headermask image

Использование сервера Windows в качестве NAT роутера

Недавно мне потребовалось установить тестовую сеть в своем офисе, которая использует DSL роутер для подключения к интернету. Тестовую сеть нужно было расположить в подсети, отдельной от моей офисной LAN, но при этом нужно было обеспечить подключение к интернету. Я решил установить Windows Server 2008 на отдельном модуле с двумя сетевыми картами (NIC), установить Routing и Remote Access Service (RRAS) на этом модуле, и использовать его в качестве роутера между своим рабочим местом и тестовой сетью (Рисунок 1).windowsserver_nat_1.jpg

Рисунок 1: Использование RRAS в качестве роутера для подключения между двумя подсетями

У меня было два варианта настройки. Во-первых, я мог настроить RRAS модуль в качестве IP роутера для пересылки трафика между двумя подсетями. Это бы позволило клиентам тестовой сети отправлять пакеты на серверы в интернете, но это не обеспечило бы возвращения трафика к клиентам. Причина заключается в том, что пакеты, входящие на DSL роутер из интернета, направлялись бы в сеть 172.16.11.0, а, следовательно, не имели бы возможности достигать клиентов в сети 10.0.0.0. Решением этой проблемы могло стать добавление статического маршрута в DSL роутер, который напрямую направлял бы все пакеты с целевым адресом 10.0.0.x на рабочий интерфейс модуля RRAS (172.16.11.220). В этом случае, когда пакет, предназначенный для 10.0.0.x, достигает этого интерфейса, модуль RRAS пересылает его на свой другой интерфейс (10.0.0.1), а оттуда пакет уже входит в тестовую сеть и, в конечном счете, доходит до клиента. К сожалению, у меня не было доступа с правами администратора к DSL роутеру, поскольку он управляется моим поставщиком интернет услуг (ISP), поэтому я выбрал другой подход.Я решил настроить RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation – NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети. Конечно, DLS роутер в моей рабочей сети тоже настроен в качестве NAT роутера, поэтому в результате настройки выбранной мной конфигурации получилось то, что известно под термином каскадная NAT или двойная NAT. Интернет подключение работает отлично через 2-ух или 3-ех каскадную NAT, хотя в некоторых случаях такая топология может вызывать проблемы. Например, Windows Home Server не очень ладит с каскадными NAT.Так или иначе, после просмотра информации в интернете я обнаружил, что есть большая путаница в том, как устанавливать сеть с двумя подсетями и подключением к интернету, как показано на рисунке 1, поэтому я решил написать данную статью, которая является руководством к процессу установки такого типа сценария.

Установка серверного компьютера

Сначала Windows Server 2008 был установлена на машину с двумя сетевыми картами, а IPv4 параметры этих карт были настроены следующим образом:NIC подключенная к тестовой LAN:

  • IP адрес = 10.0.0.1
  • Маска подсети = 255.0.0.0
  • Основной шлюз = нет
  • DNS серверы = нет

NIC подключенная к рабочей LAN:

  • IP адрес = 172.16.11.220
  • Маска подсети = 255.255.255.0
  • Основной шлюз = 172.16.11.1
  • DNS серверы = публичные IP адреса DNS серверов моего интернет-провайдера

Обратите внимание, что NIC, подключенная к тестовой LAN (10.0.0.0) не должна иметь основного шлюза.Также обратите внимание, что на сетевой карте, подключенной к тестовой LAN, были настроены IP адреса публичных DNS серверов. Это нужно не для того, чтобы клиенты в тестовой сети имели доступ к интернету, это нужно, если вы хотите иметь доступ к интернету с самого сервера RRAS.

Установка клиентских компьютеров в тестовой LAN

Далее Windows 7 была установлена на клиентские машины, а их IPv4 параметры были настроены следующим образом:

  • IP адрес = 10.0.0.101 (.102, .103, ‘)
  • Маска подсети = 255.0.0.0
  • Основной шлюз = 10.0.0.1 (ближайший интерфейс сервера RRAS)
  • DNS серверы = публичные IP адреса DNS серверов моего интернет-провайдера

На данном этапе все «провода» присоединены, но если мы попытаемся опросить (ping) DSL роутер с клиентского компьютера в тестовой сети, или попытаемся выполнить трассировку маршрута для публичного адреса в интернете с этой клиентской машины, все попытки будут безуспешными, что указывает на отсутствие подключения к интернету нашей тестовой сети (рисунок 2):

windowsserver_nat_2.jpg

Рисунок 2: Невозможно выполнить команду ping публичного адреса IP с клиентской машины в тестовой сети

И естественно, если мы попытаемся открыть какую-нибудь веб страницу с этой машины, у нас ничего не выйдет (рисунок 3):

windowsserver_nat_3.jpg

Рисунок 3: Невозможно открыть Web страницу

Установка и настройка RRAS

Чтобы обеспечить клиентским машинам в тестовой сети доступ к интернету, нам нужно установить роль RRAS на сервере и затем настроить сервер в качестве NAT роутера. Для установки RRAS роли запускаем мастера добавления новых ролей из диспетчера сервера или в OOBE.exe и добавляем роль Network Policy and Access Services (рисунок 4):

windowsserver_nat_4.jpg

Рисунок 4: Установка RRAS – шаг 1

На следующей странице мастера выбираем Службы маршрутизации и удаленного доступа (Routing and Remote Access Services) для установки служб роли, Remote Access Service and Routing (рисунок 5):

windowsserver_nat_5.jpg

Рисунок 5: Установка RRAS – шаг 2

После завершения работы мастера открываем консоль маршрутизации и удаленного доступа в меню администрирования (Administrative Tools), нажимаем правой клавишей на локальном сервере и выбираем опции «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access). В результате у нас запустится мастер установки и настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard); выбираем опцию «трансляция сетевых адресов» (Network Address Translation (NAT)) на странице Конфигурация (Configuration) в мастере, как показано на рисунке 6:

windowsserver_nat_6.jpg

Рисунок 6: Настройка RRAS для NAT – шаг 1

Затем на странице NAT Internet Connection выбираем сетевой интерфейс, расположенный в рабочей LAN, который является «публичным интерфейсом» NAT роутера (рисунок 7)

windowsserver_nat_7.jpg

Рисунок 7: Настройка RRAS для NAT – шаг 2

На следующей странице мастер спрашивает нас, должен ли NAT роутер обеспечивать DHCP и DNSслужбы для компьютеров в тестовой сети, которая подключена к «частному интерфейсу» (“private interface”) NAT роутера. Поскольку нашим клиентским машинам назначены статические IP адреса, мы не нуждаемся в этих службах (рисунок 8):

windowsserver_nat_8.jpg

Рисунок 8: Настройка RRAS для NAT – шаг 3

После завершения работы мастера служба RRAS запустится и будет настроена для маршрутизации IPv4 и для NAT. Чтобы убедиться в этом, нажмите правой клавишей на локальном сервере в консоли RRAS и выберите Свойства (Properties). В закладке Общие (General) показано, что IPv4 маршрутизация включена, что означает, что IPv4 пакеты могут пересылаться с одной NIC на другую (рисунок 9):

windowsserver_nat_9.jpg

Рисунок 9: Проверка конфигурации RRAS – шаг 1

Выбрав узел NAT в консоли RRAS, мы можем увидеть, что три сетевых интерфейса были созданы, когда NAT была настроена на сервере с помощью мастера Routing and Remote Access Server Setup Wizard. На рисунке 10 показаны свойства сети Local Area Connection, которая в данном сценарии является сетевым подключением к тестовой сети (10.0.0.0). Обратите внимание, что NAT считает эту сеть «частной» сетью, то есть сетью, расположенной «за» NAT роутером:

windowsserver_nat_10.jpg

Рисунок 10: Проверка конфигурации RRAS – шаг 2

На рисунке 11 показаны свойства сети Local Area Connection 2, которая в данном случае является сетевым подключением к рабочей сети (172.16.11.0). Обратите внимание, что NAT считает эту сеть «публичной», то есть сетью, расположенной «перед» (в интернете) NAT роутером:

 windowsserver_nat_11.jpg

Рисунок 11: Проверка конфигурации RRAS – шаг 3

Интерфейс внутренней сети также добавлен в конфигурацию NAT в качестве частного интерфейса.

Тестирование NAT

На данном этапе NAT была настроена с IP маршрутизацией, и если я попробую выполнить команду ping для DSL роутера с клиентского компьютера в тестовой сети, или если я попытаюсь выполнить трассировку маршрута с этой же машины к публичному серверу в интернете, эти попытки теперь должны быть успешными (рисунок 12):

windowsserver_nat_12.jpg

Рисунок 12: Проверка сетевого подключения между тестовой сетью и интернетом

Таким же образом, если я попробую открыть Web с клиентского компьютера в тестовой сети, это должно получиться (рисунок 13):

windowsserver_nat_13.jpg

Рисунок 13: Компьютеры за NAT могут открывать Web

Я также могу осуществлять мониторинг активности NAT с помощью консоли RRAS. Для этого открываем консоль, выбираем узел NAT и просматриваем сетевую статистику для Local Area Connection 2 («публичный» или интрнет-интерфейс), как показано на рисунке 14:

windowsserver_nat_14.jpg

Рисунок 14: Просмотр активности NAT

Наконец, правым нажатием на этом интерфейсе и выбором опции Show Mappings вы можете открыть отдельное окно, в котором сможете увидеть подробности о том, что ваш NAT роутер делает (рисунок 15):

windowsserver_nat_15.jpg

Рисунок 15: Подробная информация об активности NAT

Заключение

Используя возможности NAT и IP маршрутизации роли RRAS сервера Windows Server 2008, вы с легкостью сможете установить отдельную тестовую подсеть в своей сети и убедиться в том, что компьютеры в этой подсети имеют доступ к интернету. В этой статье я предоставил вам пошаговое руководство по этому процессу.Автор: Mitch TullochИнтересное в сети:Я уже довольно давно, правда с большими перерывами изучаю английский язык, однако как то моё самообразование очень медленно продвигается.  Теперь планирую  обучение за рубежом английскому языку продолжить, использовать метод погружения по полной программе.

vtoroy
Похожие посты
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 4
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 2
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 1
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 3
  • Смена дефолтного порта терминального сервера
  • Использование флоппи-дисковода с интерфейсом USB для инсталлирования ОС
  • Использование групповых политик для запрета записи на USB диски в Windows XP
  • Использование консоли управления печатью на принт-серверах Windows Server 2008
  • Использование групповых политик для запрета доступа к USB дискам в Windows XP
  • Миграция с Windows XP в Windows 7 с помощью MDT 2010
  • 7 комментов оставлено (Add 1 more)

    1. Шикарная статья, как по содержанию, так и по изложению. :)

      1. Ivan on March 21st, 2012 at 2:00 pm
    2. Подскажи, можно ли получить доступ из сети 172.16.11.х в сеть 10.х.х.х ?

      2. Andrey on September 4th, 2011 at 6:53 pm
    3. Привет!

      сделал всё по инструкции, но интернет в тестовой сети не работает.

      Настройки на сервере:
      1 сетевая карта:
      IP:192.168.1.252
      Subnet mask: 255.255.255.0
      Gateway: 192.168.1.254
      DNS: публичные провайдера

      2 сетевая:
      IP:10.0.0.1
      Subnet mask: 255.0.0.0
      Gateway: пусто
      DNS: пусто

      Инфраструктура сети такая же как в примере: DSL роутер, потом сервер с 2 сетевыми картами и дольше тестовая сеть с клиентами.

      Пинг на DSL роутер проходит, tracert на роутер и не публичные DNS провайдера прозодят, но очень долго (хотя пишет задержку не больше 20 мс), так же прошёл на адрес указаный в примере, опять же очень долго.

      в чём причина?

      3. Denis on December 16th, 2010 at 6:40 pm
    4. спасибо за статью, очень помогла!

      4. kniga on July 5th, 2010 at 11:11 am
    5. это вы что, на виндовой платформе пытались реализовать три строки из юникс конфига?

      ====================
      gateway_enable=”YES”
      natd_enable=”YES”
      natd_interface=rl0
      ====================

      5. тупой_никс on March 4th, 2010 at 6:04 pm
    6. хм… уважаемый Вадим, а где Вы здесь увидели геморой??
      Гемороя здесь не больше чем в настройках любой оси. (фактор цены не берем в расчет)
      Как роутер, w2k8 может и громоздкий(для маршрутизации лучше использовать никсовых собратьев – pfsense, mikrotik, freebsd), а вот если человек хочет еще и кучу сервисов на него повесить то почему бы и не использовать…
      У нас в компании в равной степени распространнены win и lin сервера: главное требование – надежность, простота в обслуживании и скорость работы.

      6. guest on January 21st, 2010 at 6:17 pm
    7. Офигеть!
      Использовать продукт стоимостью свыше $1000 + стоимость клиентских лицензий вместо коробки-роутера за 100$ – это, конечно, очень разумное и правильное решение.
      Хотя если ставить пиратку, то, в-общем-то, фактор цены исчезает. Останется только фактор геморроя.

      7. Vadim on January 17th, 2010 at 11:40 pm