Доступ в Интернет для клиентов RRAS VPN без NAT (WS2k8r2)
У меня есть сервер RRAS WS2k8r2 с двумя сетевыми картами:
- общедоступный сетевой адаптер находится в сегменте сети DMZ за межсетевым экраном (который делает NAT сам по себе);
- частная сетевая карта находится в сегменте локальной сети.
Тот же брандмауэр обрабатывает весь трафик из локальных сегментов и сегментов DMZ в Интернет.
Теперь клиенты VPN получают адреса IP4 из области локального сегмента, поэтому они могут легко подключиться к частной сети, но не могут подключиться к Интернету. Параметр «использовать шлюз по умолчанию ..» включен.
Я мог бы реализовать NAT на самом сервере RRAS, но я полагаю, что это будет означать, что трафик обрабатывается дважды (на RRAS и брандмауэре), а трафик от VPN-клиенты в Интернете будут проходить через сегмент DMZ. Я предпочитаю использовать те же политики для VPN-клиентов, что и для ПК в сегменте локальной сети.
Итак, как направить трафик клиентов VPN в Интернет через локальную подсеть, без NAT на RRAS? Возможно, клиенты VPN должны находиться в отдельном сегменте, а RRAS находится между этим сегментом и локальным сегментом. Как это сделать?
Спасибо!
После некоторого исследования я обнаружил, что это очень сложно выполнить, если вообще невозможно. Маршрут по умолчанию всегда должен указывать на общедоступную сетевую карту (в моем случае через подсеть DMZ). Можно добавить второй маршрут по умолчанию с более низкой метрикой (т.е. более высоким приоритетом) к серверу RRAS, который указывает на сегмент частной сети, но сервер просто игнорирует его. Поэтому я решил использовать другой подход без RRAS.