我有 2 个 LAN 子网(我们称之为 LAN1 和 LAN2),每个子网都有一个静态路由,通过单独的互联网线路引导流量(我们称之为 WAN1 和 WAN2)。这是为了防止公共 WiFi 用户干扰我们的内部公司网络。
还有一些服务是通过 WAN1 访问的,这是通过内部的 NAT 环回规则实现的。问题就在这里……
假设一个公司用户将他们的 iPhone 连接到 WiFi(这使他们处于 LAN2 上,并允许他们在 WAN2 上访问互联网),并希望通过 ActiveSync 获取他们的公司电子邮件。他们输入 outlook.com 作为服务器,它循环回到 WAN1 IP,然后...失败。由于上述路由,他们只能访问 WAN2。在环回的情况下,允许 LAN2 访问 WAN1 的路由的正确配置是什么?
编辑:以下是相关的路线和 NAT 条目...
路线:
Source Dest Gateway Interface
LAN1 Any X1 Default Gateway X1
LAN2 Any X2 Default Gateway X2
网络地址转换(NAT):
Source Orig. Source Trans. Dest. Orig. Dest. Trans.
Firewalled Subnets WAN Interface IP WAN Interface IP mail server on LAN1 //for NAT loopback
Any Original WAN Interface IP mail server on LAN1 //normal NAT from the outside
答案1
对于效率较低但更安全的选择,请考虑将它们视为完全独立且断开连接的网络。仅当 LAN1 系统可通过 WAN1 连接从“现实世界”访问时,LAN2 上的客户端才可以访问 LAN1 上的项目。因此,所讨论的 iDevice 将以与在当地咖啡店相同的方式连接到“outlook.company.com” - 通过连接到现实世界的 OWA 服务器。在担心网络利用率的边际增加将花费多少之前,请考虑一下您花费多少时间来使其正常工作并确保其保持安全(并且不会在您离开/被公共汽车撞到等时损坏)。
这种方式效率很低,因为所有东西都通过 WAN 连接进行传输,但从一开始就将所有东西隔离开来可以防止用户跑来找你说“我只需要再连接一个无线打印机/笔记本电脑/其他东西。拜托(大大的小狗眼),你能否从公共 WiFi 网络到我们内部的所谓防火墙系统建立另一个连接?”
因为实际上,如果您有公共 wifi 网络,那么您确实有两个独立的网络,或者您应该有两个独立的网络。如果您还需要内部 Wifi,请设置具有更好身份验证的独立内部连接。
答案2
原来问题出在防火墙上。LAN2 子网与 LAN1 完全隔离,所以我只需打开用于 WAN > LAN 流量的相同端口即可。