Как организовать проброс портов (DMZ) на WinServer 2019?

Question

[Олег]

Приветствую.
Признаю не думал я, что такая простая задача как проброс UDP через WinServer будет такой не простой.
В общем задача. ПРОБРОСИТЬ либо ВСЁ что валится по UDP на другой адрес, либо отдельные порты.

Что сделал. Поднял RRAS, настроил правило.
Пишет "пришло" и "ушло". По факту не работает. Соединения нет.
Если запустить сервис прямо с сервера и поднять соединение до удаленной (на ту, на которую идет переадресация) то все работает. Так же как и работает соединение с удаленной машины НА сервер.

Теперь тоже самое, но в картинках


Клиент 1 соединяется по инету с WS.
А тот пробрасывает все на интерфейс ВПН на другую машину.

Сети работают, пингуются, открываются.
Беда именно с механизмом трансляции.

Может есть какая то внешняя утилитка для данной задачи... Маршрутизатор какой простенький.
Не городить же виртуалку(маршрутизатор) на WS ради такой простой задачи.

СПАСИБО!

Answer 1

[Олег]

Вот я и решил вопрос.
WS абсолютно не умеет пробрасывать UDP корректно. Обратные пакеты не идут.
Решил проблему через RusRoute. Сидит службой и НАТит все что летит на сервер.
Великолепная штука!

Answer 2

[Sergey Ryzhkin]

Ну у вас принимающая сторона как получает интернет, через домашний модем?
Обычно маршрутизация портов идет как раз-таки на пограничном устройстве. Наружу смотрит какой нить модем/маршрутизатор (циска какая-нить или микротик) и подобная переадресация настраивается на нем. Ежели конечно у вас интернет не втыкнут сразу в сервер.

Comments

[Олег]

Конечно, коммутация сложнее чем на скрине. Это я для ясности.
Клиент 2 сидит за фаерволом (маршрутизатором), который и является VPN сервером. Тот в свою очередь открыт и настроен.
Если указать прямое VPN подключение Клиент 1 - Клиент 2 = УСПЕХ.
Так же успешны и вариации Клиент 1 - Сервер; Сервер - (VPN) - Клиент 2.
(беда именно в ";"... Если пытаться Клиент 1 - Сервер - (VPN) - Клиент 2 = Сбой.)
И я пятой точкой чувствую, что беда именно при обратной связи Клиент 2 - 1... т.е. в ответах. Как будто они не долетают.

Я бы и не писал ничего тут, если бы не увидел параодкса. Что при попытке трансляции пакеты не пойдут.
А мне очень важно, чтобы трафик UDP сначала заходил на сервер, и уже с него вылетал по ВПН дальше.

[Олег]

Ща уже на виртуалке поднял тестовый стенд... буду их мучить

Answer 3

[akelsey]

для того что бы Windows Server работал в качестве маршрутизатора и мог делать сетевую трансляцию требуется соответствующая роль RRAS (в ранних версиях, возможно сейчас маректологи поменяли название) - и требуется настроить интерфейсы, public/private, на которых включить NAT и создать нужные пробросы портов.

Comments

[Олег]

О чем я и написал ("Что сделал. Поднял RRAS, настроил правило.
Пишет "пришло" и "ушло". По факту не работает. Соединения нет."), что нихрена не работает.

TCP пакеты летят как родные. UDP нифига.
p.s. брандмауэр настроен.