我有2个局域网子网(我们称之为LAN1和LAN2),每个子网都有一条静态路由,通过一条单独的互联网线路(我们称之为WAN1和WAN2)来指挥它们的stream量。 这是为了防止公共WiFi用户干扰我们的内部公司networking。
还有一些通过WAN1访问的服务,由内部的NAT环回规则实现。 这就是问题所在
比方说,一个企业用户将他们的iPhone连接到WiFi(这使他们在LAN2,并给他们互联网接入WAN2),并希望通过ActiveSync获得他们的企业电子邮件。 他们键入outlook.company.com作为服务器,它回到WAN1 IP,并且…失败。 由于上述路由,他们只能访问WAN2。 什么是路由的正确configuration,只允许LAN2在环回时访问WAN1?
编辑:这里是以下路由和NAT条目是相关的…
路线:
Source Dest Gateway Interface LAN1 Any X1 Default Gateway X1 LAN2 Any X2 Default Gateway X2 NAT:
Source Orig. Source Trans. Dest. Orig. Dest. Trans. Firewalled Subnets WAN Interface IP WAN Interface IP mail server on LAN1 //for NAT loopback Any Original WAN Interface IP mail server on LAN1 //normal NAT from the outside
对于效率较低但更安全的选项,请考虑将它们视为完全独立和断开的networking。 只有当LAN1系统可通过WAN1连接从“真实世界”访问时,LAN2上的客户端才能访问LAN1上的项目。 因此,有问题的iDevice会通过连接到真实世界的OWA服务器来连接到“outlook.company.com”,就像它在当地的咖啡店一样。 在担心networking利用率的边际增加会花费多less成本之前,请考虑在您花费时间花费的时间内花费多less钱,并确保其保持安全(如果您离开/受到影响,则不会中断)公共汽车等)
这是效率低下,因为一切都通过广域网连接,但保持一切从一开始隔离用户不会来到你说:“我只是需要这一个更多的无线连接的打印机/笔记本电脑/无论什么Pleeeze(大的小狗眼睛)你不会build立从公共WiFinetworking到我们内部所谓的防火墙系统的另一个连接吗?“
因为真的,如果你有一个公共的无线networking,你有两个独立的networking,或者你应该。 如果您还需要内部Wifi,请使用更好的身份validation设置单独的内部连接。
原来的问题是防火墙。 LAN2子网与LAN1完全隔离,所以我只需打开用于WAN> LAN通信的相同端口。