Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2008 Администрирование Использование сервера Windows в качестве NAT роутера RSS

Использование сервера Windows в качестве NAT роутера

Текущий рейтинг: 4.38 (проголосовало 48)
 Посетителей: 28762 | Просмотров: 45721 (сегодня 0)  Шрифт: - +

Недавно мне потребовалось установить тестовую сеть в своем офисе, которая использует DSL роутер для подключения к интернету. Тестовую сеть нужно было расположить в подсети, отдельной от моей офисной LAN, но при этом нужно было обеспечить подключение к интернету. Я решил установить Windows Server 2008 на отдельном модуле с двумя сетевыми картами (NIC), установить Routing и Remote Access Service (RRAS) на этом модуле, и использовать его в качестве роутера между своим рабочим местом и тестовой сетью (Рисунок 1).

*
Увеличить

Рисунок 1: Использование RRAS в качестве роутера для подключения между двумя подсетями

У меня было два варианта настройки. Во-первых, я мог настроить RRAS модуль в качестве IP роутера для пересылки трафика между двумя подсетями. Это бы позволило клиентам тестовой сети отправлять пакеты на серверы в интернете, но это не обеспечило бы возвращения трафика к клиентам. Причина заключается в том, что пакеты, входящие на DSL роутер из интернета, направлялись бы в сеть 172.16.11.0, а, следовательно, не имели бы возможности достигать клиентов в сети 10.0.0.0. Решением этой проблемы могло стать добавление статического маршрута в DSL роутер, который напрямую направлял бы все пакеты с целевым адресом 10.0.0.x на рабочий интерфейс модуля RRAS (172.16.11.220). В этом случае, когда пакет, предназначенный для 10.0.0.x, достигает этого интерфейса, модуль RRAS пересылает его на свой другой интерфейс (10.0.0.1), а оттуда пакет уже входит в тестовую сеть и, в конечном счете, доходит до клиента. К сожалению, у меня не было доступа с правами администратора к DSL роутеру, поскольку он управляется моим поставщиком интернет услуг (ISP), поэтому я выбрал другой подход.

Я решил настроить RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation – NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети. Конечно, DLS роутер в моей рабочей сети тоже настроен в качестве NAT роутера, поэтому в результате настройки выбранной мной конфигурации получилось то, что известно под термином каскадная NAT или двойная NAT. Интернет подключение работает отлично через 2-ух или 3-ех каскадную NAT, хотя в некоторых случаях такая топология может вызывать проблемы. Например, Windows Home Server не очень ладит с каскадными NAT.

Так или иначе, после просмотра информации в интернете я обнаружил, что есть большая путаница в том, как устанавливать сеть с двумя подсетями и подключением к интернету, как показано на рисунке 1, поэтому я решил написать данную статью, которая является руководством к процессу установки такого типа сценария.

Установка серверного компьютера

Сначала Windows Server 2008 был установлена на машину с двумя сетевыми картами, а IPv4 параметры этих карт были настроены следующим образом:

NIC подключенная к тестовой LAN:

  • IP адрес = 10.0.0.1
  • Маска подсети = 255.0.0.0
  • Основной шлюз = нет
  • DNS серверы = нет

NIC подключенная к рабочей LAN:

  • IP адрес = 172.16.11.220
  • Маска подсети = 255.255.255.0
  • Основной шлюз = 172.16.11.1
  • DNS серверы = публичные IP адреса DNS серверов моего интернет-провайдера

Обратите внимание, что NIC, подключенная к тестовой LAN (10.0.0.0) не должна иметь основного шлюза ' смотрите KB 157025 здесь объяснение того, почему компьютеры, подключенные к нескольким сетям, должны иметь только один адрес шлюза.

Также обратите внимание, что на сетевой карте, подключенной к тестовой LAN, были настроены IP адреса публичных DNS серверов. Это нужно не для того, чтобы клиенты в тестовой сети имели доступ к интернету, это нужно, если вы хотите иметь доступ к интернету с самого сервера RRAS.

Установка клиентских компьютеров в тестовой LAN

Далее Windows 7 была установлена на клиентские машины, а их IPv4 параметры были настроены следующим образом:

  • IP адрес = 10.0.0.101 (.102, .103, ')
  • Маска подсети = 255.0.0.0
  • Основной шлюз = 10.0.0.1 (ближайший интерфейс сервера RRAS)
  • DNS серверы = публичные IP адреса DNS серверов моего интернет-провайдера

На данном этапе все «провода» присоединены, но если мы попытаемся опросить (ping) DSL роутер с клиентского компьютера в тестовой сети, или попытаемся выполнить трассировку маршрута для публичного адреса в интернете с этой клиентской машины, все попытки будут безуспешными, что указывает на отсутствие подключения к интернету нашей тестовой сети (рисунок 2):

*

Рисунок 2: Невозможно выполнить команду ping публичного адреса IP с клиентской машины в тестовой сети

И естественно, если мы попытаемся открыть какую-нибудь веб страницу с этой машины, у нас ничего не выйдет (рисунок 3):

*

Рисунок 3: Невозможно открыть Web страницу

Установка и настройка RRAS

Чтобы обеспечить клиентским машинам в тестовой сети доступ к интернету, нам нужно установить роль RRAS на сервере и затем настроить сервер в качестве NAT роутера. Для установки RRAS роли запускаем мастера добавления новых ролей из диспетчера сервера или в OOBE.exe и добавляем роль Network Policy and Access Services (рисунок 4):

*

Рисунок 4: Установка RRAS – шаг 1

На следующей странице мастера выбираем Службы маршрутизации и удаленного доступа (Routing and Remote Access Services) для установки служб роли, Remote Access Service and Routing (рисунок 5):

*

Рисунок 5: Установка RRAS – шаг 2

После завершения работы мастера открываем консоль маршрутизации и удаленного доступа в меню администрирования (Administrative Tools), нажимаем правой клавишей на локальном сервере и выбираем опции «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access). В результате у нас запустится мастер установки и настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard); выбираем опцию «трансляция сетевых адресов» (Network Address Translation (NAT)) на странице Конфигурация (Configuration) в мастере, как показано на рисунке 6:

*

Рисунок 6: Настройка RRAS для NAT – шаг 1

Затем на странице NAT Internet Connection выбираем сетевой интерфейс, расположенный в рабочей LAN, который является «публичным интерфейсом» NAT роутера (рисунок 7)

*

Рисунок 7: Настройка RRAS для NAT – шаг 2

На следующей странице мастер спрашивает нас, должен ли NAT роутер обеспечивать DHCP и DNSслужбы для компьютеров в тестовой сети, которая подключена к «частному интерфейсу» ("private interface") NAT роутера. Поскольку нашим клиентским машинам назначены статические IP адреса, мы не нуждаемся в этих службах (рисунок 8):

*

Рисунок 8: Настройка RRAS для NAT – шаг 3

После завершения работы мастера служба RRAS запустится и будет настроена для маршрутизации IPv4 и для NAT. Чтобы убедиться в этом, нажмите правой клавишей на локальном сервере в консоли RRAS и выберите Свойства (Properties). В закладке Общие (General) показано, что IPv4 маршрутизация включена, что означает, что IPv4 пакеты могут пересылаться с одной NIC на другую (рисунок 9):

*
Увеличить

Рисунок 9: Проверка конфигурации RRAS – шаг 1

Выбрав узел NAT в консоли RRAS, мы можем увидеть, что три сетевых интерфейса были созданы, когда NAT была настроена на сервере с помощью мастера Routing and Remote Access Server Setup Wizard. На рисунке 10 показаны свойства сети Local Area Connection, которая в данном сценарии является сетевым подключением к тестовой сети (10.0.0.0). Обратите внимание, что NAT считает эту сеть «частной» сетью, то есть сетью, расположенной «за» NAT роутером:

*

Рисунок 10: Проверка конфигурации RRAS – шаг 2

На рисунке 11 показаны свойства сети Local Area Connection 2, которая в данном случае является сетевым подключением к рабочей сети (172.16.11.0). Обратите внимание, что NAT считает эту сеть «публичной», то есть сетью, расположенной «перед» (в интернете) NAT роутером:

*

Рисунок 11: Проверка конфигурации RRAS – шаг 3

Интерфейс внутренней сети также добавлен в конфигурацию NAT в качестве частного интерфейса.

Тестирование NAT

На данном этапе NAT была настроена с IP маршрутизацией, и если я попробую выполнить команду ping для DSL роутера с клиентского компьютера в тестовой сети, или если я попытаюсь выполнить трассировку маршрута с этой же машины к публичному серверу в интернете, эти попытки теперь должны быть успешными (рисунок 12):

*
Увеличить

Рисунок 12: Проверка сетевого подключения между тестовой сетью и интернетом

Таким же образом, если я попробую открыть Web с клиентского компьютера в тестовой сети, это должно получиться (рисунок 13):

*
Увеличить

Рисунок 13: Компьютеры за NAT могут открывать Web

Я также могу осуществлять мониторинг активности NAT с помощью консоли RRAS. Для этого открываем консоль, выбираем узел NAT и просматриваем сетевую статистику для Local Area Connection 2 («публичный» или интрнет-интерфейс), как показано на рисунке 14:

*
Увеличить

Рисунок 14: Просмотр активности NAT

Наконец, правым нажатием на этом интерфейсе и выбором опции Show Mappings вы можете открыть отдельное окно, в котором сможете увидеть подробности о том, что ваш NAT роутер делает (рисунок 15):

*
Увеличить

Рисунок 15: Подробная информация об активности NAT

Заключение

Используя возможности NAT и IP маршрутизации роли RRAS сервера Windows Server 2008, вы с легкостью сможете установить отдельную тестовую подсеть в своей сети и убедиться в том, что компьютеры в этой подсети имеют доступ к интернету. В этой статье я предоставил вам пошаговое руководство по этому процессу.

Автор: Митч Туллоч  •  Иcточник: www.netdocs.ru  •  Опубликована: 26.01.2010
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
12.10.2011/22:00  Mechenii

Как все просто))) А на самом деле все обстоит совсем не так. Вот ситуация:
Сервер 2008 2 карты инет приходит от прова не через модем а через некий прибор(подозреваю что энто хитрый шлюз поскольку с него же получаем телефонию) IP, шлюз и DNS получили от провайдера на бумажке(еще когда не было сервера а была одна клиентская тачка). Теперь появился сервер ему для выполнения его задач нужен инет но нужен он и на клиентской машине. Что я делаю шнур от прова в первую карту ставлю Dlikовский коммутатор и шнур от второй карты идет в него в коммутатор приходит и шнур от клиентской машины. На интерфейс с провайдерским шнуром пишу их даные с бумажки на вторую карту пишу данные типа
10.0.0.1 и
маску 255.255.255.0
шлюз пустой. На клиенте тоже пишу
10.0.0.20
маска 255.255.255.0
шлюз 10.0.0.1
DNS провайдера. Пока все хорошо. Понимаю на серве рольмаршрутизации и доступа как написано выше првда брал с другого форума. И в вожделении сажусь к клиентской тачке набираю пинг и НОЛЬ!!!!!!! Ну тут и понеслось в ход пошли и DHCP и DNS сервер три дня коту под хвост инета нет как нет только на серваке бос в бешенстве я в трансе и готов к совершению обряда сепуку.
30.08.2013/14:24  mildok

Замечательная статья.
Правда, есть одно, на мой взгляд, важное замечание. В IPv4, в статической маршрутизации не указаны роуты 0.0.0.0/0.0.0.0 с метрикой 1 для подключения с интернетом.
А также 10.0.0.0/255.0.0.0 с метрикой 255 для подключений по сети.
Можно, конечно, так не делать, но если сделать - будет какой, никакой, а порядок.
Процесс добавления показан, например тут: http://www.youtube.com/watch?v=bF95gex_EfA
Где-то на 3-ей минуте 10-ой секунде.
Комментарии отключены. С вопросами по статьям обращайтесь в форум.