Настройка шлюза (промежуточного)
 

Есть домен AD на Windows Server 2008, на нем подняты DNS, DHCP, WINS.
Для выхода в интернет стоит машина с двумя сетевыми картами, одна смотрит в локальную сеть, вторая подключена к роутеру Mikrotik, через который получаем интернет. Для раздачи на компьютер установлен программный прокси сервер 3proxy. Некоторым компьютерам бухгалтерии необходим прямой выход в интернет, соответственно должен работать ping, tracert и т.д. В Mikrotik прописаны правила NAT для определенных ip адресов локальной сети для "прозрачного" выхода в интернет для нужных компьютеров, остальные идут через прокси.

Для удобство прикладываю схему.

• Dc - контроллер домена;
• Buch - компьютер бухгалтерии которому необходимо обеспечить выход в интернет,
• Gateway - компьютер с 2-ми сетевыми через который организован доступ в интернет.

Проблема состоит в том что ранее в качестве шлюза использовался компьютер с Windows XP, его настраивали до меня и все работало. Насколько я понял вся настройка свелась к выставлению переменной "IPEnableRouter" равной "1". Но в связи с плохим состоянием материнской карты начались проблемы с периодическими перезагрузками. Поэтому было принято решение о его замене. В качестве операционной системы установили Windows Server 2003.
Сервер был установлен, прокси перенесен с предыдущей машины, все заработало, кроме доступа компьютеров бухгалтерии в интернет. А вот с этим возникли проблемы, я не могу понять как это организовать. Проброс запросов этих компьютеров до Mikrotik от включения "IPEnableRouter" не заработал. Сейчас пришлось включить Gateway службу NAT для всех компьютеров домена. Что мягко говоря "не хорошо". Поэтому подскажите что можно сделать для решения данной проблемы.

P.s. Подключить Mikrotik в локальную сеть нельзя, т.к. раньше на Gateway стоял Vip-Net, и скорей всего, после покупки лицензии, его опять туда придется ставить.

если у вас все идет через прокси, то зачем эти правила в микротик?
а причем тут 3proxy?
что-то вы замудрили, у вас прокси хоть раньше работал?

Да, все работало нормально.
Настраивалось до меня, поэтому сказать ничего не могу. Но насколько я понимаю в шлюзе запросы от определенных компьютеров маршутизировались запросы в Mikrotik, а он, посредством NAT, передавал в интернет.

3proxy используется для раздачи http внутри локальной сети, с ограничением по ip и учетом траффика по пользователям.

Честно говоря мне не важно чтобы использовались какие либо определенные решения, мне важно чтобы оно заработало, единственное нужно чтобы чтобы схема соединения не поменялась, т.к. важно чтобы в интернет физически была подключена только одна машина.

Пинги и трейсерты нужно разрешать на Микротике, прокси разруливает протоколы прикладного уровня.

По-хорошему, надо всем сделать одинаковые правила. Бухам разрешили прямой доступ, видимо, из-за неумения нормально настроить работу через прокси.

У меня больше вопрос как настроить Gateway. Потому как не могу понять как это сделать. Сейчас работает в режиме раздачи интернета через NAT всем.

От NAT вам никуда не уйти, вам нужно лишь настроить проброс необходимых портов для бухгалтеров. Не понятна роль прокси у вас

На предыдущей машине NAT не использовался. Во всяком случае интернет соединение не было "расшарено".
Насколько я понял, использовалась только маршрутизация, хотя правил через "route print" я не увидел.
И вот как это настроить на текущей машине, для меня не понятно.

Для ограничения доступа пользователей в интернет и для логирования посещения сайтов. Начальство периодически требует отчеты по данному вопросу.

тогда он был бы на одной единственной машине, у других пользователей небылобы

от 3proxy конфигурационного файла со старой машины не осталось?
эти адреса совпадают с адресами бухгалтеров?
Компьютеры получают адреса от микротик или от сервера?

Точно не был включен, проверял в параметрах сетевой карты смотрящей в интернет, и ping с tracert с других машин, кроме бухгалтерской, не работал.
Он был скопирован на новую машину.
Да совпадают.
Компьютеры получают адреса с контроллера домена на котором поднята роль "Сервер DHCP".

Есть какие идеи как это можно настроить?