Pelo que entendi ...
Um pacote de 192.168.100.x para uma caixa DEV é roteado:
- no TMG-PROD
- depois para a caixa DEV
No entanto, os pacotes que vão de uma caixa DEV para 192.168.100.x vão
- NO TMG-DEV
- depois para TMG-PROD
- depois para o 192.168.100.x
Eu tenho um problema de rede bizarro.
Existe uma rede, uma única sub-rede IP: 192.168.60.0/24.
A rede tem dois firewalls conectados à Internet (executando ForeFront TMG 2010), 192.168.60.253 (produção) e 192.168.60.240 (desenvolvimento); isso é uma necessidade porque há dois ambientes e cada um deles precisa de suas próprias regras de publicação na Internet; no entanto, por razões históricas, eles compartilham a mesma sub-rede IP e isso não pode ser alterado com facilidade. Assim, os computadores de produção usam 192.168.60.253 como seu gateway padrão, enquanto os computadores de desenvolvimento usam 192.168.60.240. Tudo funciona, desde que nenhuma outra rede esteja envolvida.
Mas, é claro, existe outra rede (na verdade mais de uma, mas vamos simplificar as coisas) conectada a uma terceira NIC no firewall de produção, a saber, 192.168.100.0/24. Computadores nesta rede usam esse firewall como seu gateway padrão. Eles podem conversar com computadores de produção na rede principal e vice-versa.
Quando computadores na rede 192.168.100.0/24 tentam falar com computadores de desenvolvimento na rede principal, isso não funciona, porque o seu gateway padrão (o develompent firewall) não sabe como enviar pacotes de volta. Isso é esperado. Então eu adicionei uma rota estática permanente ao firewall de desenvolvimento para dizer " quando você precisa enviar um pacote para 192.168.100.0/24, enviá-lo para 192.168.60.253 "; Eu também defini a rede na configuração de rede do TMG e habilitei todo o tráfego entre as duas redes.
Agora, a parte realmente estranha: o ping entre as duas redes funciona, mas qualquer outro protocolo não funciona. HTTP, RDP, SMB ... nada acontece, embora o roteamento pareça estar funcionando e as políticas de firewall estejam abertas para tudo.
O que está acontecendo, por que e como posso corrigi-lo (além de adicionar manualmente rotas estáticas a cada servidor de desenvolvimento, o que eu gostaria de evitar)?
Eu examinei os logs de tráfego no firewall de desenvolvimento e parece que os pacotes TCP estão sendo descartados porque, do ponto de vista do firewall , eles não estão relacionados a nenhuma conexão aberta. Isso realmente faz sentido, porque quando uma conexão é iniciada, o pacote inicial do handshake TCP passa pelo firewall de produção, enquanto a resposta tenta voltar pelo firewall de desenvolvimento ... e o TMG o descarta porque nunca viu o primeiro pacote em absoluto. Isso também explica por que o TCP não funciona enquanto o ICMP (e presumivelmente o UDP) funciona.
Mas ainda assim: como posso corrigir isso e fazer esse trabalho de roteamento assimétrico, se é que isso pode ser feito?
Pelo que entendi ...
Um pacote de 192.168.100.x para uma caixa DEV é roteado:
No entanto, os pacotes que vão de uma caixa DEV para 192.168.100.x vão