|
маршрутизация в Windows server 2008R2 | ||
|---|---|---|---|
|
0
Arxangel06
25.02.15
✎
15:02
|
Доброго времени суток, Комрады.
Подскажите, кто знает, что я сделал не так... Есть сервер с тремя ethernet-интерфейсами. Один из них - Lan10 смотрит в локальную сеть 10.10.0.0/24 и имеет адрес 10.10.0.1, на клиентах этот адрес прописан как шлюз по умолчанию. Второй интерфейс - Lan192, смотрит в другую локалку, 192.168.0.0/24 и имеет адрес 192.168.0.1. Третий - wan, имеет статичный белый IP. Задача - пользователи из lan10 ходят в инет и больше никуда доступа не имеют(т.е. Lan192 недоступен), пользователи из lan192 не ходят через него никуда, поскольку имеют отдельный шлюз по умолчанию. Но самое интересное - этот самый сервер является еще и VPN L2tp/IpSec сервером с авторизацией по доменным учетным записям, т.е. пакет, пришедший на wan, должен быть разобран, и информация об авторизации передана на контроллер домена, стоящий в lan192. Имею картинку - сервер в инет ходит, но больше никто никуда не ходит. Т.е. пинг в обе локалки умирает, а трассировка маршрута до шлюза по умолчанию в lan192 идет через инет и внешний интерфейс шлюза. Настройки - Lan10 и lan192 имеют адрес и маску, wan - адрес, маску, шлюз по умолчанию. Маршруты как в консоли, так и в оснастке RRAS снес. Какие должны быть маршруты, чтоб эта конструкция заработала? |
||
|
1
Fram
25.02.15
✎
15:06
|
Не маршруты, а ПРАВИЛА. Маршруты у тебя уже правильно прописаны
|
||
|
2
Fram
25.02.15
✎
15:12
|
К сожалению, со встроенной службой роутинга в Win 2008 не знаком. Но в общем выглядеть так должно:
10.10.0.0/24 - wan разрешить через NAT все пакеты 192.168.0.0/24 - сервер запретить все пакеты VPN - сервер разрешить пакеты AD авторизации и переправить на IP контроллера домена |
||
|
3
Fram
25.02.15
✎
15:16
|
насчет последнего не уверен.. скорее всего сервер сам должен авторизовать, если он тоже в этом домене
ну и для VPN клинетов тоже нужны правила что и куда им можно и какие маршруты им прописывать автоматом |
||
|
4
Arxangel06
25.02.15
✎
15:18
|
(1)Боюсь, именно маршруты, поскольку firewall вообще просто выключен. а маршрутов нет.
|
||
|
5
Fram
25.02.15
✎
15:23
|
(4) Вот и нужно его включить и настроить
|
||
|
6
Arxangel06
25.02.15
✎
15:28
|
(5)Не понял. Это ж не линукс, здесь если firewall выключен, то просто все разрешено.
|
||
|
7
Fram
25.02.15
✎
15:46
|
(6) Покопался немного в службе маршрутизации win 2008.. Странная логика, конечно!
На wan интерфейсе nat включен? |
||
|
8
Arxangel06
25.02.15
✎
15:56
|
(7) Да. в службу nat включены два интерфейса - wan и lan10.
|
||
|
9
Fram
25.02.15
✎
16:03
|
(8) на кой nat у lan10 включать?
|
||
|
10
Arxangel06
25.02.15
✎
16:09
|
(9) не "nat у lan10", а наоборот, в службу nat включен. и lan10 стоит как private interface connected to a private network. флажок Enable nat on this interface снят и недоступен.
|
||
|
11
Fram
25.02.15
✎
16:11
|
(10) а у wan интерфейса соответственно public и галочка NAT стоит?
|
||
|
12
Arxangel06
25.02.15
✎
16:18
|
(10)Да.
|
||
|
13
Fram
25.02.15
✎
16:24
|
И в 10.10.0.0 нет интернета?.. мда.. ну его этот win 2008 с его логикой маршрутизации
|
||
|
14
Arxangel06
25.02.15
✎
16:32
|
(13) а другого подходящего средства нетути... надо vpn(причем нужен и l2tp/ipsec, и PPTP, и SSTP) по доменным учеткам и изолированный nat одновременно...
|
||
|
15
arsik
гуру
25.02.15
✎
16:56
|
(14) микротик тебя спасет, там все это есть
|
||
|
16
arsik
гуру
25.02.15
✎
17:00
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|