Я много недель пытаюсь найти решение этой проблемы, надеюсь, кто-нибудь мне поможет.
У меня довольно простая сеть:
Каждый vlan имеет свою собственную подсеть в пространстве 192.168.x.0.
Что я хочу:
Я хочу, чтобы клиенты из всех подсетей могли подключаться к Интернету, но не из любой другой подсети.
например. клиент 192.168.4.12 должен иметь возможность пинговать google.com, но не 192.168.3.0/24
Что я сделал:
Я пытался:
Есть ли способ сделать это, я что-то пропустил или как вы это делаете?
Я нашел решение на тот случай, если оно вам все еще понадобится:
Щелкните правой кнопкой мыши каждый интерфейс в консоли RRAS в разделе «Общие». Выберите свойства и щелкните входящий фильтр, щелкните новый и добавьте каждый второй vlan с его диапазоном IP-адресов в качестве сети назначения, кроме той, которую вы в настоящее время настраиваете, конечно
На одном сервере RRAS можно одновременно использовать NAT и статические фильтры. даже если статические фильтры RRAS не имеют состояния, а NAT требует межсетевого экрана с отслеживанием состояния.
Если вы просматриваете сопоставления сеансов NAT (щелкните правой кнопкой мыши> просмотреть сопоставления) во время активного сеанса NAT, вы увидите 3 IP-адреса на сеанс: общедоступный, частный и удаленный. Я добавил и общедоступный IP-адрес, и частный IP-адрес / диапазон в «Отбрасывать все пакеты, кроме ...» Входящего статического фильтра на моем «общедоступном» интерфейсе (ах) RRAS.
Входящие статические фильтры на «общедоступных» интерфейсах NAT в разделе «Общие» RRAS:
1: Источник: Любой, Назначение: "общедоступный" IP-адрес, подсеть 255.255.255.255 (для изоляции от одного IP-адреса)
2: Источник: Любой, Назначение: "частный" IP / диапазон (например, 255.255.255.0 для подсети / 24)
Похоже, что это разрешает NAT (Any> Public) и пересылку (Any> Private) и исключает другую нежелательную маршрутизацию.
Кажется, можно было бы установить второй фильтр как общедоступный> частный, но у меня это не сработало, мне нужно было Any> Private