Windows Server 2012 の RRAS の NAT において、入力フィルターで許可した通信がブロックされる

現象

Windows Server 2012 のルーティングとリモート アクセス (RRAS) より NAT を構成している環境で、
イントラネットのインターフェイスに入力フィルターを設定し、一部のクライアントからのみインターネット (外部) への通信を許可した場合、
通信を許可したクライアントからもインターネット宛の通信がブロックされる現象が発生します。

// 環境
----------------------------
・ クライアント : 192.168.1.101 (GW : 192.168.1.254)
・ インターネット上のサーバー : 131.107.0.101
・ RRAS (NAT) サーバー  : 192.168.1.254 (Private), 131.107.0.254 (Internet)

** フィルタ : 下の条件に一致するパケットを除いたすべてのパケットを破棄する。
192.168.1.101/32 -> 131.107.0.0/24 (Any)

// 確認できる動作
----------------------------
NAT サーバーが Windows Server 2008 R2 の場合、インターネット上のサーバー (131.107.0.101) と通信が成功します。
NAT サーバーが Windows Server 2012, 2012 R2 の場合、インターネット上のサーバー (131.107.0.101) と通信が失敗します。


原因

本動作は、Windows Server 2012 及び Windows Server 2012 R2 の RRAS の想定された動作です。

回避策

入力フィルタの設定に対して、RRAS サーバーのインターネット側の NIC から外向けの通信を許可するように、例外フィルタを追加します。
上記の例では、下記フィルタを追加します。

** フィルタ : 下の条件に一致するパケットを除いたすべてのパケットを破棄する。
192.168.1.101/32 -> 131.107.0.0/24 (Any)
131.107.0.254/32 -> 131.107.0.0/24 (Any) <<<< こちらを追加します
プロパティ

文書番号:3115578 - 最終更新日: 2016/09/29 - リビジョン: 1

フィードバック