Настройка nat windows server 2003

Обновлено: 07.07.2024

В настоящее время очень остро стоит проблема обеспечение безопасности и надежности функционирования информационных сетей на предприятиях. В связи с этим возникает ряд задач, позволяющих решить данные проблемы, в частности: установка специального программного обеспечения, организация хранения данных, настройка программных маршрутизаторов и т.п.

Для решения означенных задач был выполнен анализ существующих программных средств и выделено применение сервера Windows 2003. основана задача данного сервера заключается в маршрутизации пакетов двух и более сегментов информационной сети. Анализ информации в интернете и специальной литературы не позволил однозначно выделить искомое решение, поэтому было решено исследовать данную проблему.

Маршрутизаторы являются ключевым звеном любой сети internetwork. Основные задачи, которые решают маршрутизаторы:

  • нахождение наилучшего маршрута;
  • отправка пакета по этому маршруту.

Маршрутизация сделала возможным объединение отдельных сетей в одну глобальную сеть, где каждому участнику сети доступны все ресурсы. Можно говорить о трех принципах маршрутизации:

  • Каждый маршрутизатор принимает решение сам. При этом не оговаривается, откуда получена информация о маршрутах.
  • Если один маршрутизатор имеет полную таблицу маршрутизации, то это не значит, что и у остальных она тоже полная. Можно привести много причин и примеров, когда сеть не сходится. В некоторых случаях это может привести к потере данных, а в некоторых и к циклам маршрутизации. Именно поэтому важно правильно и полно настроить статические маршруты на маршрутизаторах и/или правильно подобрать и настроить динамический протокол маршрутизации.
  • Существование маршрута в одну сторону не гарантирует существование обратного маршрута. Простыми словами, пакет может достигнуть получателя, но обратного пути для ответного пакета может не быть. К этому приводит неполнота таблицы маршрутизации на каком-нибудь маршрутизаторе по пути.

Решением стало установка Windows Server 2003 на отдельном компьютере с двумя сетевыми картами, с установкой роли Routing и Remote Access Service (RRAS) на данной машине с дальнейшим использованием его в качестве маршрутизатора.

В первую очередь был настроен RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation – NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети.

Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выбирается меню Пуск и в нем подменю Администрирование, в котором - пункт Маршрутизация и удаленный доступ (рисунок 1).

Главное окно роли «Routing and Remote Access»

Рисунок 1 – Главное окно роли «Routing and Remote Access»

Первоначальная настройка сервера маршрутизации и удаленного доступа выполняется в дереве «Консоли управления», в меню «Маршрутизация и удаленный доступ» выбирается ветвь с именем локального сервера. Затем при нажатии правой кнопки мыши на имени сервера выбирается пункт «Настроить и включить маршрутизацию и удаленный доступ» из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа. На первом шаге Мастера необходимо выбрать роль, которую будет выполнять сервер. Можно выбрать одну из следующих ролей:

Удаленный доступ (модем). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя с помощью модема или другого оборудования удаленного доступа (рисунок 2).

Пример роли «Удаленный доступ (модем)»

Рисунок 2 – Пример роли «Удаленный доступ (модем)»

Удаленный доступ (VPN). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя через Интернет (рисунок 3).

Пример роли «Удаленный доступ (VPN)»

Рисунок 3 – Пример роли «Удаленный доступ (VPN)»

Преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров частной локальной сети. Компьютеры, находящиеся в Интернете, не в состоянии определять IP-адреса компьютеров в сети пользователя (рисунок 4).

Пример роли «Преобразование сетевых адресов (NAT)»

Рисунок 4 – Пример роли «Преобразование сетевых адресов (NAT)»

Виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров локальной сети пользователя и разрешения подключения удаленных клиентов к сети пользователя через Интернет. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам сети пользователя, как если бы они были физически присоединены к этой сети (рисунок 5).

Пример роли «Виртуальная частная сеть (VPN)»

Рисунок 5 – Пример роли «Виртуальная частная сеть (VPN)»

Безопасное соединение между двумя частными сетями. При выборе данной роли два сервера со службой маршрутизации и удаленного доступа будут настроены для безопасной передачи частных данных через Интернет. Данный путь необходимо выбрать на каждом сервере при запуске мастера настройки маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно) либо по требованию (вызов по требованию) (рисунок 6).

Пример роли «Безопасное соединение между двумя частными сетями»

Рисунок 6 – Пример роли «Безопасное соединение между двумя частными сетями»

Управление IP-фильтрами. Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:

  • уровень физического интерфейса – фильтрация осуществляется для всех пакетов, проходящих через интерфейс, обычно это происходит после маршрутизации пакета;
  • уровень интерфейса маршрутизации – фильтрация осуществляется при прохождении данных через интерфейс маршрутизации, при маршрутизации конкретного протокола;
  • уровень клиента удаленного доступа – фильтрация данных осуществляется при передаче клиенту удаленного доступа по каналу связи.

На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию – исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими – данные, передаваемые клиенту.

В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой «Фильтры входа», а исходящие – кнопкой «Фильтры выхода». Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.

В окне «Фильтры входа» указывается набор действующих фильтров и условия фильтрации. Последние определяются переключателем в верхней части окна, который может быть установлен в одно из положений:

  • Не разрешать перечисленные пакеты. Через фильтр пропускаются все пакеты, кроме тех, которые отвечают условиям, указанным в списке «Фильтры».
  • Разрешать только перечисленные пакеты. Через фильтр пропускаются только те пакеты, которые отвечают условиям, указанным в списке «Фильтры».

Набор условий для проверки задается в списке «Фильтры». Для добавления условия в список необходимо щелкнуть кнопку «Создать» (рисунок 7).

Добавление IP-фильтра

Рисунок 7 –Добавление IP-фильтра

В данном окне необходимо задать параметры исходного и конечного адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок «Исходная сеть» и указать адрес и маску сети отправителя. Если должен фильтроваться только один определенный IP-адрес, его необходимо указать в поле IP-адрес, а в поле «Маска» указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.

В раскрывающемся списке «Протокол» должен быть выбран протокол, пакеты которого анализирутся фильтром. При указании протоколов TCP или UDP необходимо дополнительно задать диапазон исходящих и входящих портов. Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10) должен задаваться фильтр со следующими параметрами:

Для поставленной задачи была выбрана роль RRAS «Преобразование сетевых адресов (NAT)» для работы маршрутизатора.

Схема подключения маршрутизатора

Рисунок 8 – Схема подключения маршрутизатора

Windows Server 2003 был установлена на машину с двумя сетевыми картами, параметры TCP/IP этих карт были настроены следующим образом:

Сетевой интерфейс Realtek подключен к основной сети:

- IP адрес = 192.168.10.1;

- Маска подсети = 255.255.255.0;

- Основной шлюз = 192.168.10.1;

- DNS серверы = 192.168.0.250.

Сетевой интерфейс NIC подключен к сегменту сети:

- IP адрес = 192.168.0.250.

- Маска подсети = 255.255.255.0.

- Основной шлюз = 192.168.0.2.

- DNS серверы = 212.154.163.162.

Установка клиентских компьютеров в основной сети LAN.

Установки на клиентских машинах: для сегмента сети были назначены DHCP-сервером и были следующие:

  • IP адрес = 192.168.10.0/32.
  • Маска подсети = 255.255.255.0.
  • Основной шлюз = 192.168.10.1 (ближайший интерфейс сервера RRAS).
  • DNS серверы = 192.168.0.250(DNS сервер домена).

Таким образом, маршрутизатор стал связующим звеном между сегментом сети и основной сетью (рисунок 8) со своими правилами адресации в сети и настройками безопасности. При такой настройке в сегмент сети нет необходимости вводить для каждой машины сетевые правила подключения к серверам или обращения за пределы сегмента сети, маршрутизатор работает на правилах, созданных для работы в сети на основе фильтров, установленных администратором сети.

Записки по настройке Debian Ubuntu и Microsoft Windows

Установка и настройка NAT в Windows 2003 Server (NAT and basic firewall и LAN roitung)

Для начало коротко рассмотрим что это и для чего это надо, немного воды из Википедии

1. NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством (маршрутизатором, сервером доступа, межсетевым экраном). Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» производит трансляцию IP-адреса и порта и запоминает эту трансляцию у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись о n-ом порте за сроком давности.

В ОС Windows 2003 есть Служба маршрутизации и удаленного доступу ( Routing and Remote access ) запускаем из меню Windows Administrative Tools. Служба Брандмауэр Windows/Общий доступ к Интернету ( Windows Firewall/Internet Connection Sharing (ICS)) должна быть выключена.

NAT and basic firewall

NAT and basic firewall

Выбираем - Особую конфигурацию. Нам необходимы - NAT and basic firewall и LAN roitung:

NAT and basic firewall

Идем в "NAT/Basic firewall" и добавляем интерфейсы:

- публичный (подключенный к Интернет), выбираем интерфейс, подключенный к Интернету в нашем случае это Internet

NAT and basic firewall
NAT and basic firewall

- локальный (приватный) интерфейс. В контекстном меню выбираем Новый интерфейс (New Interface), и в списке интерфейсов выбираем наш локальный интерфейс, в нашем случае это Intranet.

NAT and basic firewall
NAT and basic firewall

Далее настраиваем внешний интерфейс: IP адрес и маску.

Переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Выбираем интерфейс Internet, идем в Свойства (Prefences).

NAT and basic firewall
NAT and basic firewall

83.15.1.2 – внешний IP-адрес сервера, публичный (подключенный к Интернет).

NAT and basic firewall

А вот дальше для себя я понял так, можно зарезервировать IP-адрес что-то вроде:

И выходя в интернет мы будем иметь IP адрес 85.15.1.2, а вот если не указывать то буду получать адреса из пула или внешней сетевой карты. Но если IP-адрес один но я получу его по любому.

Так же дело обстоит и с любимы другими IP адресами в локальной сети, если у них будет указан шлюх по умолчанию, по они смогут тоже выходить через NAT.

Для окончательной настройке NAT на клиентской машине, достаточно в настройках подключения указать в поле Шлюз IP адрес сервера и DNS.

Во общем ни какого контроля ни чего, что б получить контроль надо использовать прокси-сервер.

Мне нечего рассказать.
Все, что я могу, — это рисовать внутренние органы и ненавидеть.
Я творение высшей расы.
Полон желчи, ненависти и пафоса.

Вы не сможете войти в круг моего доверия.
Не верьте мне, я вам не доверяю.

Рубрики

Архивы

30.09.2010 от Игорь · Комментарии к записи Настройка NAT на Windows Server 2003 отключены

Настройка RRAS (Маршрутизация и удаленный доступ) производится на серверных ОС Windows Server 2003.

1 Запустите из меню Администрирование (Administrative Tools) оснаску Маршрутизация и удаленный доступ (Routing and Remote Access). В контекстном меню выберите пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).


2 Выберите Особая конфигурация (Custom configuration)


3 Поставьте галки NAT и основной брандмауэр и Маршрутизация ЛВС (NAT and basic firewall и LAN routing)


4 Нажмите Готово (Finish) на вопрос Хотите запустить службу? (Do you want to start the service?) Нажмите Да (Yes)


5 Перейдите к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Для работы НАТ необходимо добавить публичный(подключеный к интернет) и приватный (локальный) интерфейс. В контекстном меню выберите Новый интерфейс (New Interface)



7 В появившимся окне, выберите пункт Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и поставьте галку Включить NAT на данном интерфейсе (Enable NAT on this interface)


8 Перейдите снова к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall), в контекстном меню выберите Новый интерфейс (New Interface). В появившимся окне выберите интерфейс локальной или публичной сети.


9 Оставьте это окно без изменений (по умолчанию выбрано Частный интерфейс подключен к частной сети (Private interface connected to private network)). Нажмите OK.


10 Внимание: Для доступа клиентских машин в интернет, на них должен быть установлен маршрут по умолчанию на сервер где настроен NAT. Для этого на клиентской машине зайдите в свойства локальной сетевой карты далее свойства TCP/TP в поле IP адрес пропишите IP машины, маску 255.255.255.0, в Основной шлюз (default gateway) пропишите IP адрес сервера NAT. В полях DNS необходимо прописать IP адреса DNS провайдера или IP адреса установленного локального DNS сервера.

Всем добрым день коллеги. Сегодня мы рассмотрим как проще всего настроить NAT в Windows Server ( доступ в Интернет для нескольких компьютеров с помощью одного IP, который выдал нам интернет провайдер) .

Конечно, самым простым решением будет настройка обычного домашнего роутера. Но мы будем рассматривать вариант настройки Microsoft Windows Server через NAT , так как в будущем этот сервер нам послужит для выполнения других ролей в корпоративной среде.

Итак, что мы имеем. Имеем мы железный сервер с двумя сетевыми картами с операционной системой Windows 2008 Server . На внешнюю сетевую карту мы пропишем IP адреса, которые нам дал провайдер и соответственно воткнем шнурок туда.

Настройка NAT в Windows 2008

Передем к настройке NAT в Windows Server 2008.

Настройка NAT в Windows 2008

  • Дальше нам предлагается выбор служб которые мы будем использовать. Выбираем службу удаленного доступа и маршрутизацию.

Настройка NAT в Windows 2008

  • Далее нам нужно выбрать использовать преобразование сетевых адресов (NAT). В описании как раз вы можете удивить что делает NAT.

Настройка NAT в Windows 2008

  • Далее нас попросят определить сетевую карту которая является выходом в интернет. В нашем случае это EXT.

Настройка NAT в Windows 2008

Далее втыкаем этот сервер линком из сетевой карты LAN во внутрению сеть (например в свитч) и можно использоваться его в качестве шлюза. На пользовательских компьютерах указываем IP адрес из диапазона, который вы поставили на сетевую карту.

Например, если у вас настройки на сетевой карте LAN на сервере.

То на пользовательском ПК настройки будут следующие:

DNS 192.168.1.1 (наш сервер)

Предыдущая статья: Ошибки синхронизации Outlook. Следующая статья: Архивация данных Windows 7

Что такое NAP?
Смена часового пояса в Windows XP скрипт и групповые политики
Экзамены Microsoft

Перенос DHCP сервера с Windows Server 2008 на Windows Server 2012

Читайте также: