Routing

具有隔離子網的 RRAS 2012R2 NAT

  • April 9, 2020

我試圖為這個問題找到一個解決方案好幾個星期,我希望有人能幫助我。

我有一個相當簡單的網路:

  • 具有多個 NIC 的 Windows Server 2012R2
  • DHCP 的路由器選項設置為該子網上伺服器的相應 NIC 的幾個子網 (VLAN)
  • 在每個子網中的所有 NIC 上啟用(並工作)DHCP 和 DNS

每個 vlan 在 192.168.x.0 空間中都有自己的子網。

我想要的是:

我希望所有子網的客戶端都能夠連接到網際網路,但不能連接到任何其他子網。

例如。客戶端 192.168.4.12 應該能夠 ping google.com 但不能 ping 192.168.3.0/24

我做了什麼:

  1. 由於我希望伺服器進行路由,因此我將 RRAS 功能安裝為 LAN 路由器。之後,子網的客戶端可以 ping 通子網,但無法訪問 Internet。
  2. 我在 RRAS 中添加了 NAT,它們能夠相互 ping 通,也可以 ping 通網際網路。

我試過了:

  • RRAS 中每個子網介面上的入站/出站過濾器 - 啟用 NAT 時不執行任何操作
  • 阻止跨子網流量的靜態路由 - 也沒有反應。我可能做錯了,但我嘗試了各種配置
  • 使用 Windows 高級防火牆,但沒有找到阻止來自特定子網的流量流向特定子網的方法

有沒有辦法做到這一點,我錯過了什麼或者你是怎麼做到的?

如果您仍然需要它,我已經找到了解決方案:

右鍵點擊正常部分中 RRAS 控制台中的每個介面。選擇屬性並點擊傳入過濾器點擊新建並添加每個其他 vlan 及其 IP 地址範圍作為目標網路,當然您目前正在配置的網路除外

可以在一台 RRAS 伺服器上同時使用 NAT 和靜態過濾器。即使 RRAS 靜態過濾器是無狀態的,並且 NAT 需要有狀態的防火牆。

如果您在 NAT 會話處於活動狀態時查看 NAT 會話映射(右鍵點擊>查看映射),您將看到每個會話有 3 個 IP 地址:公共、私有和遠端。我在我的“公共”RRAS 介面上將公共 ip 和私有 ip/範圍都添加到了“丟棄所有數據包…”的入站靜態過濾器中。

RRAS“正常”部分中“公共”NAT 介面上的入站靜態過濾器:

1:來源:任何,目的地:“公共” ip,255.255.255.255 子網(隔離到單個 IP 地址)

2:來源:Any,目的地:“私有”IP/範圍(例如 /24 子網的 255.255.255.0)

這似乎允許 NAT(任何 > 公共)和轉發(任何 > 私人)發生,並排除其他不需要的路由。

似乎可以將第二個過濾器設置為 public>private,但這對我不起作用,我需要 Any>Private

引用自:https://serverfault.com/questions/646316