2个网络和2个路由器之间的路由

Question

我有一个WatchGuard XTM33和一个思科ASA 5505，目前的网络正在运行的思科和我想最终迁移到WatchGuard使用新的IP方案。

ASA 192.168.111.1/24

WG 10.0.0.1/23

如果设置WG并将其中一个接口配置为外部接口，将默认gw设置为192.168.111.1，则WG的出站流量在10.0.0.0/23范围内工作，但是如果我在192.168.111.0/24范围内的机器上，则无法达到10.0.0.1 (ping、开放端口上的tcp ping等)。

我错过了什么？

Answer 1

在ASA中需要一个路由语句来指向10.x.x.x网络。假设您有一个名为“inside”的接口，并且Watchguard / ASA在同一个子网上有接口：

ip route inside 10.0.0.0 255.255.254.0 <watchguard ip>

此外，您不应该将Watchguard配置为10.0.0.0/23到192.168.111.0/24之间的NAT通信量。

Answer 2

  Easy Setup               What it sounds like you have
  ----------               ----------------------------

  Internet                     Internet
  |     |                        |
Cisco  Watchguard              Cisco
  |     /                        |
   192...                      192...
   10...                         |
                               Watchguard
                                 |
                               10...

去做第一个设计吧。

拥有：

Cisco WAN: {Internet IP}
Cisco LAN: 192.168.111.1/24
Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet)

Watchguard WAN: {Spare Internet IP - assuming you have one}
Watchguard LAN: 10.0.0.1/23
Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)

现在每个设备都有一个因特网连接，一个在其主子网上的本地连接，以及一个二级IP，使它能够连接到另一个设备的主子网。

然后在每台设备上添加一条通过这两个网络的路由(思科-> Watchguard的辅助设备)。->二级计算机)，例如。

Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2
Cisco route: 10.0.0.0/23 via gateway 192.168.111.2

您的计算机将发送到它们的默认网关。如果流量是为另一个局域网子网，它将跳到两个设备之间。这两种设备都可以发送到互联网。防火墙规则是完全独立的。

如果您无法完成此设计，因为您没有备用的公共IP在您的互联网连接，那么您将有更多的问题，并需要一个更复杂的设置。