У меня есть сервер RRAS WS2k8r2 с двумя сетевыми адаптерами:
Один и тот же брандмауэр обрабатывает весь трафик из локальных сегментов и сегментов DMZ в Интернет.
Теперь клиенты VPN получают IP4-адреса из области локального сегмента, поэтому они могут без проблем подключиться к частной сети, но не могут подключиться к Интернету. Включена опция «использовать шлюз по умолчанию ..».
Я мог бы реализовать NAT на самом сервере RRAS, но я предполагаю, что это будет означать, что трафик обрабатывается дважды (на RRAS и брандмауэре), и трафик от клиентов VPN в Интернет будет проходить через сегмент DMZ. Я предпочитаю использовать те же политики для VPN-клиентов, что и для ПК в сегменте локальной сети.
Итак, как направить трафик VPN-клиентов в Интернет через локальную подсеть без NAT на RRAS? Возможно, клиенты VPN должны находиться в отдельном сегменте, а RRAS находится между этим сегментом и локальным сегментом. Как этого добиться?
Спасибо!
После некоторого исследования я обнаружил, что это очень трудно, а то и невозможно. Маршрут по умолчанию всегда должен указывать на общедоступную сетевую карту (в моем случае через подсеть DMZ). Можно добавить второй маршрут по умолчанию с более низкой метрикой (то есть более высоким приоритетом) к серверу RRAS, который указывает на сегмент частной сети, но сервер просто игнорирует его. Поэтому я решил использовать другой подход без RRAS.