Por que não consigo acessar o lado da LAN de um roteador vrrp escravo?

1

Eu tenho uma configuração de firewall / roteador dual linux que está conectada a dois provedores de upstream diferentes. Internamente, a rota padrão é um failover usando vrrp.

A configuração é algo como isto. As rotas são fornecidas aos roteadores via BGP.

Provider A (x.x.x.57) - Router 1 [WAN](x.x.x.58) [LAN](a.a.a.130/128)
                                                   +----- VRRP (a.a.a.129/128) [default gw]
Provider B (y.y.y.61) - Router 2 [WAN](y.y.y.62) [LAN](a.a.a.131/128)

Tudo funciona corretamente em geral.

No entanto, o que eu notei é que quando o roteador 1 é o mestre para o VRRP, o aaa131 não pode ser pingado de um cliente que roteia pelo provedor A. Da mesma forma, se o roteador 2 é o mestre, não podemos pingar aaa130. Eu também não posso ssh para esse endereço. No entanto, posso ssh ou pingar o lado WAN de ambos os roteadores a qualquer momento. Como posso alcançar a interface WAN do roteador 2 quando o roteador 1 é o mestre e o encaminhamento está ativado, como posso acessar diretamente o lado da LAN do mesmo roteador quando ele não é o mestre?

Qual seria a causa disso?

    
por Matt 24.01.2013 / 08:27

1 resposta

0

Para responder minha própria pergunta. Eu encontrei o seguinte link sobre a filtragem de caminho reverso para ser muito útil. Seguindo as sugestões, consegui corrigir o problema que estava tendo.

Desabilitando a filtragem de caminho reverso em redes complexas

    
por 24.01.2013 / 20:13