Установка и настройка NAT в Windows Server 2003

Посетителей: 60156 | Просмотров: 101235 (сегодня 0) Шрифт:

Общие сведения о NAT

NAT (Network Address Translation — преобразование сетевых адресов) представляет собой стандарт IETF (Internet Engineering Task Force — рабочая группа разработки технологий Интернета), с помощью которого несколько компьютеров частной сети (с частными адресами из таких диапазонов, как 10.0.x.x, 192.168.x.x, 172.x.x.x) могут совместно пользоваться одним адресом IPv4, обеспечивающим выход в глобальную сеть. Основная причина растущей популярности NAT связана со все более обостряющимся дефицитом адресов протокола IPv4. Также многие шлюзы Интернета активно используют NAT, особенно для подключения к широкополосным сетям, например, через DSL или кабельные модемы.

Установка NAT

Для того чтобы выступать в роли маршрутизатора, на сервере должно быть 2 сетевых интерфейса. Интернет и сама сеть, которую необходимо пускать в Интернет. У меня сетевые подключения называются LAN_1 (Internet) и LAN_2 (локальная сеть).

Сразу скажу, что служба Брандмауэр Windows/Общий доступ к Интернету (ICS) должна быть отключена.

Итак, приступим к установке:

Увеличить рисунок

Увеличить рисунок

Увеличить рисунок

Пуск – Программы – Администрирование – Маршрутизация и удаленный доступ (Routing and Remote Access). В контекстном меню выбираем пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access)

Появляется Мастер настройки сервера маршрутизации и удаленного доступа. Этот мастер позволяет вам выбрать различные конфигурации для Routing and Remote Access (RRAS). RRAS может быть настроен как вы захотите, но Microsoft включил несколько шаблонов, чтобы сделать процесс настройки для основных типов установки проще. Но мы выберем Особая конфигурация (Custom configuration)

Выбираем NAT и основной брандмауэр и Маршрутизация ЛВС (NAT and basic firewall и LAN routing)

В конце нажимаем Готово (Finish) на вопрос Хотите запустить службу? (Do you want to start the service?) Нажимаем Да (Yes)

Далее переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Для работы NAT необходимо добавить публичный (подключенный к Интернет) и приватный (локальный) интерфейс. В контекстном меню выбираем Новый интерфейс (New Interface)

В списке интерфейсов выбираем интерфейс, подключенный к Интернету в нашем случае это LAN_1

В появившимся окне, выбираем пункт Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и ставим галочку Включить NAT на данном интерфейсе (Enable NAT on this interface)

Снова идем к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall), в контекстном меню выберите Новый интерфейс (New Interface). В появившимся окне выберите интерфейс локальной или публичной сети

Оставляем это окно без изменений (по умолчанию выбрано Частный интерфейс подключен к частной сети (Private interface connected to private network)). Нажимаем OK.

Настройка NAT

Итак, сетевые интерфейсы мы установили, теперь настроим их.

Первым делом давайте настроим Внешний интерфейс (LAN_1):

1. Нам необходимо настроить IP адреса и маску. Переходим к пункту меню NAT/Простой брандмауэр (NAT/Basic Firewall). Выбираем контекстное меню LAN_1, идем в Свойства (Prefences). Появится окно с вкладками, выбираем Пул адресов (Address Pool). Далее нужно добавить внешний IP-адрес и маску.
2. Закончили составлять список. Далее необходимо зарезервировать IP-адрес (мы зарезервируем один IP). Во вкладке (Address Pool) нажимаем на кнопку Зарезервировать

192.168.0.2 – IP-адрес пользователя, который будет выходить в сеть через наш сервер

10.7.40.154 – внешний IP-адрес сервера

Выходя в Интернет по такой технологии вы будете иметь IP-адрес 10.7.40.154. Есть различные пути настройки, можно каждой машине отдельно резервировать адреса. В резервации можно указывать не один диапазон адресов или не указывать вовсе, тогда любой IP в локальной сети сможет сидеть в Интернете через сервер.

Настраиваем клиентскую машину

Заходим в Свойства локальной сетевой карты, далее Свойства TCP/IP. Прописываем IP клиента, маску, в Основной шлюз (Default gateway) прописываем IP адрес сервера. В полях DNS необходимо прописать IP адреса DNS провайдера или IP адреса установленного локального DNS сервера.

Всё! На этом установка и настройка завершена.

Настройка RRAS для ОС Windows 2000 server/Windows 2003

1. Настройка RRAS (Маршрутизация и удаленный доступ) производится на серверных ОС Windows 2000 server/Windows 2003.

1) Зайдите в пуск / настройка / панель управления / администрирование запустите службу «Маршрутизация и удаленный доступ»

2) Зайдите в свойства «Состояние сервера» и выберите пункт «Добавление сервера». Появится следующие окно (см.рис.). Выбираете пункт «Этот компьютер» и нажимаете кнопку ОК.

3) После чего появится название вашего сервера см. рис. зайдите в его свойства и выберите пункт «Настроить и включить маршрутизацию и удаленный доступ»

4) Появится приветствие «Мастера настройки сервера маршрутизации и удаленного доступа» см. рис., нажимайте далее.

5) Далее выбираем параметр сервера «Сервер подключения к Интернет».

6) Для более полного администрирования сервера выберите параметр «Установить маршрутизатор с протоколом преобразования сетевых адресов (NAT)»

7) Выберите внешнее подключение к Интернет и нажимайте далее. Если его нет в списке, возможно, следует подключиться на время настройки, чтобы соединение было установлено.

8) После чего появится окно завершения конфигурирования сервера. Нажимайте готово.

В разных версиях и локализациях серверных версий Windows могут быть различия в пунктах меню мастера. Если необходима настройка нескольких подключений к провайдерам, то после запуска службы RRAS и добавления сервера перейдите в раздел IP-маршрутизация/NAT — преобразование сетевых адресов (IP Routing/Network Address Translation (NAT)) . В свойствах подключений (они в окне справа) нужно выбрать Общий интерфейс подключен к Интернету (Public interface connected to the Internet) .

9) После запуска службы RRAS, у вас отобразятся параметры службы RRAS (см.рис.). Если Вы собираетесь назначать IP адреса клиентам, Вам необходимо зайти в «IP-маршрутизация»/»NAT-преобразование сетевых адресов». Если Вы используете статические IP адреса клиентов, то пункты 9-13 можете пропустить.

10) В этом окне Вы увидите используемые интерфейсы для преобразования сетевых адресов. Зайдите в свойства «NAT-преобразование сетевых адресов».

11) Выберите вкладку «Назначение адресов»

12) В этом окне выставите галку «Автоматически назначить IP-адреса с использованием DHCP» и укажите необходимый диапазон адресов. Далее выберите вкладку «Разрешение имен в адреса».

13) Если Вы хотите использовать службу DNS то поставьте галку «для клиентов, использующих службу DNS».

2. Проверка настройки NAT. Для проверки правильности настройки NAT мы будем использовать «Командную строку». Проверку осуществляют на одной клиентской машине, но если Вы в чем-то сомневаетесь, не поленитесь проверить на других.

1) Зайдите в ПУСК / ПРОГРАММЫ / СТАНДАРТНЫЕ / и запустите «Командную строку». Путь, который высветится по умолчанию не важен.

2) Пропингуем сначала сервер, он у нас находиться по адресу 192.168.0.1, для этого напишем «ping 192.168.0.1». Если пинг прошел (см рис.), то локальная сеть у нас работает без проблем. Если ответа не произошло: пишет «Превышен интервал ожидания для запроса» или «Заданный узел не доступен» тогда проверьте, лежит ли IP адрес клиента в диапазоне адресов 192.168.0.2-192.168.0.254, что маска подсети у всех одинакова по умолчанию 255.255.255.0, и самое банальное — целостность физического подключения.

3) Далее надо пропинговать внешний интерфейс сервера, для этого мы должны знать его адрес. Хорошо если адрес постоянный и Вы его знаете, тогда этот пункт Вы можете пропустить, а если он выставляется автоматически, тогда его можно узнать, набрав в командной строке на сервере » ipconfig /all» . Здесь мы увидим название нашего подключения к Интернету и его IP адрес.

Или можно щелкнуть по Интернет подключению ПУСК / НАСТРОЙКА / СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ / (START / SETTINGS / NETWORK CONNECTIONS) в появившемся окне нажать вкладку «Поддержка»

Настройка маршрутизации и удаленного доступа для интрасети

В этой статье описывается настройка маршрутизации и удаленного доступа для интрасети.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 323415

Аннотация

В этом пошаговом руководстве описывается настройка службы маршрутизации и удаленного доступа в Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition, чтобы разрешить пользователям, для проверки подлинности, удаленно подключаться к другой сети через Интернет. Это безопасное подключение обеспечивает доступ ко всем внутренним сетевым ресурсам, таким как обмен сообщениями, общий доступ к файлам и печати, а также доступ к веб-серверам. Удаленный символ этого подключения является прозрачным для пользователя, поэтому общий интерфейс использования удаленного доступа аналогичен работе на рабочей станции в локальной сети.

Установка службы маршрутов и удаленного доступа

По умолчанию служба маршрутов и удаленного доступа устанавливается автоматически во время установки Windows Server 2003, но она отключена.

Чтобы включить службу маршрутов и удаленного доступа

Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».

В левой области консоли щелкните сервер, который соответствует имени локального сервера.

Если значок имеет красная стрелка в правом нижнем углу, служба маршрутов и удаленного доступа не включена. Перейдите к шагу 3.

Для зеленой стрелки, указываной вверх в правом нижнем углу, служба включена. В этом случае может потребоваться перенастроить сервер. Чтобы перенастроить сервер, необходимо сначала отключить маршрутику и удаленный доступ. Можно щелкнуть сервер правой кнопкой мыши, а затем нажать кнопку «Отключить маршрутику и удаленный доступ». Нажмите кнопку «Да», когда от него отображат информационное сообщение.

Щелкните сервер правой кнопкой мыши и выберите «Настройка и включить маршрутику и удаленный доступ», чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Нажмите кнопку «Далее».

Щелкните удаленный доступ (подключение или VPN), чтобы разрешить удаленным компьютерам набирать номера или подключаться к этой сети через Интернет. Нажмите кнопку «Далее».

Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа в зависимости от роли, которую вы хотите назначить этому серверу.

На странице VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, и нажмите кнопку «Далее».

На странице «Назначение IP-адреса» сделайте одно из следующих задач:

• Если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, нажмите кнопку «Автоматически» и нажмите кнопку «Далее». Перейдите к шагу 8.
• Чтобы предоставить удаленным клиентам адреса только из заданного пула, щелкните «Из указанного диапазона адресов».

В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP не доступен, необходимо указать диапазон статических адресов. Нажмите кнопку «Далее».

Мастер открывает страницу назначения диапазона адресов.

1. Нажмите кнопку Создать.
2. В поле «Начните ip-адрес» введите первый IP-адрес в диапазоне адресов, которые необходимо использовать.
3. В поле «Конечный IP-адрес» введите последний IP-адрес в диапазоне.

Windows вычисляет количество адресов автоматически. 4. Нажмите кнопку «ОК», чтобы вернуться на страницу назначения диапазона адресов. 5. Нажмите кнопку «Далее».

Примите значение по умолчанию «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку «Далее».

Нажмите кнопку «Готово», чтобы включить службу маршрутов и удаленного доступа, а также настроить сервер удаленного доступа.
После того как вы настроите сервер для получения подключений с подключением к телефонной связи, настроите клиентские подключения удаленного доступа на клиентской рабочей станции.

Настройка клиента для телефонного доступа

Чтобы настроить клиент для телефонного доступа, выполните следующие действия на клиентской рабочей станции.

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

1. Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».
2. В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».
3. Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».
4. Click Dial-up connection, and then click Next.
5. На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».
6. На странице «Номер телефона для набора номера» введите номер телефона для сервера удаленного доступа в диалоговом окне «Номер телефона».
7. Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».
   • Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
   • Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».
8. Нажмите кнопку «Готово», чтобы сохранить подключение.

Настройка клиента для VPN-доступа

Чтобы настроить клиент для доступа к виртуальной частной сети (VPN), выполните следующие действия на клиентской рабочей станции.

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».

В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».

Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».

Щелкните подключение к виртуальной частной сети и нажмите кнопку «Далее».

На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».

Сделайте одно из следующих и нажмите кнопку «Далее».

• Если компьютер окончательно подключен к Интернету, нажмите кнопку «Не набирать начальное подключение».
• Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), нажмите кнопку «Автоматически набрать это начальное подключение». Затем щелкните имя подключения к isP.

Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).

Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».

• Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
• Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».

Нажмите кнопку «Готово», чтобы сохранить подключение.

Предоставление пользователям доступа к серверам удаленного доступа

Политики удаленного доступа можно использовать для предоставления или запрета авторизации на основе таких критериев, как время дня, день недели, членство пользователя в группах безопасности на основе Windows Server 2003 или тип запрашиваемого подключения. Если сервер удаленного доступа является членом домена, эти параметры можно настроить с помощью учетной записи домена пользователя.

Если сервер является автономным сервером или членом группы, пользователь должен иметь локализованную учетную запись на сервере удаленного доступа.

Предоставление прав удаленного доступа отдельным учетным записям пользователей

Если вы управляете удаленным доступом на основе учетной записи пользователя, выполните следующие действия, чтобы предоставить права удаленного доступа:

1. Нажмите кнопку «Начните», выберите пункты «Все программы», «Администрирование» и «Пользователи и компьютеры Active Directory».
2. Щелкните правой кнопкой мыши учетную запись пользователя, для которую необходимо предоставить права удаленного доступа, выберите «Свойства» и перейдите на вкладку «Dial-in».
3. Нажмите кнопку «Разрешить доступ», чтобы предоставить пользователю разрешение на набор номера, а затем нажмите кнопку «ОК».

Настройка прав удаленного доступа на основе членства в группах

Если вы управляете удаленным доступом на уровне группы, выполните следующие действия, чтобы предоставить права удаленного доступа:

1. Создайте группу, содержаную участников, которым разрешено создавать VPN-подключения.
2. Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
3. В дереве консоли разойдите окни «Маршруты» и «Удаленный доступ», разойдите имя сервера и выберите «Политики удаленного доступа».
4. Щелкните правой кнопкой мыши правую области, найдите пункт «Новый» и выберите пункт «Политика удаленного доступа».
5. Нажмите кнопку «Далее», введите имя политики и нажмите кнопку «Далее».
6. Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа, а затем нажмите кнопку «Далее».
7. Нажмите кнопку «Добавить», введите имя группы, созданной на шаге 1, и нажмите кнопку «Далее».
8. Следуйте инструкциям на экране, чтобы завершить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к сети телефонного доступа, не удаляйте политику по умолчанию; вместо этого переместим его так, чтобы она была последней оцениваемой политикой.

Создание удаленного подключения

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

На клиентской рабочей станции нажмите кнопку «Начните», выберите «Сетевые подключения», а затем щелкните созданное новое подключение.

В поле «Имя пользователя» введите имя пользователя.

Если сеть, к которой нужно подключиться, имеет несколько доменов, может потребоваться указать имя домена. Используйте формат domain_name \ в поле «Имя пользователя».

В поле «Пароль» введите пароль.

Если используется подключение с телефонным подключением, проверьте номер телефона, указанный в диалоговом окне, чтобы убедиться, что он правильный. Убедитесь, что указаны дополнительные номера, необходимые для получения внешней линии или для набора большого расстояния.

Click Dial or Connect (for VPN connections).

Компьютер устанавливает подключение к серверу удаленного доступа. Сервер аутентификация пользователя и регистрация компьютера в сети.

Устранение неполадок

В этом разделе описывается, как устранить некоторые проблемы, которые могут возникнуть при попытке настроить удаленный доступ.

Доступны не все параметры конфигурации для телефонного номера пользователя

Если домен на основе Windows Server 2003 использует смешанный режим, доступны не все параметры конфигурации. Администраторы могут предоставлять или запретить доступ только пользователю, а также указывать параметры ответа на вызовы, которые являются настройками разрешений доступа, доступными в Microsoft Windows NT 4.0. Оставшиеся параметры становятся доступными после переключения домена в режим native.

Пользователи могут связываться с сервером, но без проверки подлинности

Убедитесь, что учетной записи пользователя предоставлено разрешение на удаленное подключение и проверку подлинности с помощью Active Directory, как описано в разделе 2. Сервер удаленного доступа также должен быть членом группы «Серверы RAS и IAS».

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

323381 Как разрешить удаленным пользователям доступ к сети в Windows Server 2003