Использование NAT из службы RRAS для серверной Windows наиболее предпочтительно, т.к. отсутствуют ограничения на IP-адреса внутренней сети, и этих подсетей может быть несколько. Кроме того, поддерживается работа с несколькими внутренними и внешними интерфейсами. Служба подробно описана в справке Windows, а в этом разделе коротко отметим основные моменты ее настройки.
RRAS - многофункциональная служба. Из всех ее возможностей прежде всего используются:
• | Роутинг: по умолчанию включается при конфигурировании и запуске этой службы. |
• | Интерфейсы вызова по требованию: поддерживаются различные модемы, VPN (PPTP, L2TP), а в Windows 2003 и PPPoE. В Traffic Inspector поддерживается только работа с интерфейсами, настроенными на исходящие вызовы. |
• | RAS-сервер: может обслуживать модемный пул и VPN-(PPTP-, L2TP-)сервер. |
• | NAT: поддерживается трансляция исходящих TCP-, UDP-, ICMP-, а также большого количества других протоколов. |
• | NAT: поддерживает публикацию внутренних серверов наружу. |
• | NAT: поддерживает резервирование внешних IP-адресов за клиентами. |
• | Имеется свой кэширующий DNS-сервер. |
• | Имеется свой небольшой DHCP-сервер. |
Если используются внешние WAN-соединения (модемы, VPN, PPPoE и др.), то обязательно должны использоваться интерфейсы вызова по требованию этой службы (Demand-Dial) взамен обычных соединений, создаваемых в окне сетевых подключений, - с ними NAT от этой службы работать не будет.
Порядок конфигурирования службы для Windows 2000 и 2003 почти не отличается. Небольшие отличия есть в мастерах настроек.
Запустите консоль Routing and Remote Access из меню Administrative tools.
ВНИМАНИЕ! Для Windows 2008, чтобы появилась служба RRAS, требуется разрешить роль Network Policy and Access Service. Это делается в консоли управления сервером.
По умолчанию служба не сконфигурирована (запрещена). Нет необходимости запускать ее из консоли управления сервисами - следует запустить конфигуратор с консоли RRAS из меню Configure and Enable Routing and Remote Access.
Далее выберите режим Custom Configuration (Manually configure Routing and Remote Access для Windows 2000) и нажмите "Далее".
Для Windows 2003 откроется еще одно окно с опциями с выбором необходимых.
Службу можно пока не запускать.
Откройте Properties и на первой закладке выставите режим работы.
Если WAN/PPP/VPN-соединений не будет, то выставите Local area network...; если будут исходящие demand-dial соединения, то включите этот режим. Также включите Remote access server, если предполагаются Dial-In соединения (смотрите "RAS-сервер и Dial-In соединения").
В закладке Event Logging можно выбрать Log the maximum amount of information.
Запустите службу (меню Local server/All Tasks/Start).
Если разрешен Demand-Dial или используется RAS-сервер, то желательно удалить неиспользуемые порты, сконфигурированные по умолчанию (Parallel и др.).
Для этого выберите Ports и откройте Properties. В списке портов для каждого неиспользуемого порта откройте настройки кнопкой Configure и отключите обе опции Remote Access Connections и Demand-Dial routing Connections. Для используемых портов отключите опцию Remote Access Connections (если нет RAS-сервера) и оставьте Demand-Dial routing Connections.
Закройте окна. В левой части в списке портов должны остаться только необходимые порты.
Сконфигурируйте Demand-Dial интерфейс для исходящих соединений при необходимости.
Для этого выберите Routing Interface и запустите мастера через меню New Demand-Dial Interface. Конфигурирование в мастере похоже на создание обычного Dial-Up соединения. Если обычное соединение уже было создано и работало, то настройки можно скопировать оттуда. Далее следует для появившегося в списке интерфейса открыть его свойства (Properties) и произвести дополнительные настройки.
Прежде всего следует отключить сетевой компонент Client for Microsoft Network на закладке Networking. Далее, если требуется постоянное соединение, на закладке Options выберите Persistent Connections.
Для Demand-Dial интерфейса, если через него производится подключение к Интернету, следует обязательно добавить маршрут по умолчанию.
Поэтому перейдите на IP Routing/Static routes и добавьте маршрут по умолчанию (IP 0.0.0.0 Mask 0.0.0.0) для этого интерфейса (выберите его из списка). Опцию Use this route to initiate demand-dial connection оставьте включенной. В данном случае соединение будет устанавливаться автоматически при появлении любого трафика наружу.
Если создано VPN-соединение, то необходимо добавить маршрут на IP-адрес VPN-сервера. Это следует сделать ОБЯЗАТЕЛЬНО, если VPN-сервер не находится в одной IP-сети с внешним интерфейсом. Настройки маршрута таковы:
• | Interface: внешний сетевой интерфейс, через который производится соединение на VPN-сервер. |
• | Destination: IP-адрес VPN-сервера. |
• | Network Mask: 255.255.255.255. |
• | Gateway: соответствует шлюзу по умолчанию, назначенному на внешнем интерфейсе. Если настройки назначаются автоматически, то этот адрес можно увидеть, посмотрев сетевые настройки утилитой ipconfig.exe -all. |
Далее конфигурируем службу NAT.
Перейдите на IP routing/General. Через меню New routing protocol добавьте Network Address Translation, который появится справа в списке. Выберите его и откройте свойства (Properties).
Если предполагается использовать конфигурирование клиентов через DHCP, а отдельный DHCP-сервер использоваться не будет, то можно включить поддержку DHCP службы NAT: закладка Address Assignment, опция Automatically assignment IP addresses by using DHCP. Также задайте адреса локальной сети и исключения для хостов со статическими настройками (через кнопку Exclude).
Если своего внутреннего DNS-сервера нет, то желательно включить поддержку DNS службы NAT - закладка Name Resolution: все DNS-запросы будут кэшироваться. Смотрите раздел с рекомендациями по настройке DNS в сети.
Добавляем в NAT внутренние интерфейсы. Справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов берем тот, который соединен с внутренней сетью. В окне его свойств выбираем Private interface connected to private network.
Добавляем внешние интерфейсы. Справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов берем тот, который соединен с внешней сетью. В окне его свойств выбираем Public interface connected to the Internet. Также стоит включить опцию Translate TCP/UDP headers.
ВНИМАНИЕ! Для Windows 2003 доступна такая функция, как basic Firewall. Ее использование мы не рекомендуем, т.к. это сильно усложнит настройку программы.
Дополнительно через NAT могут быть опубликованы TCP/UDP-сервера, находящиеся во внутренней сети. Для этого в закладке Special ports в окне свойств внешнего интерфейса следует задать тип протокола (TCP или UDP), опубликованный порт (Incoming Port), IP-адрес и порт внутреннего сервера (Private address и Outgoing port). В дальнейшем, при конфигурировании сетевого экрана Traffic Inspector, опубликованный порт должен быть открыт.
Пример публикации SMTP-сервера:
Данный пример приведен для Windows 2003. Как видно, здесь уже имеются готовые шаблоны для типовых протоколов.
Установленные по умолчанию дополнительные протоколы (IGMP-, DHCP Relay Agent) лучше удалить, если в них нет необходимости.
Последующие рекомендации также имеют отношение к настройке RAS-сервера. Более подробная информация содержится в отдельном разделе.
Если используются Demand-Dial соединения, то служба будет пытаться назначить IP-адрес для внутреннего входящего интерфейса RAS-соединений - он обозначен как internal. По умолчанию он сконфигурирован на использование DHCP, и при отсутствии этого сервера будет выдаваться ошибка. В этом случае для него имеет смысл назначить несколько, минимум два, IP-адреса - это можно сделать на закладке IP в окне главных настроек службы. Если RAS-сервера нет и входящих Demand-Dial соединений не будет (как правило, требуются только исходящие), то эти адреса могут быть любые из Intranet-диапазонов, не пересекающиеся с уже используемыми.
Запрещение NetBios для интерфейса internal службы RRAS
Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен (смотрите выше). Это важно, если используется RAS-сервер для подключения Dial-Up клиентов (модемы или VPN), и поможет избавиться от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка данной службы. Появление IP-адреса интерфейса internal в указанных регистрациях может привести к проблемам.
Для этого редактором реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу необходимо перезапустить.
Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен список интерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном варианте имена должны регистрироваться только на интерфейсе локальной сети.
Замечания по использованию DHCP для внутренней сети:
• | Если клиенты используют DHCP службы NAT, то они получат в настройках шлюз по умолчанию на внутренний интерфейс сервера и IP-адрес DNS-сервера. |
• | У клиентов, при их конфигурировании вручную (не через DHCP), шлюз по умолчанию настраивается на сервер. Если используется поддержка DNS на NAT, то адрес DNS-сервера на клиентах выставляется на внутренний интерфейс сервера. Конечно, можно прописывать и любые внешние DNS-сервера, но это повлечет дополнительный расход трафика. |
• | Если внутренняя сеть состоит из нескольких IP-подсетей, то DHCP от NAT в этом случае не подходит. Используйте DHCP-сервер, имеющийся в серверных версиях Windows. |
RAS-сервер и Dial-In соединения
RRAS может использоваться в качестве RAS-сервера - можно организовать небольшой модемный пул или VPN-сервер. Для этого в главных настройках службы следует включить опцию Remote Access Server. Особенности реализации поддержки WAN-интерфейсов таковы, что не следует использовать DHCP для назначения адресов клиентам (что стоит по умолчанию), а назначить адресный пул вручную (закладка IP). Причем адреса этого пула должны быть обязательно из отдельной сети.
Для таких клиентов также может использоваться NAT. Но для этого необходимо:
• | С консоли запустить команду netsh routing ip nat add interface internal private. Для русской версии Windows имя этого интерфейса другое, поэтому вместо internal следует писать "внутренний". |
• | Появится возможность в конфигурации NAT (смотрите выше) добавить интерфейс internal как внутренний (ранее в списках его не было). |
Заметим, что RRAS позволяет клиентам персонально назначать фильтры через свои политики (Remote Access Policies), и NAT для Dial-In можно запрещать выборочно для отдельных клиентов и групп.
Более подробно задача настройки RAS- (VPN-) сервера описана в соответствующем разделе "Настройка RAS-(VPN-)сервера".
Кроме VPN- (PPTP-, L2TP-) на базе RAS-сервера можно реализовать небольшой PPPoE-сервер. Есть неплохой драйвер RasPPPoE (http://www.raspppoe.com), который в режиме концентратора поддерживает работу до 10-ти клиентов.
В Windows 2000 поддержка PPPoE отсутствует. Этот драйвер можно также использовать для клиентского подключения.
Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?installrras.htm