Настройка RRAS

Previous pageReturn to chapter overviewNext page

Использование NAT из службы RRAS для Windows 2000 (2003) server наиболее предпочтительно, так как отсутствуют ограничения на IP-адреса внутренней сети и этих подсетей может быть несколько. Также поддерживается работа с несколькими внутренними и внешними интерфейсами. Эта служба подробно описана в справке Windows, а в этом разделе коротко отметим основные моменты ее настройки.

 

RRAS - многофункциональная служба, из всех ее возможностей прежде всего используются

 

Роутинг. По умолчанию включается при конфигурировании и запуске этой службы.
Интерфейсы вызова по требованию. Поддерживаются различные модемы, VPN (PPTP, L2TP), а в Windows 2003 также PPPoE. В Traffic Inspector поддерживается только работа с интерфейсами, настроенными на исходящие вызовы.
RAS сервер. Может обслуживать модемный пул и VPN (PPTP, L2TP) сервер.
NAT. Поддерживается трансляция исходящих TCP, UDP, ICMP, а также большого количества других протоколов.
NAT поддерживает публикацию внутренних серверов наружу.
NAT поддерживает резервирование внешних IP адресов за клиентами.
Имеется свой кэширующий DNS сервер.
Имеется свой небольшой DHCP сервер.

 

Если используются внешние WAN соединения (модемы, VPN, PPPoE и др.), то обязательно должны использоваться интерфейсы вызова по требованию этой службы (Demand-Dial) взамен обычных соединений, создаваемых в окне сетевых подключений - с ними NAT от этой службы работать не будет!

 

Порядок конфигурирования службы для Windows 2000 и 2003 почти не отличается. Небольшие отличия есть в мастерах настроек.

 

Запустите консоль Routing and Remote Access из меню Administrative tools.

 

По умолчанию служба не сконфигурирована (запрещена). Ее ни в коем случае не надо запускать из консоли управления сервисами, а надо запустить конфигуратор с консоли RRAS из меню Configure and Enable Routing and Remote Access.

 

Show picture

 

Далее выберите режим Custom Configuration (Manually configure Routing and Remote Access для Windows 2000) и нажмите Далее.

 

Show picture

 

Для Windows 2003 откроется еще одно окно с опциями, где выберите необходимые.

Службу можно пока не запускать.

 

Откройте Properties и на первой закладке выставите режим работы.

 

Если WAN/PPP/VPN соединений не будет, то выставите Local area network..., если будут исходящие demand-dial соединения, то включите этот режим. Также включите Remote access server, если предполагаются Dial-In соединения (см. далее).

 

В закладке Event Logging можно выбрать Log the maximum amount of information.

 

Show picture

 

Запустите службу (меню Local server/All Tasks/Start).

 

Если разрешен Demand-Dial или используется RAS-сервер, то желательно удалить неиспользуемые порты, сконфигурированные по умолчанию Parallel и др.).

 

Для этого выберите Ports и откройте Properties. В списке портов для каждого неиспользуемого порта откройте настройки кнопкой Configure и отключите обе опции Remote Access Connections и Demand-Dial routing Connections. Для используемых портов отключите опцию Remote Access Connections (если нет RAS-сервера) и оставьте Demand-Dial routing Connections.

 

Закройте окна. В левой части в списке портов должны остаться только необходимые порты.

 

Show picture

 

Сконфигурируйте Demand-Dial интерфейс для исходящих соединений, если надо.

 

Для этого выберите Routing Interface и запустите мастера через меню New Demand-Dial Interface. Конфигурирование в мастере похоже на создание обычного Dial-Up соединения, если обычное соединение уже было создано и работало, то настройки можно скопировать оттуда. Далее следует для появившегося в списке интерфейса открыть его свойства (Properties) и произвести дополнительные настройки.

 

Прежде всего следует отключить сетевой компонент Client for Microsoft Network на закладке Networking. Далее, если требуется постоянное соединение, на закладке Options выберите Persistent Connections.

 

Show picture

 

Для Demand-Dial интерфейса, если через него производится подключение к Интернет, надо обязательно добавить маршрут по умолчанию.

 

Для этого перейдите на IP Routing/Static routes и добавьте маршрут по умолчанию (IP 0.0.0.0 Mask 0.0.0.0) для этого интерфейса (выберите его из списка). Опцию Use this route to initiate demand-dial connection оставьте включенной. В этом случае соединение будет устанавливаться автоматически при появлении любого трафика наружу.

 

Show picture

 

Если создано VPN соединение, то также следует добавить маршрут на IP адрес VPN сервера. Это надо сделать ОБЯЗАТЕЛЬНО, если VPN сервер не находится в одной IP сети с внешним интерфейсом. Настройки маршрута такие -

 

Interface - внешний сетевой интерфейс, через который производится соединение на VPN сервер.

Destination - IP адрес VPN сервера

Network Mask - 255.255.255.255

Gateway - соответствует шлюзу по умолчанию, назначенному на внешнем интерфейсе. Если настройки назначаются автоматически, то этот адрес можно увидеть, посмотрев сетевые настройки утилитой ipconfig.exe -all

 

 

Далее конфигурируем службу NAT.

 

Для этого перейдите на IP routing/General. Через меню New routing protocol добавьте Network Address Translation, который появится справа в списке. Выберите его и откройте свойства (Properties).

 

Если предполагается использовать конфигурирование клиентов через DHCP, а отдельный DHCP-сервер использоваться не будет, то можно включить поддержку DHCP службы NAT - закладка Address Assignment, опция Automatically assignment IP addresses by using DHCP. Также задайте адреса локальной сети и исключения для хостов со статическими настройками (через кнопку Exclude).

 

Если своего внутреннего DNS-сервера нет, то желательно включить поддержку DNS службы NAT - закладка Name Resolution - все DNS-запросы будут кэшироваться. См. раздел с рекомендациями по настройке DNS в сети.

 

Show picture

 

Добавляем в NAT внутренние интерфейсы. Для этого справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов выбираем тот, который соединен с внутренней сетью, и в окне его свойств выбираем Private interface connected to private network.

 

Show picture

 

Добавляем внешние интерфейсы. Для этого справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов выбираем тот, который соединен с внешней сетью, и в окне его свойств выбираем Public interface connected to the Internet. Также надо включить опцию Translate TCP/UDP headers.

 

ВНИМАНИЕ! Для Windows 2003 доступна такая функция, как basic firewall. Ее использование мы не рекомендуем, так как это сильно усложнит настройку программы.

 

Дополнительно через NAT могут быть опубликованы TCP/UDP сервера, находящиеся во внутренней сети. Для этого в закладке Special ports в окне свойств внешнего интерфейса надо задать тип протокола (TCP или UDP), опубликованный порт (Incoming Port), IP адрес и порт внутреннего сервера (Private address и Outgoing port). В дальнейшем, при конфигурировании сетевого экрана Traffic Inspector, опубликованный порт должен быть открыт.

 

Show picture

 

Установленные по умолчанию дополнительные протоколы (IGMP, DHCP Relay Agent) лучше удалить, если в них нет необходимости.

 

Дальнейшие рекомендации также имеют отношение к настройке RAS сервера. Более подробно некоторые вещи описаны в отдельном разделе.

 

Если используются Demand-Dial соединения, то служба будет пытаться назначить IP-адрес для внутреннего входящего интерфейса RAS-соединений - он обозначен как internal. По умолчанию он сконфигурирован на использование DHCP, и при отсутствии этого сервера будет выдаваться ошибка. В этом случае надо для него назначить несколько, минимум 2, IP адреса - это можно сделать на закладке IP в окне главных настроек службы. Если RAS-сервера нет и входящих Demand-Dial соединений не будет (как правило, требуются только исходящие), то эти адреса могут быть любые из Intranet-диапазонов, не пересекающиеся с уже используемыми.

 

Запрещение NetBios для интерфейса internal службы RRAS.

 

Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен (см. выше). Это важно, если используется RAS-сервер для подключения Dial-Up клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы. Появление IP- адреса интерфейса internal в этих регистрациях может привести к проблемам.

 

Для этого редактором реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.

 

Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен список интерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном варианте имена должны регистрироваться только на интерфейсе локальной сети.

 

Замечания по использованию DHCP для внутренней сети:

 

Если клиенты используют DHCP службы NAT, то они получат в настройках шлюз по умолчанию на внутренний интерфейс сервера и IP-адрес DNS- сервера.
У клиентов, если они конфигурируются вручную (не через DHCP), шлюз по умолчанию настраивается на сервер. Если используется поддержка DNS на NAT, то адрес DNS-сервера на клиентах выставляется на внутренний интерфейс сервера. Конечно, можно прописывать и любые внешние DNS-сервера, но это повлечет дополнительный расход трафика.
Если внутренняя сеть состоит из нескольких IP-подсетей, то DHCP от NAT в этом случае не подходит. Используйте DHCP-сервер, имеющийся в серверных версиях Windows.

RAS-сервер и Dial-In соединения.

 

RRAS может использоваться в качестве RAS-сервера - можно организовать небольшой модемный пул или VPN-сервер. Для этого надо в главных настройках службы включить опцию Remote Access Server. Особенности реализации поддержки WAN интерфейсов таковы, что не следует использовать DHCP для назначения адресов клиентам (что стоит по умолчанию), а назначить адресный пул вручную (закладка IP). Причем адреса этого пула должны быть обязательно из отдельной сети.

 

Для таких клиентов также может использоваться NAT. Но для этого надо проделать следующее:

 

С консоли запустить команду netsh routing ip nat add interface internal private. Для русской версии Windows имя этого интерфейса другое, поэтому вместо internal следует писать "внутренний".
После этого появится возможность в конфигурации NAT (см. выше) добавить интерфейс internal как внутренний (ранее в списках его не было).

 

Заметим, что RRAS позволяет клиентам персонально назначать фильтры через свои политики (Remote Access Policies), и NAT для Dial-In можно запрещать выборочно для отдельных клиентов и групп.

 

Более подробно задача настройки RAS (VPN) сервера описана в соответствующем разделе "Настройка RAS (VPN) сервера".

 

PPPoE

 

Кроме VPN (PPTP, L2TP) на базе RAS-сервера можно реализовать небольшой PPPoE-сервер. Имеется неплохой драйвер RasPPPoE (http://www.raspppoe.com), который в режиме концентратора поддерживает работу до 10 клиентов.

 

В Windows 2000 поддержка PPPoE отсутствует. Этот драйвер можно также использовать для клиентского подключения.

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?installrras.htm

Сайт разработчиков Traffic Inspector