Навигация:  Traffic Inspector > Установка программы > Подготовка сервера к установке >

Настройка RRAS

 Previous pageReturn to chapter overviewNext page
Show/Hide Hidden Text

Использование NAT из службы RRAS для серверной Windows наиболее предпочтительно, т.к. отсутствуют ограничения на IP-адреса внутренней сети, и этих подсетей может быть несколько. Кроме того, поддерживается работа с несколькими внутренними и внешними интерфейсами. Служба подробно описана в справке Windows, а в этом разделе коротко отметим основные моменты ее настройки.

 

RRAS - многофункциональная служба. Из всех ее возможностей прежде всего используются:

 

Роутинг: по умолчанию включается при конфигурировании и запуске этой службы.
Интерфейсы вызова по требованию: поддерживаются различные модемы, VPN (PPTP, L2TP), а в Windows 2003 и PPPoE. В Traffic Inspector поддерживается только работа с интерфейсами, настроенными на исходящие вызовы.
RAS-сервер: может обслуживать модемный пул и VPN-(PPTP-, L2TP-)сервер.
NAT: поддерживается трансляция исходящих TCP-, UDP-, ICMP-, а также большого количества других протоколов.
NAT: поддерживает публикацию внутренних серверов наружу.
NAT: поддерживает резервирование внешних IP-адресов за пользователями.
Имеется свой кэширующий DNS-сервер.
Имеется свой небольшой DHCP-сервер.

 

Если используются внешние WAN-соединения (модемы, VPN, PPPoE и др.), то обязательно должны использоваться интерфейсы вызова по требованию этой службы (Demand-Dial) взамен обычных соединений, создаваемых в окне сетевых подключений, - с ними NAT от этой службы работать не будет.

 

Порядок конфигурирования службы для Windows 2000 и 2003 почти не отличается. Небольшие отличия есть в мастерах настроек.

 

Запустите консоль Routing and Remote Access из меню Administrative tools.

 

ВНИМАНИЕ! Для Windows 2008, чтобы появилась служба RRAS, требуется разрешить роль Network Policy and Access Service. Это делается в консоли управления сервером.

 

По умолчанию служба не сконфигурирована (запрещена). Нет необходимости запускать ее из консоли управления сервисами - следует запустить конфигуратор с консоли RRAS из меню Configure and Enable Routing and Remote Access.

 

 

Далее выберите режим Custom Configuration (Manually configure Routing and Remote Access для Windows 2000) и нажмите "Далее".

 

 

Для Windows 2003 откроется еще одно окно с опциями с выбором необходимых.

Службу можно пока не запускать.

 

Откройте Properties и на первой закладке выставите режим работы.

 

Если WAN/PPP/VPN-соединений не будет, то выставите Local area network...; если будут исходящие demand-dial соединения, то включите этот режим. Также включите Remote access server, если предполагаются Dial-In соединения (см. "RAS-сервер и Dial-In соединения").

 

В закладке Event Logging можно выбрать Log the maximum amount of information.

 

 

 

 

Запустите службу (меню Local server/All Tasks/Start).

 

Если разрешен Demand-Dial или используется RAS-сервер, то желательно удалить неиспользуемые порты, сконфигурированные по умолчанию (Parallel и др.).

 

Для этого выберите Ports и откройте Properties. В списке портов для каждого неиспользуемого порта откройте настройки кнопкой Configure и отключите обе опции Remote Access Connections и Demand-Dial routing Connections. Для используемых портов отключите опцию Remote Access Connections (если нет RAS-сервера) и оставьте Demand-Dial routing Connections.

 

Закройте окна. В левой части в списке портов должны остаться только необходимые порты.

 

 

 

 

Сконфигурируйте Demand-Dial интерфейс для исходящих соединений при необходимости.

 

Для этого выберите Routing Interface и запустите мастера через меню New Demand-Dial Interface. Конфигурирование в мастере похоже на создание обычного Dial-Up соединения. Если обычное соединение уже было создано и работало, то настройки можно скопировать оттуда. Далее следует для появившегося в списке интерфейса открыть его свойства (Properties) и произвести дополнительные настройки.

 

Прежде всего следует отключить сетевой компонент Client for Microsoft Network на закладке Networking. Далее, если требуется постоянное соединение, на закладке Options выберите Persistent Connections.

 

 

Для Demand-Dial интерфейса, если через него производится подключение к Интернету, следует обязательно добавить маршрут по умолчанию.

 

Поэтому перейдите на IP Routing/Static routes и добавьте маршрут по умолчанию (IP 0.0.0.0 Mask 0.0.0.0) для этого интерфейса (выберите его из списка). Опцию Use this route to initiate demand-dial connection оставьте включенной. В данном случае соединение будет устанавливаться автоматически при появлении любого трафика наружу.

 

 

 

Если создано VPN-соединение, то необходимо добавить маршрут на IP-адрес VPN-сервера. Это следует сделать ОБЯЗАТЕЛЬНО, если VPN-сервер не находится в одной IP-сети с внешним интерфейсом. Настройки маршрута таковы:

 

Interface: внешний сетевой интерфейс, через который производится соединение на VPN-сервер.
Destination: IP-адрес VPN-сервера.
Network Mask: 255.255.255.255.
Gateway: соответствует шлюзу по умолчанию, назначенному на внешнем интерфейсе. Если настройки назначаются автоматически, то этот адрес можно увидеть, посмотрев сетевые настройки утилитой ipconfig.exe -all.

 

Далее конфигурируем службу NAT.

 

Перейдите на IP routing/General. Через меню New routing protocol добавьте Network Address Translation, который появится справа в списке. Выберите его и откройте свойства (Properties).

 

Если предполагается использовать конфигурирование пользователей через DHCP, а отдельный DHCP-сервер использоваться не будет, то можно включить поддержку DHCP службы NAT: закладка Address Assignment, опция Automatically assignment IP addresses by using DHCP. Также задайте адреса локальной сети и исключения для хостов со статическими настройками (через кнопку Exclude).

 

Если своего внутреннего DNS-сервера нет, то желательно включить поддержку DNS службы NAT - закладка Name Resolution: все DNS-запросы будут кэшироваться. См. раздел с рекомендациями по настройке DNS в сети.

 

 

 

 

 

 

 

 

Добавляем в NAT внутренние интерфейсы. Справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов берем тот, который соединен с внутренней сетью. В окне его свойств выбираем Private interface connected to private network.

 

 

 

 

 

 

Добавляем внешние интерфейсы. Справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов берем тот, который соединен с внешней сетью. В окне его свойств выбираем Public interface connected to the Internet. Также стоит включить опцию Translate TCP/UDP headers.

 

ВНИМАНИЕ! Для Windows 2003 доступна такая функция, как basic firewall. Ее использование мы не рекомендуем, т.к. это сильно усложнит настройку программы.

 

Дополнительно через NAT могут быть опубликованы TCP/UDP-сервера, находящиеся во внутренней сети. Для этого в закладке Special ports в окне свойств внешнего интерфейса следует задать тип протокола (TCP или UDP), опубликованный порт (Incoming Port), IP-адрес и порт внутреннего сервера (Private address и Outgoing port). В дальнейшем, при конфигурировании сетевого экрана Traffic Inspector, опубликованный порт должен быть открыт.

 

 

 

 

 

Пример публикации SMTP-сервера:

 

 

 

Данный пример приведен для Windows 2003. Как видно, здесь уже имеются готовые шаблоны для типовых протоколов.

 

Установленные по умолчанию дополнительные протоколы (IGMP-, DHCP Relay Agent) лучше удалить, если в них нет необходимости.

 

Последующие рекомендации также имеют отношение к настройке RAS-сервера. Более подробная информация содержится в отдельном разделе.

 

Если используются Demand-Dial соединения, то служба будет пытаться назначить IP-адрес для внутреннего входящего интерфейса RAS-соединений - он обозначен как internal. По умолчанию он сконфигурирован на использование DHCP, и при отсутствии этого сервера будет выдаваться ошибка. В этом случае для него имеет смысл назначить несколько, минимум два, IP-адреса - это можно сделать на закладке IP в окне главных настроек службы. Если RAS-сервера нет и входящих Demand-Dial соединений не будет (как правило, требуются только исходящие), то эти адреса могут быть любые из Intranet-диапазонов, не пересекающиеся с уже используемыми.

 

Запрещение NetBios для интерфейса internal службы RRAS

 

Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен (см. выше). Это важно, если используется RAS-сервер для подключения Dial-Up пользователей (модемы или VPN), и поможет избавиться от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка данной службы. Появление IP-адреса интерфейса internal в указанных регистрациях может привести к проблемам.

 

Для этого редактором реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу необходимо перезапустить.

 

Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен список интерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном варианте имена должны регистрироваться только на интерфейсе локальной сети.

 

Замечания по использованию DHCP для внутренней сети:

 

Если пользователи используют DHCP службы NAT, то они получат в настройках шлюз по умолчанию на внутренний интерфейс сервера и IP-адрес DNS-сервера.
У пользователей, при их конфигурировании вручную (не через DHCP), шлюз по умолчанию настраивается на сервер. Если используется поддержка DNS на NAT, то адрес DNS-сервера на пользователях выставляется на внутренний интерфейс сервера. Конечно, можно прописывать и любые внешние DNS-сервера, но это повлечет дополнительный расход трафика.
Если внутренняя сеть состоит из нескольких IP-подсетей, то DHCP от NAT в этом случае не подходит. Используйте DHCP-сервер, имеющийся в серверных версиях Windows.

 

RAS-сервер и Dial-In соединения

 

RRAS может использоваться в качестве RAS-сервера - можно организовать небольшой модемный пул или VPN-сервер. Для этого в главных настройках службы следует включить опцию Remote Access Server. Особенности реализации поддержки WAN-интерфейсов таковы, что не следует использовать DHCP для назначения адресов пользователям (что стоит по умолчанию), а назначить адресный пул вручную (закладка IP). Причем адреса этого пула должны быть обязательно из отдельной сети.

 

Для таких пользователей также может использоваться NAT. Но для этого необходимо:

 

С консоли запустить команду netsh routing ip nat add interface internal private. Для русской версии Windows имя этого интерфейса другое, поэтому вместо internal следует писать "внутренний".
Появится возможность в конфигурации NAT (см. выше) добавить интерфейс internal как внутренний (ранее в списках его не было).

 

Заметим, что RRAS позволяет пользователям персонально назначать правила через свои политики (Remote Access Policies), и NAT для Dial-In можно запрещать выборочно для отдельных пользователей и групп.

 

Более подробно задача настройки RAS- (VPN-) сервера описана в соответствующем разделе "Настройка RAS-(VPN-)сервера".

 

PPPoE

 

Кроме VPN- (PPTP-, L2TP-) на базе RAS-сервера можно реализовать небольшой PPPoE-сервер. Есть неплохой драйвер RasPPPoE (http://www.raspppoe.com), который в режиме концентратора поддерживает работу до 10-ти  пользователей.

 

В Windows 2000 поддержка PPPoE отсутствует. Этот драйвер можно также использовать для пользовательского подключения.

 

 

 

Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?installrras.htm

Сайт разработчиков Traffic Inspector