Доброго времени суток, Комрады.
Подскажите, кто знает, что я сделал не так...
Есть сервер с тремя ethernet-интерфейсами. Один из них - Lan10 смотрит в локальную сеть 10.10.0.0/24 и имеет адрес 10.10.0.1, на клиентах этот адрес прописан как шлюз по умолчанию. Второй интерфейс - Lan192, смотрит в другую локалку, 192.168.0.0/24 и имеет адрес 192.168.0.1. Третий - wan, имеет статичный белый IP. Задача - пользователи из lan10 ходят в инет и больше никуда доступа не имеют(т.е. Lan192 недоступен), пользователи из lan192 не ходят через него никуда, поскольку имеют отдельный шлюз по умолчанию. Но самое интересное - этот самый сервер является еще и VPN L2tp/IpSec сервером с авторизацией по доменным учетным записям, т.е. пакет, пришедший на wan, должен быть разобран, и информация об авторизации передана на контроллер домена, стоящий в lan192. Имею картинку - сервер в инет ходит, но больше никто никуда не ходит. Т.е. пинг в обе локалки умирает, а трассировка маршрута до шлюза по умолчанию в lan192 идет через инет и внешний интерфейс шлюза. Настройки - Lan10 и lan192 имеют адрес и маску, wan - адрес, маску, шлюз по умолчанию. Маршруты как в консоли, так и в оснастке RRAS снес.  Какие должны быть маршруты, чтоб эта конструкция заработала?

Не маршруты, а ПРАВИЛА. Маршруты у тебя уже правильно прописаны

К сожалению, со встроенной службой роутинга в Win 2008 не знаком. Но в общем выглядеть так должно:
10.10.0.0/24 - wan разрешить через NAT все пакеты
192.168.0.0/24 - сервер запретить все пакеты
VPN - сервер разрешить пакеты AD авторизации и переправить на IP контроллера домена

насчет последнего не уверен.. скорее всего сервер сам должен авторизовать, если он тоже в этом домене
ну и для VPN клинетов тоже нужны правила что и куда им можно и какие маршруты им прописывать автоматом

(1)Боюсь, именно маршруты, поскольку firewall вообще просто выключен. а маршрутов нет.

(4) Вот и нужно его включить и настроить

(5)Не понял. Это ж не линукс, здесь если firewall выключен, то просто все разрешено.

(6) Покопался немного в службе маршрутизации win 2008.. Странная логика, конечно!

На wan интерфейсе nat включен?

(7) Да. в службу nat включены два интерфейса - wan и lan10.

(8) на кой nat у lan10 включать?

(9) не "nat у lan10", а наоборот, в службу nat включен. и lan10 стоит как private interface connected to a private network. флажок Enable nat on this interface снят и недоступен.

(10) а у wan интерфейса соответственно public и галочка NAT стоит?

(10)Да.

И в 10.10.0.0 нет интернета?.. мда.. ну его этот win 2008 с его логикой маршрутизации

(13) а другого подходящего средства нетути... надо vpn(причем нужен и l2tp/ipsec, и PPTP, и SSTP) по доменным учеткам и изолированный nat одновременно...

(14) микротик тебя спасет, там все это есть

http://habrahabr.ru/sandbox/58551/