2008 R2 - Проброс портов NAT

2008 R2 - Проброс портов NAT

mcmurphy

Пользователь

Сообщения: 131
Благодарности: 2

Изменения

Автор: mcmurphy
Дата: 25-04-2017

Добрый день!
Есть такая структура серверов (собрано для тестов):
КД 192.168.50.1, 2012 R2
Сервер терминалов 192.168.50.2, 2012 R2
РДП Шлюз + NAT 192.168.50.3, 2012 R2 и вторая сетевая карта с внешним адресом от провайдера (статика).
Изначально, этот РДП шлюз был шлюзом для всех серверов для выхода в интернет, потому-то и настроили на нем НАТ.

На сервере терминалов установлен кроме всего прочего IIS. Если ввести на каком-нибудь сервере в браузере адрес сервера терминалов, то увидим стандартное окно ИИСа.
Есть задача - чтобы пользователь из интернета вводил внешний адрес шлюза и попадал на веб-морду ИИСа на сервере терминалов.
Так как шлюз РДП уже ловит запросы на 443 порту для проброса на 3389, решено было добавить еще один шлюз для проброса портов - интернет шлюз:

Интернет шлюз NAT + маршрутизация 192.168.50.4 и вторая сетевая карта с внешним адресом от провайдера (статика), 2008 R2

Поднял на шлюзе роль: Службы политики сети и доступа - Служба удаленного доступа + Маршрутизация.
Затем в оснастке РРАС - Настроить и включить маршрутизацию... - Особая конфигурация - Преобразование сетевых адресов НАТ + Маршрутизация локальной сети.
Затем - узел IPv4 - Преобразование сетевых адресов (НАТ) - Новый интерфейс - добавил внешний интерфейс с галочкой Включить НАТ, потом добавил внутренний (частный интерфейс).

Проброс портов - на внешнем интерфейсе во вкладке Службы и порты загалчил Безопасный веб-сервер HTTPS и указал внутренний адрес 192.168.50.2
и так же Веб сервер с указанием того же адреса.

Открыл на шлюзе порты 80 и 443.

Вроде бы все сделал так, но не работает!!! При обращении из интернета по адресу к внешней сетевушке шлюза пишет "Не удалось открыть эту страницу... Проверьте веб-адрес: http://ххх.ххх.ххх.ххх"

Есть вопрос - в свойствах внешней сетевой карты интернет-шлюза какие галочки надо оставить?
Сейчас загалчено только tcp/ip v4 и отключен netBios. Возможно тут собака порылась. На другом (боевом сервере) галочки так же сняты (кроме tcp/ip v4) , но там работает ВПН-сервер, это ему не мешает.

Сканировал порты внешней сетевой карты шлюза - открытых 80 и 443 там нет (или если они пробрасываются, то открытыми мы их не увидим)?

Есть такое подозрение: шлюзом для Контроллера домена и для сервера терминалов является РДП шлюз, а подключаюсь я с пробросом портов с интернет-шлюза (другой внешний айпишник), не получается ли тут несоответствия? Пакеты приходят с одного внешнего адреса, а должны уходить на другой...

Заранее благодарен!

Отправлено: 16:40, 25-04-2017

mcmurphy

Пользователь

Сообщения: 131
Благодарности: 2

Профиль | Отправить PM | Цитировать

Кхе...
В общем, убранные галочки в свойствах сетевой карты не при чем.
Глюк был и частично исправлен из-за разных шлюзов по умолчанию, указанных в настройках серверов.
Изменил шлюз по умолчанию у контроллера домена и у сервера терминалов - прописал новый, "интернет-шлюз".
Заработал проброс 80 порта - при обращении ко внешней сетевой карте интернет-шлюза по айпишнику пробрасывается на веб-морду ИИС, который на терминальном сервере.
Если указать https и внешний адрес интернет-шлюза, то выдает ту же ошибку, что и в начале "Не удалось открыть эту страницу... "
Но при этом, если проверить телнетом: telnet xxx.xxx.xxx.xxx 80 запускает, и на интернет-шлюзе в РРАСе в Таблице сопоставлений показывает данное соединение.
Если же проверить 443 порт telnet xxx.xxx.xxx.xxx 443, в таблице сопоставлений тоже показывается соединение... Но почему не открывает веб-морду непонятно ((((

Подскажите, плиз!

Отправлено: 10:25, 27-04-2017 | #2