У меня есть 2 подсети LAN (назовем их LAN1 и LAN2), каждая из которых имеет статический маршрут, направляющий их трафик по отдельной интернет-линии (назовем их WAN1 и WAN2). Это сделано для того, чтобы общедоступные пользователи Wi-Fi не вмешивались в нашу внутреннюю корпоративную сеть.
Есть также некоторые службы, доступ к которым осуществляется через WAN1, что достигается внутренним правилом обратной связи NAT. Вот в чем проблема ...
Допустим, корпоративный пользователь подключает свой iPhone к сети Wi-Fi (которая подключает его к LAN2 и дает им доступ в Интернет через WAN2) и хочет получить свою корпоративную электронную почту через ActiveSync. Они вводят outlook.company.com в качестве сервера, он возвращается к IP-адресу WAN1 и ... терпит неудачу. Они могут получить доступ только к WAN2 из-за вышеупомянутого маршрута. Какова правильная конфигурация маршрута, который позволит LAN2 получить доступ к WAN1 только в случае замыкания на себя?
Изменить: Вот следующие маршруты и записи NAT, которые имеют значение ...
Маршруты:
Source Dest Gateway Interface
LAN1 Any X1 Default Gateway X1
LAN2 Any X2 Default Gateway X2
NAT:
Source Orig. Source Trans. Dest. Orig. Dest. Trans.
Firewalled Subnets WAN Interface IP WAN Interface IP mail server on LAN1 //for NAT loopback
Any Original WAN Interface IP mail server on LAN1 //normal NAT from the outside
Для несколько неэффективного, но более безопасного варианта рассмотрите возможность рассмотрения их как полностью отдельных и отключенных сетей. Клиенты в LAN2 имеют доступ к элементам в LAN1 только в том случае, если системы LAN1 доступны из «реального мира» через соединение WAN1. Таким образом, рассматриваемое iDevice будет подключаться к "outlook.company.com" так же, как если бы оно было в местной кофейне - путем подключения к реальному серверу OWA. Прежде чем беспокоиться о том, сколько это будет стоить из-за предельного увеличения использования сети, подумайте, сколько это будет стоить вам времени, потраченного на его работу и обеспечение безопасности (и не сломается, если вы уйдете / получите удар автобус и т. д.)
Это неэффективно, потому что все происходит через WAN-соединения, но сохранение всего сегрегированного с самого начала не позволяет пользователям приходить к вам и говорить: «Мне просто нужно еще одно беспроводное соединение для принтера / ноутбука или чего-то еще. Pleeeze (большой щенок глаза) вы не установите другое соединение из общедоступной сети Wi-Fi с нашими внутренними системами, предположительно защищенными брандмауэром? "
Потому что на самом деле, если у вас есть общедоступная сеть Wi-Fi, у вас есть две отдельные сети, или вам нужно. Если вам также нужен внутренний Wi-Fi, настройте отдельное внутреннее подключение с улучшенной аутентификацией.
Оказывается, проблема в брандмауэре. Подсеть LAN2 была полностью изолирована от LAN1, поэтому мне просто нужно было открыть те же порты, которые я использовал для трафика WAN> LAN.