嘿，这是RRAS配置里很常见的「路由和NAT互斥」问题，我来给你拆解下可行的解决方案：

核心问题根源 #

当你单独开静态路由时，服务器只做路由转发，但没有NAT转换，所以内部主机的私网IP无法直接访问互联网（ISP只认公网IP）；而开了NAT后，RRAS会自动给所有出站流量做地址转换，包括内部网段之间的流量，这就导致跨网段ping时，源IP被转换成了NAT接口的IP，对方回复找不到原主机，所以ping不通。

具体解决步骤 #

• 同时启用RRAS的路由和NAT功能
  打开RRAS控制台，右键你的服务器 → 属性，确保同时勾选「路由器」和「网络地址转换(NAT)」选项，不要只开其中一个。这样RRAS会同时处理路由转发和NAT转换。

• 为内部网段配置NAT豁免规则
  这是关键！让内部互访的流量跳过NAT转换：

  1. 在RRAS控制台里展开「NAT」节点，找到连接内部网络的接口（不是互联网接口）
  2. 右键该接口 → 属性 → 切换到「例外」标签（部分版本可能叫「地址池」下的豁免设置）
  3. 添加你需要互访的所有内部网段（比如假设你的两个内网是192.168.1.0/24和192.168.2.0/24），设置这些网段之间的流量不进行NAT转换。

• 调整静态路由优先级
  启用NAT后，RRAS会自动生成一条默认路由指向你的互联网网关10.0.0.254，但你需要确保内部网段的静态路由优先级更高：

  1. 打开命令提示符，输入 route print 查看路由表
  2. 找到你手动添加的内部网段路由，确认它的metric值（优先级，数字越小优先级越高）比NAT生成的默认路由小
  3. 如果metric值不够小，重新添加静态路由：

     route add 192.168.x.0 mask 255.255.255.0 【内部接口的IP地址】 metric 10
     

     这里的metric设为10，通常比NAT默认的20优先级更高。

• 检查Windows防火墙规则
  有时候防火墙会拦截内部的ICMP（ping）流量：

  1. 打开「Windows Defender防火墙高级设置」
  2. 切换到「入站规则」，找到「文件和打印机共享(ICMPv4-In)」规则，确保对内部网络配置文件启用该规则
  3. 同样检查「出站规则」里的ICMP相关规则，确保没有拦截内部网段的ping响应。

• 验证NAT出站筛选
  确保NAT只对互联网流量生效：
  在NAT接口的属性里，切换到「出站筛选」，添加规则允许内部网段到互联网的流量，同时允许内部网段之间的流量直接通过，避免NAT误转换内网流量。

按这个流程配置完，应该就能同时实现内网互访和互联网访问了！

备注：内容来源于stack exchange，提问作者hutchuck