Как разрулить два подключения?

[Даймон]

Всем привет!
Есть комп, две сетевые карты, два подключения к двум провайдерам.
Что нужно прописать в route чтобы через первое подключение комп полноценно ходил в интернет, а через второе только принимал подключения по RDP?
ОС: винда 7.
Первое подключение:192.168.1.2, шлюз 192.168.1.1
Второе подключение: 192.168.0.220, шлюз 192.168.0.1

[ДобрыйФей]

Принимал откуда?

[Даймон]

ДобрыйФей, с интернета чтоб принимал.

Просто первое подключение быстрое, но с серым IP и провайдерским NAT.
А второе подключение медленное, но с белым IP(тоже NAT, но есть возможность прокидывать порты)
Хочу подключаться к этому компу извне по RDP

// прописать в свойствах сетевухи первого подключения метрику 10, второго - метрику 20 (логика, думаю, ясна)
// на роутере 192.168.0.1 пробросить порт TCP 3389 на 192.168.0.220
// более НИЧЕГО не требуется, никаких маршрутов и правил брандмауэра

[Genbor]

Эта тема - лютейшая задница.
Теоретически route для этого использовать надо, но на практике нихрена он не работает без длительных танцев с бубном.

[ДобрыйФей]

Ну в Linux'e это спокойно решилось бы через iproute с двумя таблицами маршрутизации. В Винде - не знаю, но можешь почитать:
https://technet.microsoft.com/en-us/library/cc779696%28WS.10%29.aspx
http://windows.microsoft.com/en-us/windows/configuring-multiple-network-gateways
http://www.whatvwant.com/lan-multiple-default-network-gateway/
Суть в том, что тебе нужен маршрут по умолчанию на каждом интерфейсе: один - для вконтактика и порнухи, второй - чтобы RDP-трафик от тебя ушел куда надо.

[TatarikNSK]

[VladSH]

Удали все правила в брандмауэре и создай свои. На карте с белым ip запрети исходящие и разреши входящие RDP(можно указать конкретный удаленный адрес), убери там в настройках сетевой карты DNS и оставь только адрес карты и шлюз. На второй карте запрети входящие, а исходящие разреши только тем службам и приложениям которые тебе нужны. В браузере включи автоматическое определение параметров и будет тебе счастье. Никаких маршрутов прописывать не надо. Если с брандмауэром и назначением служб не дружишь, гарантирую пару часов "мокрой спины", шутка)))

[ДобрыйФей]

И самое главное - не читай предыдущий пост.

[VladSH]

так точно... не читай... линуксоводам привет! У меня куча виндовых серверов так работает и не кашляют. Читай лучше вопрос в первом посту, ему ненужно ходить в другую подсеть.

[ДобрыйФей]

[VladSH]

вот у меня есть одна обслуживаемая бюджетная контора(уже 11 лет ее тяну), там в инет смотрит роутер, а от него на 3 виндовых сервера и FreeBSD( прокси и VPN).
На всех серверах по 2 сетевых карты, одна в локалку, вторая к роутеру. Все ходят в инет через прокси-сервер. Видовые сервера подключал к роутеру на случай краха прокси(были такие варианты). На роутере извне открыты входящие порты для VPN и для администрирования(только для моего домашнего ip). Доводилось открывать порт к виндовым серверам по RDP для срочных дел и на серверах в разрешениях брандмауэра прописан только мой домашний ip. Прекрасно подключается когда артачится FreeBSD.
Обращаю внимание - виндовые сервера ходят в инет через только через одну сетевую карту(через локалку в прокси). DNS сервера прописаны только на одной карте(это важно), в моем случае это DNS на домене и на прокси. В таком режиме все работает больше 4 лет и вопросов не возникает.
Самое интересное - у меня дома основная машина с дебианом и при том с 2 картами, на второй локалка еще для 2 машин и сетевого МФУ. Никаких маршрутов не прописывал для работы основной машины, только для NAT для локалки.
Как то так...

[VladSH]

[ДобрыйФей]

VladSH
Схему не видел, ничего не скажу, но очевидно, что куда-то пакеты все равно роутятся.

[VladSH]

Моя машина(дебиан) ходит в инет и спокойно заходит в локалку на вебморду МФУ. Захожу по vpn на работу, там 6 МФУ и 2 сетвых принтера, на их вебморду тоже заходит, на вебморду прокси-сервера(он доступен только из локалки) тоже заходит, на корпоративный портал(внутри локалки) тоже заходит, при этом я никаких маршрутов не приписывал. Как это происходит?)))
В браузере стоит - автоматическое определение параметров и поэтому как правило он находит... образует временный маршрут до перезагрузки... не так?
Вроде как стоило бы прописать маршрут для такого случая, когда сеть подключения 192.168.0.0/24 а нужно попасть в 192.168.1.0/24
У него уже две сети и в них ненужны маршруты, их компьютер и так видит

[VladSH]

Даймон может шлюз убрать на одной из карт и весь трафик пойдет на вторую карту, при этом входящие на первой карте будут доступны(как вариант без настройки брандмауэра )

// это неправильный совет т.к. при пробросе порта пакеты всё равно прилетают с белыми адресами и ответы на них не уйдут обратно через нужный интерфейс из-за отсутствия на нём шлюза

[ДобрыйФей]

VladSH
Я не знаю, что там у тебя на работе происходит - повторюсь, я схему не видел.
Но почему твой совет не работает в данном конкретном случае объяснить могу легко, и уже объяснил. И не только я. Когда прилетит входящий пакет RDP, адрес источника у него не будет локальным (я тебе даже дамп приложил), и ответ на этот пакет с локальной машины пойдет следующим образом:
1) если маршрут до адреса назначения на хосте есть, то пойдет по маршруту;
2) если маршрута нет, но включен форвардинг, то пойдет на другой интерфейс и попытается улететь оттуда;
3) если форвардинга тоже нет, то вообще нифига не будет.

[ДобрыйФей]

[Даймон]

[ProFfeSsoRr]

VladSH ты рассказываешь про то, что у тебя с одной стороны инет, а с другой локальная сеть. Разумеется оно так будет работать легко и просто. Подними у себя виртуалок несколько штук и поиграйся с ними, узнаешь много нового о маршрутизации

[ДобрыйФей]

ProFfeSsoRr
Так пакеты, которые в ответ уходят - они тоже свои и тоже исходящие. Хотя раз у ТС работает, то...
Как-нибудь попробую поиграться.