Итак как и обещал.
Дано:
1) 2 статических интернет адреса;
2) 2 роутер-модема, которые получают эти статические адреса (у меня к примеру D-LINK DI-808HV);
3) Сам сервер KERIO CONTROL, с необходимым количеством интерфейсов (в моей ситуации 3: 2 для интернета, 1 для локальной сети).
Задача:
Необходимо создать доступ из интернета к серверу в локальной сети по нужным нам службам или портам, через оба интернет шлюза. При варианте подключения брандмауэра KERIO к Интернету: Несколько соединений с Интернетом - распределение нагрузки трафика.
Решение:
1) Настраиваем наши модемы для локального доступа к ним, делается это обычно на главной страничке настройки модема в разделе LAN (в моем случае я настроил один модем на 192.168.0.1, а другой 192.168.2.1). Естественно наши интерфейсы на самом Сервере KERIO CONTROL, должны быть настроены соответственно для того чтобы увидеть эти модемы, т.е. оказаться в одной адресации IP (в моем случае это 192.168.0.2 и 192.168.2.2 соответственно).
2) Далее настраиваем подключение к интернету на наших модемах , особо тут останавливаться не буду, потому что у каждого оно может быть разным, и суть в ином. Нам главное чтобы модемы подключились к интернету и получили свои СТАТИЧЕСКИЕ IP адреса.
3) Теперь нам необходимо настроить на наших модемах функцию DMZ(Demilitarized Zone), обычно она располагается в разделах ADVANCED (ДОПОЛНИТЕЛЬНО) или NAT Settings страниц управления настройками модема (на сегодняшний день я еще не сталкивался с роутер-модемами у которых нет функции DMZ).
На своих модемах я настроил DMZ на IP адреса интерфейсов Сервера KERIO CONTROL, потому что именно он и будет обрабатывать весь трафик, для этого мы и осуществляем простую про броску всего что придет нам на модемы на адреса интерфейсов:
- 192.168.0.2 у модема 192.168.0.1;
- 192.168.2.2 у модема с адресом 192.168.2.1;
4) Если у нас запущена служба KERIO CONTROL, обязательно ОСТАНАВЛИВАЕМ ЕЕ (связано это с тем, что при попытке прописать у ВТОРОГО интерфейса ОСНОВНОЙ ШЛЮЗ, KERIO CONTROL его сбрасывает, позже он его все равно сбросит, но чтобы настройки сели правильно нужно прописать их в системе так чтобы оба основных шлюза были прописаны на ИНТЕРНЕТ интерфейсах), и вписываем на наших интерфейсах которые смотрят на модемы основной шлюз, в моем случае 192.168.0.1 и 192.168.2.1, когда на система ругнется на то что в системе нужно использовать один шлюз по умолчанию, но все равно предложит сохранить или нет текущую конфигурацию, отвечаем ДА, что хотим сохранить конфигурацию. Таким способом у нас в таблице маршрутизации должны появиться записи о постоянных маршрутах, как показано на рисунке ниже.
5) Запускаем службу KERIO CONTROL, открываем консоль, удостоверяемся что настройки интерфейсов имеют верное заполнение данными взятых из системы. И переходим к Правилам Трафика.
6) В правилах трафика создаем, например правило для доступа по RDP к серверу.
- ИМЯ - любое;
- ИСТОЧНИК - Интернет-интерфейсы;
- НАЗНАЧЕНИЕ - Брандмауэр;
- СЛУЖБА - RDP;
- ДЕЙСТВИЕ - Разрешить;
- ПРОТОКОЛ - можно без изменений;
- ТРАНСЛЯЦИЯ - Включить источник NAT, Произвести распределение нагрузки для хоста (лучшая совместимость), Включить адрес назначения NAT, указать IP адрес нужного нам сервера, также трансляция порта, указываем 3389 (если не изменяли удаленный порт на сервере)
А также добавляем в СТАНДАРТНОЕ ПРАВИЛО - FIREWALL TRAFFIC необходимую нам службу, в моем случае RDP.
7) Проверяем любыми доступными нам способами.
ОБЩАЯ СХЕМА:
Все, теперь работает.
Отдельное ОГРОМНОЕ спасибо Tihon_one за оказанную мне помощь!
