Ideco NGFW
Скачать PDF
v14
v14
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Пользователи терминального сервера
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Личный кабинет пользователя
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Двухфакторная аутентификация
      • Ideco агент
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Авторизация пользователей Active Directory
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи и VPN-пользователи
      • Журналы
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Syslog
      • Zabbix агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
        • NextDNS
      • DHCP-сервер
      • IPsec
        • Филиалы и главный офис
        • Устройства
        • Подключение офисов (site-to-site)
          • Подключение Ideco UTM и Mikrotik
          • Подключение Cisco IOS к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение Kerio Control к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
    • Отчеты
      • Трафик
      • События безопасности
      • Журнал авторизации
      • Конструктор отчетов
    • Управление сервером
      • Администраторы
      • Центральная консоль
        • Политики и объекты
          • Политики безопасности
          • Объекты
        • Сервисы
        • Управление сервером
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Разрешить интернет всем
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Ubuntu
        • Создание подключения в Astra Linux
        • Автоматическое создание подключений
        • Создание подключения в Windows 10
        • Создание подключения в Windows 7
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco UTM
      • Как восстановиться на прошлую версию после обновления Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Настройка автоматической веб-аутентификации на Ideco UTM на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco UTM
      • Интеграция Ideco UTM и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco UTM
      • Блокировка чат-ботов
      • Таблица портов Ideco UTM, доступных из локальной и внешних сетей
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает Интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание хендлеров
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила Forward
  • changelog
    • Ideco UTM 14.Х
    • ФСТЭК Ideco UTM 14.Х
    • Ideco Center 14.Х
Powered by GitBook
On this page
  • Асимметричная маршрутизация при наличии роутера в локальной сети
  • Асимметричная маршрутизация при публикации сайтов через DNAT
  • Пример правильной топологии

Was this helpful?

  1. Популярные инструкции и диагностика проблем
  2. FAQ

Как избавиться от асимметричной маршрутизации трафика

PreviousПодключение по SSTP Wi-Fi роутеров KeeneticNextЧто делать если ваш IP попал в черные списки DNSBL

Last updated 1 year ago

Was this helpful?

Часто при попытке настроить доступ в удаленные сети через роутер в локальной сети возникает асимметричная маршрутизация. Она делает прохождение пакетов между двумя локальными сетями невозможной. В этой статье описаны случаи возникновения асимметричной маршрутизации и способы от нее избавиться.

Асимметричная маршрутизация при наличии роутера в локальной сети

Допустим, в локальной сети UTM есть роутер, устанавливающий связь с другими сетями. UTM - шлюз по умолчанию для клиентов сети. Требуется настроить маршрутизацию на UTM так, чтобы клиенты сети 10.80.1.0/24 получали доступ в удаленную сеть 192.168.10.0/24 и обратно через роутер.

Пример неправильной топологии сети:

Здесь:

  • Ideco UTM - шлюз для локальной сети 10.80.1.0/24.

  • 10.80.1.2 - роутер, который имеет доступ в удаленную сеть 192.168.10.0/24.

  • Красная стрелка - двусторонняя связь роутера с удаленным шлюзом (или тоже роутером), которая обеспечивает доступ к удаленной сети 192.168.10.0/24 (туннель к шлюзу, расположенному в интернете, или маршрут до роутера в соседнюю сеть предприятия).

  • Черные стрелки - трафик от хостов локальной сети 10.80.1.0/24 до удаленной сети 192.168.10.0/24 - через шлюз UTM (10.80.1.1) и роутер (10.80.1.2).

  • Пунктирная стрелка - участок трафика, который роутер возвращает хостам локальной сети, минуя UTM, что приводит к непринятию такого трафика хостами локальной сети.

Часть трафика от клиентов до роутера идет через шлюз, а часть - непосредственно от роутера абонентам сети. Разная маршрутизация на разных участках делает прохождение пакетов между двумя локальными сетями невозможной.

Асимметричная маршрутизация при публикации сайтов через DNAT

Аналогичная ситуация складывается, когда в одной локальной сети находится хост и сервер, на котором работает ресурс, опубликованный в интернете при помощи DNAT-правила:

  • 188.114.8.8 - адрес сайта в интернете;

  • 10.80.1.1 - адрес Ideco UTM в локальной сети;

  • 10.80.1.2 - адрес сервера в локальной сети;

  • 10.80.1.5 - адрес хоста в локальной сети;

  • Красная стрелка - ответ напрямую от сервера хосту в локальной сети.

Когда хост 10.80.1.5 обращается на сайт по внешнему адресу 188.114.8.8 (например, в случае обращения по доменному имени, которое резолвится во внешний IP), трафик проходит через UTM. На UTM срабатывает правило DNAT и перенаправляет трафик на сервер 10.80.1.2. Однако сервер отвечает непосредственно хосту в обход UTM, и ответ не проходит.

Пример правильной топологии

Чтобы схема работала правильно, нужно:

1. Вынести роутер в отдельную локальную сеть (DMZ) (например, 10.90.1.0/24), чтобы избежать асимметричной маршрутизации между роутером и клиентами локальной сети.

2. Настроить DMZ на UTM, добавив еще один IP-адрес на локальный интерфейс UTM 10.90.1.1/24, к локальной сети которого подключен роутер.

3. На роутере настроить IP-адрес из адресного пространства новой сети 10.90.1.2. Шлюзом указать дополнительный IP-адрес, настроенный на локальном интерфейсе UTM из этой сети 10.90.1.1.

Физически роутер и клиенты локальной сети будут находиться в одном сегменте, имея при этом разную IP-адресацию и шлюзы. Как правило, схемы с виртуальной изоляцией сетей на основе одного физического интерфейса достаточно.

Также можно физически изолировать локальную сеть клиентов UTM и роутер. Для этого:

  • Подключите к Ideco UTM дополнительную сетевую карту.

  • Настройте на ней дополнительный локальный интерфейс и отдельную IP-адресацию в этой сети.

  • Укажите в качестве шлюза для роутера адрес, настроенный на дополнительном локальном интерфейсе.

Физически роутер будет находиться в сегменте дополнительной сетевой карты.

Чтобы избавиться от асимметричной маршрутизации между клиентами в локальной сети и сервером, нужно выделить в DMZ сервер:

Настройка UTM

Чтобы настроить несколько виртуальных локальных сетей на одном физическом локальном интерфейсе UTM, перейдите в раздел Сервисы -> Сетевые интерфейсы и выполните действия:

2. Если IP-адрес вашей локальной сети был автоматически сконфигурирован через DHCP, снимите галку и введите его вручную:

4. Нажмите Сохранить.

После изоляции роутера в DMZ нужно указать маршрут на UTM до удаленной сети. Для этого перейдите в Сервисы -> Маршрутизация и выполните действия:

1. Перейдите на вкладку Внешние сети нажмите кнопку Добавить.

2. В поле Адрес источника выберите Создать новый объект, для которого выберите тип Подсеть и введите адрес вашей локальной сети (10.80.1.0/24):

Выберите в качестве источника только что созданный объект.

3. В поле Адрес назначения выберите Создать новый объект, для которого выберите тип Подсеть и введите адрес внешней сети (192.168.10.0/24), в которую нужно настроить доступ:

Выберите в качестве назначения только что созданный объект.

4. В поле Шлюз выберите Создать новый объект, для которого выберите тип IP-адрес и введите адрес роутера в DMZ (10.90.1.2):

5. Сохраните маршрут вида:

Теперь трафик между сетями UTM (10.80.1.0/24 и 192.168.10.0/24) во всех направлениях будет направляться через UTM и роутер.

Настройка клиентских машин

Хосты сетей, которые теперь обслуживает UTM (10.80.1.0/24 и 10.90.1.0/24), физически включены в один ethernet-сегмент. Чтобы шлюзом и DNS-сервером для хостов этих сетей был соответствующий адрес на локальном интерфейсе UTM:

1. Для хостов из подсети 10.80.1.0/24 укажите шлюзом и DNS-сервером 10.80.1.1.

2. Для хостов из подсети 10.90.1.0/24 шлюзом и DNS-сервером укажите 10.90.1.1.

Если по какой-то причине изолировать сервер в DMZ невозможно, создайте на UTM специальное SNAT-правило.

Создание на UTM SNAT-правила для избавления асимметричной маршрутизации

Чтобы сервер 10.80.1.2 не отвечал напрямую на 10.80.1.5, а посылал ответ на UTM 10.80.1.1, нужно в разделе Правила трафика -> Файрвол -> SNAT создать правило вида:

Заполните поля:

  • Адрес назначения - 10.80.1.2;

  • Исходящая зона - Локальные интерфейсы;

В этом случае трафик хоста 10.80.1.5 на внешний адрес сайта 188.114.8.8 будет перенаправлен на адрес сервера 10.80.1.2 правилом DNAT. При этом созданное правило SNAT подменит адрес источника 10.80.1.5 на адрес UTM, пакет приобретает вид: scr 10.80.1.1 dst 10.80.1.2. За счет этого ответ от сервера также пройдет через UTM, поскольку пакет будет иметь вид: scr 10.80.1.2 dst 10.80.1.1.

1. Откройте в режиме редактирования Локальный интерфейс, к которому подключены пользователи нужной вам локальной сети (10.80.1.1/24), нажав на напротив его названия.

3. Нажмите на и введите IP-адрес DMZ для изоляции роутера: