 Routes
------------
Destination     Gateway         Genmask         Flags   Metric    Interface   
0.0.0.0         0.0.0.0         0.0.0.0         U       1         bvpn1       
0.0.0.0         203.0.113.1     0.0.0.0         UG      5         eth0        
10.9.20.0       0.0.0.0         255.255.255.0   U       0         eth1        
192.0.2.10      203.0.113.1     255.255.255.255 UGH     0         eth0        
192.0.2.20      203.0.113.1     255.255.255.255 UGH     0         eth0        
203.0.113.0     0.0.0.0         255.255.255.0   U       0         eth0        
127.0.0.0       0.0.0.0         255.0.0.0       U       0         lo          

另一种选择是使用公共DNS服务器(如Cloudflare的1.1.1.1 / 1.0.0.1或Google的8.8.8.8 / 8.8.4.4)，这些服务器在这两个is上都能工作。

对于Firebox-BO20在隧道连接时的Internet连接，事情要复杂一些，因为Firebox在通过隧道发送数据包时使用它的外部IP。如果您有一个与登录相匹配的规则，比如HTTPS代理，您将从日志中看到这一点，例如：

Allow 203.0.113.33 23.99.53.216 https/tcp 46452 443 BovpnVif.BO20-bvpn20 ISP1 
    HTTPS Request   (HTTPS-proxy-00) HTTPS-Client.Standard proc_id="https-proxy" 
    ... sni="services.watchguard.com" cn="services.watchguard.com" 

这在Firebox-BO20上有一个路由0.0.0.0/0，但是在Firebox隧道bvpn20上没有路由。

• 您需要编辑BOVPN虚拟接口BovpnVif.BO20，并向Firebox-BO20的外部IP添加路由。如果IP是静态的，那将是一个203.0.113.33/32。在这种情况下，Firebox-BO20的外部接口位于DHCP上，您需要一条路由来覆盖它可能获得的所有可能的it，整个DHCP池，例如203.0.113.0/24。当然，这意味着Firebox也将使用此路由来处理该范围内的其他地址。这可能会在某些用例上造成问题--如果是这样的话，您需要获得一个静态IP。
• 默认情况下，Firebox为专用网络192.168.0.0/16、172.16.0.0/12和10.0.0.0/8添加动态NAT。由于外部IP 203.0.113.33不在这些网络中，因此需要添加(网络>NAT.)动态NAT从BovpnVif.BO20到任何外部.幸运的是，这可以使用BOVPN虚拟接口的现有内置别名来完成。