web-dev-qa-db-ja.com

RRAS 2012R2 NAT分離されたサブネット

私は何週間もこの問題の解決策を見つけようとしています。誰かが私を助けてくれることを願っています。

私はかなり単純なネットワークを持っています:

  • 複数のNICを備えたWindowsServer 2012R2
  • DHCPのrouter-optionがそのサブネット上のサーバーの対応するNIC)に設定されているいくつかのサブネット(VLAN)
  • すべてのサブネット内のすべてのNICでDHCPおよびDNSが有効(および機能)

すべてのVLANには、192.168.x.0スペースに独自のサブネットがあります。

欲しいもの:

すべてのサブネットのクライアントがインターネットに接続できるようにしたいが、他のサブネットには接続できないようにしたい。

例えば。クライアント192.168.4.12はgoogle.comにpingできますが、192.168.3.0/24にはpingできません。

私がしたこと:

  1. サーバーをルーティングしたかったので、RRAS機能をLANルーターとしてインストールしました。その後、サブネットのクライアントはサブネットを介してpingを実行できましたが、インターネットにアクセスできませんでした。
  2. NATをRRASに追加すると、RRASは相互にpingを実行できました。

試しました:

  • RRASの各サブネットのインターフェイスのインバウンド/アウトバウンドフィルター-NATが有効になっている間は何もしません
  • サブネット間からのトラフィックをブロックする静的ルート-反応もありません..間違った可能性がありますが、さまざまな構成を試しました
  • Windowsの高度なファイアウォールを使用していますが、特定のサブネットから特定のサブネットに向かうトラフィックをブロックする方法が見つかりませんでした

それを行う方法はありますか、私は何かを逃しましたか、それともどのようにこれを行いますか?

routingsubnetrras
1
Christian

あなたがまだそれを必要とする場合に備えて、私はこれに対する解決策を見つけました:

[全般]セクションのRRASコンソールですべてのインターフェイスを右クリックします。プロパティを選択し、着信フィルターをクリックします。[新規]をクリックし、現在構成しているものを除いて、IPアドレス範囲を持つ他のすべてのVLANを宛先ネットワークとして追加します。

2
Omegavirus

RRAS静的フィルターはステートレスであり、NATにはステートフルファイアウォールが必要ですが、1つのRRASサーバーでNATと静的フィルターの両方を一緒に使用することができます。

NATセッションがアクティブなときに、NATセッションマッピング(右クリック>マッピングの表示))を表示すると、セッションごとに3つのIPアドレスが表示されます。 public、private、remote。publicipとprivate ip/rangeの両方を「public」RRASインターフェイスの「Dropallpacketsexcept ...」インバウンドスタティックフィルターに追加しました。

RRASの「一般」セクションの「パブリック」NATインターフェイス)のインバウンド静的フィルター:

1:送信元:任意、宛先: "public" ip、255.255.255.255サブネット(単一のIPアドレスに分離するため)

2:ソース:任意、宛先: "private" ip/range(たとえば、/ 24サブネットの場合は255.255.255.0)

これにより、NAT(Any> Public)および転送(Any> Private)が発生し、他の不要なルーティングが除外されるようです。

2番目のフィルターをpublic> privateとして設定できるようですが、これは私には機能しませんでした。Any> Privateが必要でした。

0
goofology