具有隔離子網的 RRAS 2012R2 NAT
我試圖為這個問題找到一個解決方案好幾個星期,我希望有人能幫助我。
我有一個相當簡單的網路:
- 具有多個 NIC 的 Windows Server 2012R2
- DHCP 的路由器選項設置為該子網上伺服器的相應 NIC 的幾個子網 (VLAN)
- 在每個子網中的所有 NIC 上啟用(並工作)DHCP 和 DNS
每個 vlan 在 192.168.x.0 空間中都有自己的子網。
我想要的是:
我希望所有子網的客戶端都能夠連接到網際網路,但不能連接到任何其他子網。
例如。客戶端 192.168.4.12 應該能夠 ping google.com 但不能 ping 192.168.3.0/24
我做了什麼:
- 由於我希望伺服器進行路由,因此我將 RRAS 功能安裝為 LAN 路由器。之後,子網的客戶端可以 ping 通子網,但無法訪問 Internet。
- 我在 RRAS 中添加了 NAT,它們能夠相互 ping 通,也可以 ping 通網際網路。
我試過了:
- RRAS 中每個子網介面上的入站/出站過濾器 - 啟用 NAT 時不執行任何操作
- 阻止跨子網流量的靜態路由 - 也沒有反應。我可能做錯了,但我嘗試了各種配置
- 使用 Windows 高級防火牆,但沒有找到阻止來自特定子網的流量流向特定子網的方法
有沒有辦法做到這一點,我錯過了什麼或者你是怎麼做到的?
如果您仍然需要它,我已經找到了解決方案:
右鍵點擊正常部分中 RRAS 控制台中的每個介面。選擇屬性並點擊傳入過濾器點擊新建並添加每個其他 vlan 及其 IP 地址範圍作為目標網路,當然您目前正在配置的網路除外
可以在一台 RRAS 伺服器上同時使用 NAT 和靜態過濾器。即使 RRAS 靜態過濾器是無狀態的,並且 NAT 需要有狀態的防火牆。
如果您在 NAT 會話處於活動狀態時查看 NAT 會話映射(右鍵點擊>查看映射),您將看到每個會話有 3 個 IP 地址:公共、私有和遠端。我在我的“公共”RRAS 介面上將公共 ip 和私有 ip/範圍都添加到了“丟棄所有數據包…”的入站靜態過濾器中。
RRAS“正常”部分中“公共”NAT 介面上的入站靜態過濾器:
1:來源:任何,目的地:“公共” ip,255.255.255.255 子網(隔離到單個 IP 地址)
2:來源:Any,目的地:“私有”IP/範圍(例如 /24 子網的 255.255.255.0)
這似乎允許 NAT(任何 > 公共)和轉發(任何 > 私人)發生,並排除其他不需要的路由。
似乎可以將第二個過濾器設置為 public>private,但這對我不起作用,我需要 Any>Private