Имя: Пароль:
IT
Админ
маршрутизация в Windows server 2008R2
0 Arxangel06
 
25.02.15
15:02
Доброго времени суток, Комрады.
Подскажите, кто знает, что я сделал не так...
Есть сервер с тремя ethernet-интерфейсами. Один из них - Lan10 смотрит в локальную сеть 10.10.0.0/24 и имеет адрес 10.10.0.1, на клиентах этот адрес прописан как шлюз по умолчанию. Второй интерфейс - Lan192, смотрит в другую локалку, 192.168.0.0/24 и имеет адрес 192.168.0.1. Третий - wan, имеет статичный белый IP. Задача - пользователи из lan10 ходят в инет и больше никуда доступа не имеют(т.е. Lan192 недоступен), пользователи из lan192 не ходят через него никуда, поскольку имеют отдельный шлюз по умолчанию. Но самое интересное - этот самый сервер является еще и VPN L2tp/IpSec сервером с авторизацией по доменным учетным записям, т.е. пакет, пришедший на wan, должен быть разобран, и информация об авторизации передана на контроллер домена, стоящий в lan192. Имею картинку - сервер в инет ходит, но больше никто никуда не ходит. Т.е. пинг в обе локалки умирает, а трассировка маршрута до шлюза по умолчанию в lan192 идет через инет и внешний интерфейс шлюза. Настройки - Lan10 и lan192 имеют адрес и маску, wan - адрес, маску, шлюз по умолчанию. Маршруты как в консоли, так и в оснастке RRAS снес.  Какие должны быть маршруты, чтоб эта конструкция заработала?
1 Fram
 
25.02.15
15:06
Не маршруты, а ПРАВИЛА. Маршруты у тебя уже правильно прописаны
2 Fram
 
25.02.15
15:12
К сожалению, со встроенной службой роутинга в Win 2008 не знаком. Но в общем выглядеть так должно:
10.10.0.0/24 - wan разрешить через NAT все пакеты
192.168.0.0/24 - сервер запретить все пакеты
VPN - сервер разрешить пакеты AD авторизации и переправить на IP контроллера домена
3 Fram
 
25.02.15
15:16
насчет последнего не уверен.. скорее всего сервер сам должен авторизовать, если он тоже в этом домене
ну и для VPN клинетов тоже нужны правила что и куда им можно и какие маршруты им прописывать автоматом
4 Arxangel06
 
25.02.15
15:18
(1)Боюсь, именно маршруты, поскольку firewall вообще просто выключен. а маршрутов нет.
5 Fram
 
25.02.15
15:23
(4) Вот и нужно его включить и настроить
6 Arxangel06
 
25.02.15
15:28
(5)Не понял. Это ж не линукс, здесь если firewall выключен, то просто все разрешено.
7 Fram
 
25.02.15
15:46
(6) Покопался немного в службе маршрутизации win 2008.. Странная логика, конечно!

На wan интерфейсе nat включен?
8 Arxangel06
 
25.02.15
15:56
(7) Да. в службу nat включены два интерфейса - wan и lan10.
9 Fram
 
25.02.15
16:03
(8) на кой nat у lan10 включать?
10 Arxangel06
 
25.02.15
16:09
(9) не "nat у lan10", а наоборот, в службу nat включен. и lan10 стоит как private interface connected to a private network. флажок Enable nat on this interface снят и недоступен.
11 Fram
 
25.02.15
16:11
(10) а у wan интерфейса соответственно public и галочка NAT стоит?
12 Arxangel06
 
25.02.15
16:18
(10)Да.
13 Fram
 
25.02.15
16:24
И в 10.10.0.0 нет интернета?.. мда.. ну его этот win 2008 с его логикой маршрутизации
14 Arxangel06
 
25.02.15
16:32
(13) а другого подходящего средства нетути... надо vpn(причем нужен и l2tp/ipsec, и PPTP, и SSTP) по доменным учеткам и изолированный nat одновременно...
15 arsik
 
гуру
25.02.15
16:56
(14) микротик тебя спасет, там все это есть
16 arsik
 
гуру
25.02.15
17:00
Оптимист верит, что мы живем в лучшем из миров. Пессимист боится, что так оно и есть.