Маршрутизация подсетей без SNAT на Firewall

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Маршрутизация подсетей без SNAT на Firewall

Сообщение Киселев Георгий » 19 ноя 2019, 11:21

Добрый день!

Необходимо реализовать следующую схему маршрутизации:
  • форвардинг двух (возможно, трех) подсетей через Ideco БЕЗ SNAT на Firewall, смотрящий в Internet, там дальше сам Firewall разберётся
  • маскарадинг и/или проксирование остальных подсетей на Ideco
Схема:
Network_scheme.png
Примерная схема желаемой маршрутизации
Network_scheme.png (95.44 КБ) Просмотров: 493

Ideco UTM:
Интерфейсы:
Screenshot_20191119_095712.png
Интерфейсы
Screenshot_20191119_095712.png (22.54 КБ) Просмотров: 493

  • Внешний интерфейс - 192.168.99.4/24, шлюз по умолчанию 192.168.99.3
  • Локальный интерфейс - 192.168.100.30/24
  • Включено прямое подключение к прокси на адрес 192.168.100.30:3128
Правила файрволла:
Screenshot_20191119_100706.png
Правила файрволла
Screenshot_20191119_100706.png (70.14 КБ) Просмотров: 493


Firewall:
  • Локальный интерфейс - 192.168.99.3/24
  • Внешний интерфейс - статический IP от провайдера
Для всех устройств в сети (кроме файрволла и Ideco) роутер является шлюзом по умолчанию, на схеме - 192.168.100.1/192.168.99.100/192.168.10.2/192.168.2.1 и т.д.
Как прокси Ideco работает успешно, но устройства из подсетей 192.168.100.0/24 и 192.168.10.0/24 в Интернет не выходят. Если отключить правила из группы Server networks, то через MASQ всё проходит успешно.

"Бэн, это Данила. Ай нид хэлп" (С)
Киселев Георгий
Пользователь
 
Сообщения: 5
Зарегистрирован: 08 авг 2018, 10:22

Re: Маршрутизация подсетей без SNAT на Firewall

Сообщение ideco.dmitriy » 19 ноя 2019, 11:51

Добрый день!
Если вы коммерческий клиент, лучше создавать тикет на портале поддержки: https://help.ideco.ru/

По вопросам:
"форвардинг двух (возможно, трех) подсетей через Ideco БЕЗ SNAT на Firewall, смотрящий в Internet, там дальше сам Firewall разберётся"
Лучше это сделать обновившись до версии 7.9 (можно загрузившись с диска, либо выслав в тех. поддержку номер вашей лицензии, сегодня выйдет версия 7.9.2, рекомендую обновится сразу же до нее).
Там нужно будет в файерволе отключить автоматический SNAT и создать правила неSNAT и SNAT для нужных подсетей.
В версии 7.8 из веб-интерфейса такие правила сделать было нельзя (т.к. нельзя отключить автоматический NAT).

Без авторизации хосты в Интернет все равно ходить не будут - нужно их авторизовать хотя бы по IP (для этого можно автоматически создать нужное количество "пользователей".
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2214
Зарегистрирован: 11 мар 2014, 08:43

Re: Маршрутизация подсетей без SNAT на Firewall

Сообщение Киселев Георгий » 19 ноя 2019, 17:33

Отвечаю сам себе (после подсказки поддержки Ideco).
Вышеозначенная схема реализуема только в обход узлами подсетей 192.168.10.0/24 и 192.168.100.0/24 сервера Ideco UTM. В противном случае все хосты из этих подсетей будут регистрироваться как клиенты Ideco UTM и трафик всё равно будет обрабатываться.
У меня всё это реализовано через Cisco VRF - каждой подсети назначен свой VRF и в нем установлен шлюз по умолчанию, отличный от Ideco UTM. Всё заработало.
Киселев Георгий
Пользователь
 
Сообщения: 5
Зарегистрирован: 08 авг 2018, 10:22


Вернуться в Шлюз безопасности Ideco UTM 7.x и 8.х

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron