RRAS 2012R2 NAT与孤立的子网

我试图find一个解决这个问题多个星期，我希望有人可以帮助我。

我有一个相当简单的networking：

• 带有多个NIC的Windows Server 2012R2
• 一些子网（DHCP）的DHCP路由器选项设置为该子网上服务器的相应NIC
• 在每个子网中的所有网卡上启用（和工作）DHCP和DNS

每个vlan在192.168.x.0空间都有自己的子网。

我想要的是：

• 不能通过VPN RDP到Windows 7
• 瞻博networkingSSG20 adsl接口上的附加子网
• 在路由器上设置默认网关
• AH00526 – apache 2.4需要ip范围
• Iptables不会将ssh访问转发到公有子网下的实例

我希望来自所有子网的客户能够连接到互联网，而不是其他任何子网。

例如。 客户端192.168.4.12应该能ping通google.com，但不能ping通192.168.3.0/24

我做了什么：

1. 由于我想要服务器路由，我安装RRASfunction作为LAN路由器。 之后，子网的客户端能够跨越子网进行ping，但无法访问Internet。
2. 我添加了NAT到RRAS，他们能够互相ping通互联网。

我努力了：

• RRAS中每个子网接口上的入站/出站filter – 在启用NAT时不执行任何操作
• 阻止跨子网stream量的静态路由 – 也没有反应..我可能做错了，但我尝试了各种configuration
• 使用Windows高级防火墙，但没有find一种方法来阻止来自特定子网的stream量进入特定的子网

有没有办法做到这一点，我错过了什么，或者你怎么做到这一点？