このように配置された2つのpfSenseルーターを使用してネットワークをセットアップしています:-
DMZ1 WAN1 WAN2 DMZ2
| | | |
| | | |
\___ PF1 PF2___/
| |
| |
\___TRUSTED___/
各pfSenseルーターには、独自の個別のWAN接続、および個別のDMZネットワークが接続されています。これらの間で共通の信頼できるLANを共有します。
信頼できるネットワーク上のマシンには、デフォルトゲートウェイとしてPF1があります。 PF1には、PF2を介してDMZ2への静的ルートが定義されており、PF2には、PF1を介してDMZ1への静的ルートがあります。 NATからWANまで)がありますが、内部ネットワーク(DMZ1/2およびTRUSTED)は異なるRFC1918サブネットを使用します。
私はこの配置を継承し、すべてが正常に機能していました。 PF1(マルチキャストに関連する)の構成を変更しましたが、DMZ2上のマシンが突然TRUSTEDと通信できなくなりました。変更をロールバックしましたが、問題は解決しませんでした。
TCPパケットはDMZ2-> PF2-> TRUSTEDになり、戻ったときにTRUSTED-> PF1-> PF2-> DMZ2になります。これが私が唯一の方法です。動作していることがわかりますが、PF1は返されるパケットをドロップします。tcpdumpを使用してこれを確認しました。
PF2を介してDMZ2への静的ルートをTRUSTEDのサーバーに追加することでこれを回避しましたが、そこにある一部のデバイスは静的ルートをサポートしていないため、これは理想的ではありません。この配置を適切に機能させる方法はありますか、それとも設計に本質的に欠陥がありますか?
ありがとう!
[システム]> [詳細]で、静的ルートのフィルタリングをバイパスするオプションが必要です。非対称にルーティングされているため、そのシナリオではトラフィックをフィルタリングできません。