Настройка роутинга и доступа в Интернет.
Немного теории. Network Address Translation – технология, обеспечивающая использование несколькими компьютерами одного IP адреса для доступа в Интернет.
Работает это так.
Без NAT: Компьютер обращается к некому узлу к порту 80 открывая при этом свой порт 1234 (все совпадения случайны, имена портов вымышлены
. В случае удачи на этот порт 1234 от удаленного узла начинают поступать пакеты с информацией.
С NAT. Компьютер клиента обращается к шлюзу (сервер с NAT, имеющий доступ в Интернет) и требует соединение и неким IP адресом и портом 80. При этом внутренний порт клиента 1234. Сервер создает собственное соединение с запрошенным адресом (открывая у себя внешний порт 3456). Далее сервер открывает внутренний порт 2345 и делает запись в таблице соответствия – все, что пришло ко мне на порт 3456 выпихнуть во внутреннюю сеть в порт 2345 (а значит и клиенту в порт 1234). Кстати, это основа работы встроенного firewall – если изнутри никто не стукнулся, то внешние запросы сервер не примет.
Запускаем управление сервером (Start | Programs | Administrative Tools | Manage You Server). Выбираем добавление функции серверу (add or remove role) - Remote access/VPN server. Запускается мастер установки RAS. Я рассмотрю ручную настройку всех компонентов (последний пункт). Выбираем, что нам нужно (можно выбрать все сразу, потом проще будет жить). Мастер запускает сервер RAS.
Далее запускаем управление сервером RAS (или через управление компьютером). Теперь по пунктам. По умолчанию мастер поставил по 128 портов для VPN. Это можно скорректировать – Ports | properties. Там же можно отключить Direct Parallel (прямое соединение по параллельному порту). Далее NAT/Basic Firewall. Добавляем новый интерфейс – сетевой мост и указываем, что это внутренний интерфейс. На него же можно повесить IGMP Proxy – IGMP | New interface | brige | IGMP Proxy. Остальные интерфейсы потом нужно будет добавить в режиме роутера.
Теперь создадим подключение к Интернету. Возможны три варианта – модем, сеть+VPN, просто сеть. Второй вариант содержит в себе первый и третий, так что рассмотрю его. Не забудьте поставить ручками ip-адрес сетевой карты, связывающей сервер и ADSL-модем (его надо перевести в режим brige).
Создаем подключение к Интернету в разделе Network Interfaces. Соответственно выбираем тип подключения, устройство, телефон или адрес для VPN, логин и пароль. Далее включите перенаправление пакетов (или потом в static routes) и задайте пул адресов в виде 0.0.0.0/0.0.0.0/1 (кнопка add, по умолчанию ничего менять не нужно). В свойствах интерфейса можно настроить для модема количество повторов звонка и время простоя до отключения. Для VPN можно поставить подключено всегда. Можно так же настроить разные тарифные планы разными интерфейсами и задать для них время активности – в свойствах интерфейса Demain-dial hours. То, что синее – активно, белое – нет.
Для сетевой карты тоже нужно добавить пул адресов для редиректа (0.0.0.0/0.0.0.0/1, в static routes – new static route). В NAT/Basic Firewall добавляем оба интерфейса в режиме NAT. Можно (и нужно) включить firewall – только не забудьте включить доступ к нужным сервисам. На последней вкладке поставьте нужные галочки. Обязательно нужно заполнить адрес для редиректа (127.0.0.1 если сервис работает на этой машине). Firewall здесь не такой, как мы привыкли видеть его на обычном компьютере. Он всего лишь маскирует компьютер, устанавливая связь с узлами Интернета только по требованию из локальной сети. Так что не надейтесь на него – сервер он закроет (попробуйте атаковать то, чего нет
но от разгула троянов и шпионов внутри сети не защитит.
DHCP сервер. Тут ничего сложного нет. Активируем, создаем область (scope, с именем, например, local). В этой области выделяем диапазон адресов. Обычно это выглядит так – адреса 192.168.0.2 – 192.168.0.254 маска 255.255.255.0, исключения 192.168.0.2 – 192.168.0.20 (19 адресов фиксированы) или 192.168.0.21 – 192.168.0.254 маска 255.255.255.0 (то же самое). Теперь самое главное – параметры сервера. Обязательно указать шлюз (default route, 192.168.0.1) и DNS серверы провайдера (start | run | cmd | ipconfig /all, или то, что провайдер выдал).
