Використання сервера Windows як NAT роутера

Нещодавно мені було потрібно встановити тестову мережу в своєму офісі, яка використовує DSL роутер для підключення до інтернету. Тестову мережу потрібно було розташувати в підмережі, окремої від моєї офісної LAN, але при цьому потрібно було забезпечити підключення до інтернету. Я вирішив встановити Windows Server 2008 на окремому модулі з двома мережевими картами (NIC), встановити Routing і Remote Access Service (RRAS) на цьому модулі, і використовувати його в якості роутера між своїм робочим місцем і тестової мережею (Малюнок 1).

Малюнок 1: Використання RRAS в якості роутера для підключення між двома підмережами


У мене було два варіанти налаштування. По-перше, я міг налаштувати RRAS модуль в якості IP роутера для пересилання трафіку між двома підмережами. Це б дозволило клієнтам тестової мережі відправляти пакети на сервери в інтернеті, але це не забезпечило б повернення трафіку до клієнтів. Причина полягає в тому, що пакети, які входять на DSL роутер з інтернету, спрямовувалися б в мережу 172.16.11.0, а, отже, не мали б можливості досягати клієнтів в мережі 10.0.0.0. Вирішенням цієї проблеми могло стати додавання статичного маршруту в DSL роутер, який безпосередньо направляв би всі пакети з цільовим адресою 10.0.0.x на робочий інтерфейс модуля RRAS (172.16.11.220). У цьому випадку, коли пакет, призначений для 10.0.0.x, досягає цього інтерфейсу, модуль RRAS пересилає його на свій інший інтерфейс (10.0.0.1), а звідти пакет вже входить в тестову мережу і, в кінцевому рахунку, доходить до клієнта. На жаль, у мене не було доступу з правами адміністратора до DSL роутеру, оскільки він управляється моїм постачальником інтернет послуг (ISP), тому я вибрав інший підхід.


Я вирішив налаштувати RRAS модуль в якості роутера з трансляцією мережних адрес (Network Address Translation – NAT). NAT є IETF стандартом, що забезпечує спосіб трансляції IPv4 адрес комп'ютерів в одній мережі в IPv4 адреси комп'ютерів в іншій мережі. Звичайно, DLS роутер у моєї робочої мережі теж налаштований в якості NAT роутера, тому в результаті настройки обраної мною конфігурації вийшло те, що відомо під терміном каскадна NAT або подвійна NAT. Інтернет підключення працює відмінно через 2-ох або 3-ох каскадну NAT, хоча в деяких випадках така топологія може викликати проблеми. Наприклад, Windows Home Server не дуже ладить з каскадними NAT.


Так чи інакше, після перегляду інформації в інтернеті я виявив, що є велика плутанина в тому, як встановлювати мережу з двома підмережами і підключенням до інтернету, як показано на малюнку 1, тому я вирішив написати цю статтю, яка є керівництвом до процесу установки такого типу сценарію.


Установка серверного комп'ютера


Спочатку Windows Server 2008 був встановлена на машину з двома мережевими картами, а IPv4 параметри цих карт були налаштовані таким чином:


NIC підключена до тестової LAN:



NIC підключена до робочої LAN:



Зверніть увагу, що NIC, підключена до тестової LAN (10.0.0.0) не повинна мати основного шлюзу "дивіться KB 157025 тут пояснення того, чому комп'ютери, підключені до декількох мереж, повинні мати тільки одну адресу шлюзу.


Також зверніть увагу, що на мережевій карті, підключеною до тестової LAN, були налаштовані IP адреси публічних DNS серверів. Це потрібно не для того, щоб клієнти в тестової мережі мали доступ до інтернету, це потрібно, якщо ви хочете мати доступ до інтернету з самого сервера RRAS.


Установка клієнтських комп'ютерів у тестовій LAN


Далі Windows 7 була встановлена на клієнтські машини, а їх IPv4 параметри були налаштовані таким чином:



На даному етапі всі "дроту" приєднані, але якщо ми спробуємо опитати (ping) DSL роутер з комп'ютера клієнта в тестової мережі, або спробуємо виконати трасування маршруту для публічного адреси в інтернеті з цією клієнтської машини, всі спроби будуть безуспішними, що вказує на відсутність підключення до інтернету нашої тестової мережі (рисунок 2):


Малюнок 2: Неможливо виконати команду ping публічної адреси IP з клієнтської машини в тестової мережі


І природно, якщо ми спробуємо відкрити яку-небудь веб сторінку з цієї машини, у нас нічого не вийде (малюнок 3):


Малюнок 3: Неможливо відкрити Web сторінку


Встановлення та налаштування RRAS


Щоб забезпечити клієнтським машинам в тестової мережі доступ до інтернету, нам потрібно встановити роль RRAS на сервері і потім налаштувати сервер в якості NAT роутера. Для установки RRAS ролі запускаємо майстра додавання нових ролей з диспетчера сервера або в OOBE.exe і додаємо роль Network Policy and Access Services (малюнок 4):


Малюнок 4: Встановлення RRAS – крок 1


На наступній сторінці майстра вибираємо Служби маршрутизації та віддаленого доступу (Routing and Remote Access Services) для встановлення служб ролі, Remote Access Service and Routing (рисунок 5):


Малюнок 5: Установка RRAS – крок 2


Після завершення роботи майстра відкриваємо консоль маршрутизації та віддаленого доступу в меню адміністрування (Administrative Tools), натискаємо правою клавішею на локальному сервері і вибираємо опції "Налаштувати і включити маршрутизацію та віддалений доступ "(Configure and Enable Routing and Remote Access). У результаті у нас запуститься майстер установки і настройки сервера маршрутизації та віддаленого доступу (Routing and Remote Access Server Setup Wizard); вибираємо опцію "трансляція мережевих адрес" (Network Address Translation (NAT)) на сторінці Конфігурація (Configuration) у майстрі, як показано на малюнку 6:


Малюнок 6: Налаштування RRAS для NAT – крок 1


Потім на сторінці NAT Internet Connection вибираємо мережевий інтерфейс, розташований в робочій LAN, який є "публічним інтерфейсом" NAT роутера (рисунок 7)


Малюнок 7: Налаштування RRAS для NAT – крок 2


На наступній сторінці майстер запитує нас, чи повинен NAT роутер забезпечувати DHCP і DNSслужби для комп'ютерів в тестової мережі, яка підключена до "приватному інтерфейсу" ("private interface") NAT роутера. Оскільки нашим клієнтським машинам призначені статичні IP адреси, ми не потребуємо цих службах (рисунок 8):


Малюнок 8: Налаштування RRAS для NAT – крок 3


Після завершення роботи майстра служба RRAS запуститься і буде налаштована для маршрутизації IPv4 і для NAT. Щоб переконатися в цьому, натисніть правою клавішею на локальному сервері в консолі RRAS і виберіть Властивості (Properties). У закладці Загальні (General) показано, що IPv4 маршрутизація включена, що означає, що IPv4 пакети можуть пересилатися з одного NIC на іншу (малюнок 9):

Малюнок 9: Перевірка конфігурації RRAS – крок 1


Вибравши вузол NAT в консолі RRAS, ми можемо побачити, що три мережевих інтерфейсу були створені, коли NAT була налаштована на сервері за допомогою майстра Routing and Remote Access Server Setup Wizard. На малюнку 10 показані властивості мережі Local Area Connection, яка в даному сценарії є мережним підключенням до тестової мережі (10.0.0.0). Зверніть увагу, що NAT вважає цю мережу "приватної" мережею, тобто мережею, розташованої "за" NAT роутером:


Рисунок 10: Перевірка конфігурації RRAS – крок 2


На малюнку 11 показані властивості мережі Local Area Connection 2, яка в даному випадку є мережним підключенням до робочої мережі (172.16.11.0). Зверніть увагу, що NAT вважає цю мережу "публічною", тобто мережею, розташованої "перед" (в інтернеті) NAT роутером:


Рисунок 11: Перевірка конфігурації RRAS – крок 3


Інтерфейс внутрішньої мережі також доданий в конфігурацію NAT в якості приватного інтерфейсу.


Тестування NAT


На даному етапі NAT була налаштована з IP маршрутизацією, і якщо я спробую виконати команду ping для DSL роутера з клієнтського комп'ютера в тестової мережі, або якщо я спробую виконати трасування маршруту з цієї ж машини до публічного сервера в інтернеті, ці спроби тепер повинні бути успішними (малюнок 12):

Малюнок 12: Перевірка мережного підключення між тестової мережею та інтернетом


Таким же чином, якщо я спробую відкрити Web з комп'ютера клієнта в тестової мережі, це має вийти (малюнок 13):

Малюнок 13: Комп'ютери за NAT можуть відкривати Web


Я також можу здійснювати моніторинг активності NAT за допомогою консолі RRAS. Для цього відкриваємо консоль, вибираємо вузол NAT і переглядаємо мережеву статистику для Local Area Connection 2 ("публічний" або інтрнет-інтерфейс), як показано на малюнку 14:

Малюнок 14: Перегляд активності NAT


Нарешті, правим натисненням на цьому інтерфейсі і вибором опції Show Mappings ви можете відкрити окреме вікно, у якому зможете побачити подробиці про те, що ваш NAT роутер робить (малюнок 15):

Рисунок 15: Детальна інформація про активність NAT


Висновок


Використовуючи можливості NAT і IP маршрутизації ролі RRAS сервера Windows Server 2008, ви з легкістю зможете встановити окрему тестову підмережа у своїй мережі і переконатися в тому, що комп'ютери в цій підмережі мають доступ до інтернету. У цій статті я надав вам покрокове керівництво по цьому процесу.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*