none
双网卡配置DMZ问题 RRS feed

  • 问题

  • 我的环境是这样的

     

    目的:双网卡通过路由接口DMZ 实现内网与外网隔离

     

    路由:QNO FVR420V

     

    OS:2008R2 SP1(双网卡)

     

    DC服务器:     PC名:DC   域名 A.COM

     

    已安装服务:IIS

     

    防火墙:关闭  

     

     

    IP1(内网):192.168.1.2

                掩码:255.255.255.0

                网关:空白

    IP1 卡连接到路由上的(Mirror Port 1)口

     

    IP2(外网):100.100.100.100 (外网固定IP

                 掩码:255.255.255.248

                 网关:100.100.100.99

     

    路由设置:

    防火墙——访问规则设置

    来源IP地址:任何的  目的IP地址:192.168.1.2  结构位置:任何的 允许端口:任何的

    管理动作:允许

     

     

    DC能正常上网,并且能与局域网连通

    局域网内通过IP 192.168.1.2 可以访问

    局域网内通过IP 100.100.100.100 无法访问

     

    而在外地访问IP 100.100.100.100 却无法访问DC,连接不上,请问为何这样?谢谢  

    2012年7月25日 3:53

答案

全部回复

  • 没看明白你的两块网卡是怎么连路由器的。。。

    能把你的服务器网卡与路由器接口的连接图画出来吗?

    另外,你希望实现的是什么?Server既能上网,又能被外部以100.100.100.100这个IP去访问?



    • 已编辑 Finy 2012年7月25日 5:56
    2012年7月25日 5:54
  • 没看明白你的两块网卡是怎么连路由器的。。。

    能把你的服务器网卡与路由器接口的连接图画出来吗?

    另外,你希望实现的是什么?Server既能上网,又能被外部以100.100.100.100这个IP去访问?



    实现目的:1、网卡1能和局域网通信    2、网卡2能和互联网通信(网卡2的IP已经是运营商给的固定外网IP),主机已经搭建好IIS,通过网卡2作为WEB服务器供外网用户访问   3、把网卡2接入

    到路由里面的DMZ口就是为了要把网卡1和网卡2隔离   4、主机同时是VPN服务器,通过网卡2拨号认证连通后能访问网卡1(也就是说通过VPN拨入能访问局域网的资源)

    补充一句:网卡2的IP、掩码、网关都是运营商提供的
    2012年7月25日 6:17
  • 嗯,这样清楚了。

    那显然你的路由器的策略应该是 允许Any ---> 100.100.100.100,而不是允许Any ---> 192.168.1.2

    2012年7月25日 7:06
  • 嗯,这样清楚了。

    那显然你的路由器的策略应该是 允许Any ---> 100.100.100.100,而不是允许Any ---> 192.168.1.2

    首先感谢您的回答!

    其实在路由允许的策略里,已经允许了100.100.100.100,但是一样无法访问!

    不知道是否和没做到回程路由的功能而有关呢?

    因为我CMD里 显示的是

    route print

    IP4 路由表
    永久路由:
    网络地址:   网络掩码:  网关地址  跃点数
    0.0.0.0     0.0.0.0      100.100.100.99   默认

    2012年7月25日 7:11
  • 100.100.100.99是你的路由器的DMZ口的IP吧?这样就没问题啊

    访问不通,看看Windows下的防火墙是不是挡了Inbound通信?

    2012年7月25日 7:15
  • 100.100.100.99是你的路由器的DMZ口的IP吧?这样就没问题啊

    访问不通,看看Windows下的防火墙是不是挡了Inbound通信?

    100.100.100.99是路由器的DMZ口的IP,没错!

    WINDOWS SERVER 2008上的防火墙早关闭了

    现在一边跟您交流一边排除并发现一个问题,如上面所说,该服务器上安装了WEB服务外,还安装有路由和远程访问服务(VPN服务)

    我尝试把路由和远程访问关闭了,就正常了!

    但是另我不解的是,之前VPN服务,用域名访问A.COM 能正常连得上服务器

    反而访问WEB的时候HTTP://A.COM

    或者

    远程(MSTSC) A.COM

    的时候却无法连接。

    这让我不解。

    而现在删除了路由和远程访问服务后,一切恢复正常。

    请问您知道原因何在吗? 谢谢!

    2012年7月25日 7:29
  • 那我想我知道原因了,你也被微软RRAS的Default Filtering策略害了,我就吃过一次亏,哈哈

    你一定是在RRAS配置向导里选了VPN,NAT之类的,而不是选Custom,对不?


    • 已编辑 Finy 2012年7月25日 7:34
    2012年7月25日 7:33
  • 补上我当时发现的文档:

    RRAS static packet filters - do's and don'ts

    http://blogs.technet.com/b/rrasblog/archive/2006/06/14/435839.aspx

    RRAS code adds filters to allow only VPN traffic and drops rest all

    2012年7月25日 7:35
  • 补上我当时发现的文档:

    RRAS static packet filters - do's and don'ts

    http://blogs.technet.com/b/rrasblog/archive/2006/06/14/435839.aspx

    RRAS code adds filters to allow only VPN traffic and drops rest all

    嗯 是的,的确!

    哎,微软的教程有时候就是这么累人。

    再次感谢您,朋友!

    谢谢啊!

    2012年7月25日 7:38
  • 不客气,我也被微软坑惯了,哈哈。

    也许以后其他人遇到这个问题时,可以参考这个帖子立即解决问题了。。。

    当时我的发现如下:

    在向导的第一个选择界面中,如果选择了这个,就会默认enable Filter(这个还不是Windows Firewall Rule里可配置的Filter,是又加了一层RRASNetwork Filter)!

    找到的参考资料里是这么说的来着:RRAS code adds filters to allow only VPN traffic and drops rest all

    而且,我后续没找到任何界面可以更改filter设置!必须删除所有VPN配置重建才能避开这个默认Filter

    所以,以后在Windows 2008上配VPNPPTP+NAT的话),千万别随便选啊!一定要选最下面的Custom Configuration啊!

    参考资料:

    只有RRAS Team Blog提到了这个细节

    RRAS static packet filters - do's and don'ts

    http://blogs.technet.com/b/rrasblog/archive/2006/06/14/435839.aspx

    • 已编辑 Finy 2012年7月25日 7:47
    2012年7月25日 7:41
  • 不客气,我也被微软坑惯了,哈哈。

    也许以后其他人遇到这个问题时,可以参考这个帖子立即解决问题了。。。

    嗯 是的!

    因为我第一次搭建双网卡,而公司带VPN的的路由又恰巧坏了,所以也只能用2008搭建一个VPN。但是为了防止不经认证就进入内网,所以唯有通过路由接口DMZ来解决。毕竟网上关于路由上真正的接口DMZ的介绍也是比较少。

    现在我是知道了为何无法访问WEB和远程的问题了。但是还没解决的是通过VPN连接后,CLIENT端既能访问互联网(由于公司的线路是国外的,所以我喜欢用公司的DNS,这样在国内不需要翻墙来访问一些限制网站);同时又能访问内网(192网段)的资源?

    问题解决前,我能达到的效果是,CLIENT通过VPN连接后,能用公司的DNS来访问互联网,却不能访问公司的内网。

    其实以前用公司路由自带的VPN根本就不需要这么麻烦,现在用到微软的VPN,还真是没辙头痛。并且网上关于这方面详尽并有效的教程也比较少或许不全面、专业。

    其实您有没有比较好的详细链接,好让我参考一下。能做到既达到VPN的效果,同时也不要过滤WEB、FTP或主机上的Active Directory服务?

    再次感谢您!

    2012年7月25日 7:53
  • 你能重新把遗留问题或者希望实现的效果再准确描述一遍吗?

    补一句:微软的文档一般只告诉你这个东西怎么配,是建立在你知道这个东西是干什么的基础上的,而不可能主动分析你的各种需求,给你一套方案。这种Design and Plan,必须是具备充分知识的人,通过大脑来调配与实现的。。。

    2012年7月25日 8:05
  • 你能重新把遗留问题或者希望实现的效果再准确描述一遍吗?

    补一句:微软的文档一般只告诉你这个东西怎么配,是建立在你知道这个东西是干什么的基础上的,而不可能主动分析你的各种需求,给你一套方案。这种Design and Plan,必须是具备充分知识的人,通过大脑来调配与实现的。。。

    嗯,我明白!

    或许这样吧,你手头上有没有关于VPN服务器搭建的资料链接,能否发一下给我?谢谢!

    2012年7月25日 8:21
  • 这个任务,交给微软论坛专门贴官方链接的兄弟吧,呵呵

    2012年7月25日 8:35
  • 这个任务,交给微软论坛专门贴官方链接的兄弟吧,呵呵

    好的

    再次感谢您!

    2012年7月25日 8:42