none
NAT + VPN RRS feed

  • Общие обсуждения

  • Доброго времени, господа технари.

    Есть сеть между главным офисом и филиалом. В главном стоит маршрутизатор Cisco, в филиале на границе стоит сервер Windows 2012 R2 

    В каждом из отделений две сети. Между собой они должны ходить через VPN без NAT. А также одна сеть с каждой стороны должна иметь выход в инет через NAT. 

    Проблема, с которой я столкнулся - как на стороне Windows Server не транслировать адреса, если трафик идет в локальную сеть за VPN. На сервере 3 интерфейса.

Все ответы

  • Неужели никто из опытных админов не знает? На TMG есть возможность указать какие сети не NATить. Можно ли это указать на обычном Win Server
  • опытным путем добавил маршруты к удаленным сетям через локальный шлюз.

    То есть, если за сервером windows у меня сеть 10.0.1.0/24 с ip на сервере 10.0.1.1, а за VPN находится сеть 10.0.2.0/24, то надо прописать постоянный маршрут 

    route -P add 10.0.2.0 mask 255.255.255.0 10.0.1.1 

    Если кто сможет объяснить логику в этом, то буду очень благодарен.

    9 июня 2014 г. 16:01
  • Логика в этом такая, что если в качестве VPN используется протокол на основе PPP (PPTP, L2TP и т.д.), реализующий интерфейс точка-точка, то вместо адреса шлюза (он для интерфейса точка-точка не нужен, там всё пересылается на соседа) в команде route указывается идентификатор интерфейса.

    Заклинание старое и проверенное ещё со времён NT4, когда RRAS не было. А в наше время для таких вот соединений по протоколу PPTP нужно как раз использовать этот самый RRAS ("Маршрутизация и удалённый доступ"). Нужно создать интерфейс соединения по требованию с именем пользователя, используемого для подключения и настроить маршрутизацию и NAT через консоль RRAS - там можно и создать маршрут через интерфейс с содинением по требованию, и указать, какие интерфейсы использовать для NAT.

    PS В следующий раз в таких случаях указывайте, какой протокол VPN используется: я подумал, что используется туннелирование IPSec (Cisco обычно предпочитает его), а потому не написал сразу то, что написано выше.


    Слава России!

    9 июня 2014 г. 16:12
  • Как бы удивительно не было, но использую IPSec. Туннельного интерфейса нет.
    9 июня 2014 г. 16:55