我有一个WatchGuard XTM33和一个Cisco ASA 5505,目前的networking正在使用思科,我最终希望使用新的IPscheme迁移到WatchGuard。
ASA 192.168.111.1/24
WG 10.0.0.1/23
如果我设置了工作组并将其中一个接口configuration为外部接口,请将默认gw设置为192.168.111.1,但从WG出站的stream量工作在10.0.0.0/23范围内的机器上,但是如果我位于192.168.111.0的计算机上/ 24范围内,我无法达到10.0.0.1(ping,打开端口上的tcp ping等)。
我可能会错过什么?
您需要在ASA中的路由语句指向10.xxxnetworking。 假设您有一个名为“inside”的界面,并且Watchguard / ASA在相同的子网上有接口:
ip route inside 10.0.0.0 255.255.254.0 <watchguard ip>
另外,您不应将Watchguardconfiguration为从10.0.0.0/23到192.168.111.0/24的NAT通信。
Easy Setup What it sounds like you have ---------- ---------------------------- Internet Internet | | | Cisco Watchguard Cisco | / | 192... 192... 10... | Watchguard | 10...
去第一个devise。
有:
Cisco WAN: {Internet IP} Cisco LAN: 192.168.111.1/24 Cisco LAN Secondary IP: 10.0.0.2/23 (a connection into the Watchguard subnet) Watchguard WAN: {Spare Internet IP - assuming you have one} Watchguard LAN: 10.0.0.1/23 Watchguard LAN Secondary IP: 192.168.111.2/24 (a connection into the Cisco subnet)
现在,每台设备都具有互联网连接,主子网上的本地连接和辅助IP,从而使其进入对方设备的主子网。
然后在通过两个networking的每台设备上添加一条路由(Cisco→Watchguard的辅助设备,Watchguard→Cisco辅助设备),例如
Watchguard route: 192.168.111.0/24 via gateway 10.0.0.2 Cisco route: 10.0.0.0/23 via gateway 192.168.111.2
您的电脑将发送到他们的默认网关。 如果stream量是针对其他LAN子网的,则会在两台设备之间跳转。 任一设备都可以发送到互联网。 防火墙规则是完全分开的。
如果因为您的互联网连接上没有备用公共IP,您无法进行此devise,那么您将遇到更多问题并需要更复杂的设置。