BFW Firewall & Router

[boxgustavo]

Ja pesquisei alguma coisa nos fóruns e ainda não consegui resolver essa pendência.
Estou trabalhando nessa rede da imagem e preciso inserir uma rota estática para o BFW 2 da imagem.
É o seguinte: tudo funciona perfeitamente como planejado, exceto pelo fato que: da rede administrativa eu não consigo acessar o BFW 2.
Consultei as rotas e tentei adicionar como na imagem:

Li algo sobre adicionar essa rota no route.cfg, já tentei de diversas formas e não consigo, também vi muito sobre LB nesse route.cfg mas como podem ver na imagem não estou usando. Será que alguém pode me ajudar nessa.

Obrigado !!!

[Paulo2]

Olá boxgustavo , bem-vindo ao fórum, leia as regras do fórum pra se inteirar do funcionamento
http://www.brazilfw.com.br/forum/viewtopic.php?f=2&t=54486

Os dois BFW da figura são versão 2.x? Pergunto por causa das VLAN.
O comando route que vc postou acho que deveria ter o gateway da rede 10.0.0.0

Código: Selecionar todos

route add -net 10.0.0.0/8 gw 10.0.0.1

Adicione um ip (que não esteja em uso) da rede 10.0.0.0 na placa eth1 do BFW1

Código: Selecionar todos

ip address add 10.255.255.254 dev eth1

Esse segundo ip na eth1 também pode ser adicionado pelo webadmin.

[boxgustavo]

Muito obrigado por responder. Os dois Bfw são 2.32.2 !!!
Eu tentei a sua dica e não obtive resultado positivo, e quando eu reinicio o BFW ele apaga as rotas que criei.
O meu BFW 1 não ‘conhece’ a rede 10.0.0.0/8 do BFW 2, no BFW 1 eu tenho a rede 192.168.1.0/24 e a 172.16.0.0/16 e na internet do BFW 2 eu amarrei o IP 172.16.0.2/16 saindo da minha ETH2 do BFW1. Então eu teria que avisar ao meu BFW 1 que a rota para a rede 10.0.0.0/8 está no 172.16.0.2/16. Eu montei no Packet Tracer da CISCO e flui normalmente, eu não consigo inserir essa rota danada no Linux/BFW.
De qualquer maneira muito obrigado, você tem mais alguma ideia ???

[Paulo2]

Eu errei o comando "ip" esqueci da máscara

Código: Selecionar todos

ip address add 10.255.255.254/8 dev eth1

Assim o BFW1 tem um ip da rede 10.0.0.0/8 e a rota através do comando route.
Para fazer as configurações permanentes adicione os comandos no arquivo "/etc/rc.d/rc.local"

Eu não tinha entendido direito a figura, vc diz que os dois BFW se comunicam através
da rede 172.16.0.0, é isso mesmo? Pensei a mesma coisa. Já que o BFW2 conhece as duas redes,
o BFW1 deveria acessar a rede 10.0.0.0. Veja se não tem nenhuma regra nos BFW que possa
bloquear o acesso.

Talvez o BFW1 tenha que ter um ip da rede 10.0.0.0, tente novamente agora com o comando certo.
Teste na eth2 do BFW1 também, já que essa placa se comunica com BFW2.

A figura vc fez no Packet Tracer? Muito bom esse programa tipo hand on wheel

[boxgustavo]

Infelizmente não funcionou.
O BFW1 tem a rede 172.16.0.0/16 e o IP 172.16.0.2/16 está atribuído na eth0 do BFW2 como link de internet. Não há nenhuma regra de bloqueio.
Eu segui todas as suas dicas, adicionei o ip, adicionei rota, deixei o ping batendo lá e nada. Já virei de ponta cabeça essas rotas e nada, tá danado.
Uma dica que você passou que funcionou 100% foi adicionar a rota no rc.local (obrigado). Vou tentando aqui, qualquer novidade posto.
Eu fiz o mapa no Packet Tracer. Eu tomo conta de várias empresas, então pra não me perder em cada uma eu mantenho o mapa da rede.
Abração.

[Paulo2]

Se não funcionou, delete os comandos
Com os BFW como eram antes, pingar de uma estação da rede 10.0.0.0 para 172.16.0.1 dá certo?
O gateway do BFW2 é o ip do BFW1 172.16.0.1, confere?

[boxgustavo]

Deletados !!!
Qualquer estação da rede 10.0.0.0/8 pinga tanto na 192.168.1.0/24 como na 172.16.0.0/16.
O gateway do BFW2 é o ip do BFW1 172.16.0.1, confere.

BFW2
Eth0 - Internet
ip 172.16.0.2
Mask 255.255.0.0
Gw 172.16.0.1

Eth1 - Lan
ip 10.0.0.1
Mask 255.0.0.0

BFW1
eth0 - internet
Ip fixo fornecido pela operadora

eth1 - Lan1
ip 192.168.1.1
mask 255.255.255.0

eth2 - Lan2
ip 172.16.0.1
mask 255.255.0.0

[Paulo2]

Acho que o que está acontecendo é que o BFW2 bloqueia todas as tentativas de conexão
externa para a rede interna (10.0.0.0), então vc tem que permitir no BFW2 os serviços que
devem ser acessados.
No Packet Tracer funciona porque o roteador marcado como BFW2 deve estar com o firewall
sem regras, portanto vc consegue dar um ping de ambos os lados, mas o BFW bloqueia os acessos
externos.