wwwoldi.ru

About Me

Dashy

Hello word I am dashy Guy

Разное

Windows server 2020 r2 настройка nat: Windows Server. Настройка NAT + DHCP.

alexxlab
No Comments

Содержание

Как настроить NAT в routed сетях

В инструкции описан процесс настройки NAT для преобразования IP-адресов в маршрутизируемых сетях.

Что такое NAT?

NAT (Network Address Translation) — это процесс при котором сетевое устройство, например маршрутизатор, назначает публичный адрес серверу внутри частной сети. Основное использование NAT — это ограничение количества публичных IP-адресов, которые должна использовать организация или компания, в целях экономии IP-адресов и безопасности.

Как добавить NAT правило?

После создания маршрутизируемой сети и подключению к ней виртуальных серверов перейдите на вкладку NAT. Нажмите кнопку Добавить.

Перед вами появится новое окно в котором необходимо выбрать тип правила SNAT или DNAT.

SNAT

SNAT или Source NAT позволяет изменить исходный IP-адрес сетевого пакета на другой IP-адрес.

Использование SNAT позволяет увеличить безопасность и сохранить конфиденциальность, поскольку маскируются и скрываются частные IP-адреса устройств.

Для создания правила такого типа в поле NAT Type выберете SNAT. В поле Description введите удобное описание. В качестве OriginalIp укажите локальный адрес сервера, который нужно преобразовать. TranslatedIp — это белый IP-адрес маршрутизатора в сети, который вводится автоматически и не может быть изменен.

Флаг Enable служит для включения или отключения правила. Если флаг установлен, то правило включено.

DNAT

DNAT или Destination NAT используется для преобразования целевого IP-адреса сетевого пакета в другой IP-адрес. Используя DNAT, можно скрыть внутренний IP-адрес приложения и заменить его другим IP-адресом, что делает его более безопасным.

Для создания правила такого типа в поле NAT Type выберете DNAT.

В поле Description введите удобное описание.
OriginalIp — это белый IP-адрес маршрутизатора в сети, который вводится автоматически, этот адрес будет преобразован.

В качестве TranslatedIp укажите локальный адрес сервера, для которого нужно выполнить преобразование.

В выпадающем списке Protocol выберете нужный протокол.
OriginalPort — это порт маршрутизатора, на который поступают пакеты данных.

В качестве TranslatedPort укажите порт локального сервера, к которому нужно выполнить преобразование.

Флаг Enable служит для включения или отключения правила. Если флаг установлен, то правило включено.

Примечание: если TranslatedPort выбран Any, то и OriginalPort автоматически принимает значение Any. При этом TranslatedPort может может иметь конкретное значение, если OriginalPort выбран Any.

В результате созданные правила отобразятся в списке в панели управления.

Редактирование NAT правил

Для редактирования правила выберете нужное и кликните на его поле NAT type (показано на изображении ниже).

После внесения изменений не забудьте сохранить правило.

Удаление NAT правил

Удалить каждое правило можно с помощью кнопки Крестик.

Подтвердите свои действия для удаления правила.

 

P. S. Другие инструкции:

Поделиться в соцсетях:




Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже

ru


191014
Санкт-Петербург
ул. Кирочная, 9

+7(812)313-88-33

235
70

1cloud ltd

2019-01-22
Настройка NAT в панели управления


191014
Санкт-Петербург
ул. Кирочная, 9

+7(812)313-88-33

235
70

1cloud ltd

2019-01-22
Настройка NAT в панели управления

600
auto

Настройка интернет-шлюза с NAT и Port Forwarding на CentOS 7

В этой статье мы рассмотрим процесс организации и настройки простого интернет-шлюза на базе CentOS 7.x. Данный шлюз позволит пользователям из локальной сети выходить в Интернет, а также получать доступ к серверам или компьютерам во внутренней сети снаружи. Для организации маршрутизации и пересылки пакетов мы будем использовать технологию NAT на базе межсетевого экрана iptables. Также рассмотрим, как вести и анализировать логи подключений на интернет-шлюзе при доступе внешних пользователей в локальную сеть.

Схема локальной сети со шлюзом доступа в Интернет, типы NAT

NAT (Network Address Translation) – трансляция IP адресов, это механизм, позволяющий подменять адрес источника и назначения в заголовке IP пакетов, при их прохождении через маршрутизатор, т.е. между разными сетями.

Настраивать NAT будем между внутренней сетью с адресацией 10.2.0.0/24 и внешней сетью Интернет, двух видов:

  • source NAT – это подмена IP адреса источника, в нашем случае, для организации выхода в Интернет через один публичный IP адрес нескольких клиентов.
  • destination NAT — подмена IP адреса назначения, в нашем случае, для обеспечения доступа из внешней сети Интернет через публичный IP адрес к серверам внутренней сети.

Определим элементы сети (рисунок 1), между которыми будет организован NAT:

  • gw-server – сервер шлюз, т.е. наш CentOS Linux сервер, который предоставляет доступ за пределы внутренней сети. У него два интерфейса, первый eth2(10.2.0.1) во внутренней сети, второй eth0(84.201.168.122) с публичным IP адресом и доступом в Интернет;
  • web-server01 – веб сервер внутренней сети, IP адрес 10.2.0.11;
  • my-server01 – личный сервер внутренней сети, IP адрес 10.2.0.12.

Примечание: для серверов внутренней сети web-server01 и myserver01 маршрут по умолчанию установлен на интерфейс eth2(10.2.0.1) сервера gw-server01.

Настройка Source NAT: доступ из локальной сети в Интернет

При source NAT для серверов внешней сети, запросы от наших клиентов из внутренней сети будут выглядеть так, как будто с ними общается напрямую сервер шлюз — gw-server01.

В прошлой статье “Базовая настройка файервола Linux с помощью iptables” мы рассмотрели азы использования iptables. В этот раз, работать в iptables будем не только с таблицей filter, но и с таблицей nat. В отличие от таблицы для фильтрации трафика filter, таблица nat содержит следующие chains(цепочки):

  • PREROUTING — в этой цепочке обрабатываются входящие IP пакеты, до их разделения на предназначенные для самого сервера или для передачи другому, т.е. до принятия решения о выборе маршрута для IP пакета;
  • OUTPUT – цепочка предназначена для обработки IP пакетов, которые сгенерированы локально приложением на сервере. Локально сгенерированные IP пакеты не проходят цепочку PREROUTING;
  • POSTROUTING — в этой цепочке обрабатываются все исходящие IP пакеты, уже после принятия решения о маршруте для IP пакета.

Отличаются и действия, выполняемые для IP пакетов, в этой таблице:

  • MASQUERADE и SNAT— производит подмену IP адреса источника для исходящих пакетов. Отличием этих действий является то, что SNAT дает возможность задать конкретный IP адрес нового источника, а в случае MASQUERADE это происходит динамически;
  • DNAT — производит подмену IP адреса назначения для входящих пакетов.

Важно: действие MASQUERADE и SNAT задается только для цепочки POSTROUTING, а действие DNAT только для цепочек PREROUTING или OUTPUT.

На рисунке 2 изображены этапы обработки IP пакета из внутренней сети на шлюзе gw-server01 при SNAT на iptables. IP адрес и порт назначения при этом остаются неизменными.

Рисунок 2

  1. IP пакет поступил на внутренний интерфейс eth2 сервера gw-server01. Так как IP назначения не принадлежит серверу gw-server01, IP пакет переходит к обработке цепочкой FORWARD.
  2. После прохождения цепочки FORWARD, для IP пакета определяется исходящий сетевой интерфейс, с которого он должен быть отправлен, это отмечено желтым цветом
  3. В конце IP пакет проходит цепочку POSTROUTING, в которой происходит подмена IP адреса источника, на IP адрес внешнего интерфейса eth0 сервера gw-server01

Приступим к настройке. Сначала нужно установить параметр ядра, который позволяет передавать пакеты между интерфейсами сервера. Для этого в файл /etc/sysctl.conf добавим переменную:

net.ipv4.ip_forward = 1

Чтобы применить изменения, выполним команду

sysctl -p /etc/sysctl.conf

здесь sysctl это команда, которая позволяет управлять параметрами ядра, ключ -p означает, что нужно считать параметры из файла.

Создадим правило в iptables, разрешающее передачу пакетов между внутренним (eth2) и внешним (eth0) интерфейсом:

iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

и разрешим передавать между интерфейсами пакеты, относящиеся к уже установленным соединениям.

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Предыдущие два правила имеет смысл создавать, только если для цепочки FORWARD по умолчанию установлена политика DROP:

iptables -P FORWARD DROP

Включение SNAT:

iptables -t nat -A POSTROUTING -s 10.2.0.0/24 -o eth2 -j SNAT --to-source 84.201.168.122

  • —to-source должен быть адресом на интерфейсе, с которого планируется выпускать во внешнюю сеть IP пакеты;
  • -s 10.2.0.0/24 задано из расчета, что внутренняя сеть 10.2.0.0/24, но это необязательный параметр, если его не указать, ограничений на источник взаимодействия не будет.

Посмотрим получившуюся конфигурацию для таблицы filter и цепочки FORWARD (вывод обрезан):

iptables -L -n -v

и конфигурацию для таблицы nat и цепочки POSTROUTING (вывод обрезан):

iptables -t nat -L -n -v

Для проверки, что наш веб-сервер во внутренней сети получил доступ в Интернет, попробуем подключиться через telnet на адрес 1.1.1.1 (Cloudflare DNS) порт 80:

telnet 1.1.1.1 80

Вывод команды Connected 1.1.1.1, показывает, что подключение прошло успешно.

Настройка Destination NAT и port forwarding: доступ из Интернета в локальную сеть

Теперь рассмотрим обратную ситуацию. Мы хотим, чтобы клиенты снаружи имели возможность попадать на наш сайт во внутренней сети. А также нам нужно заходить на свой личный сервер (или рабочую станцию) из Интернета. Отличие этого случая не только в направлении взаимодействия, но еще и в том, что требуется перенаправить запросы на отдельные порты, 80(TCP) и 3389(TCP), при этом подменять сервер назначения и возможно, порт назначения. Эта техника называется port forwarding (проброс портов).

Сначала разрешим передачу пакетов с внешнего интерфейса (eth0) на внутренний (eth2) интерфейс:

iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT

Это правило разрешает передавать IP пакеты между интерфейсами независимо от источника. Но можно отдельным правилом запретить подключение через NAT для отдельных IP адресов или подсетей:

iptables -I FORWARD 1 -o eth2 -s 167.71.67.136 -j DROP

Внимание: здесь в команде используется ключ –I вместо –A. Ключ –I позволяет добавить правило по определенному номеру в последовательности правил цепочки, указав индекс. Например, в команде выше, индекс единица в цепочке FORWARD, то есть, правило будет добавлено в начало цепочки. Если это правило будет добавлено в конец, оно не сработает, так как IP пакет будет обработан предыдущим правилом, разрешающим любые источники взаимодействия, и на этом его прохождение по цепочке FORWARD будет завершено.

Теперь перенаправим все соединения на порт 80 интерфейса внешней сети(eth0) на IP адрес веб сервера внутренней сети web-server01:

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.11

—to-destination — должен быть IP адресом, на который нужно заменить IP адрес назначения.

Для проверки, попробуем подключиться из сети Интернет через telnet на публичный IP адрес сервера gw-server на порт 80:

telnet 84.201.168.122 80

Результатом будет ответ веб сервера web-server01 из нашей внутренней сети:

HTTP/1.1 400 Bad Request
Server: nginx/1.14.2
Date: Wed, 31 Jul 2019 10:21:21 GMT
Content-Type: text/html
Content-Length: 173
Connection: close

Аналогично можно настроить доступ из интернета на свою рабочую станцию по RDP. Так как доступ по RDP будет нужен ограниченному количеству человек, безопасней будет использовать при подключении нестандартный порт, например 13389, а уже с него перенаправлять на порт 3389 сервера внутренней сети (либо изменить номер RDP порта на Windows компьютере). Измененный порт назначения указывается через двоеточие после IP адреса:

iptables -t nat -A PREROUTING -p tcp --dport 13389 -i eth0 -j DNAT --to-destination 192.168.0.12:3389

Для проверки, попробуем подключиться из сети Интернет через telnet (или командлет PowerShell Test-NetConnection) на публичный IP адрес сервера gw-server на порт 13389:

telnet 84.201.168.122 13389

В ответ получим пустой экран и курсор, это говорит о том, что соединение работает.

Анализ логов сетевых подключений NAT в Linux

Одним из моментов, для повышения уровня безопасности после настройки port forwarding на наш личный сервер из внешней сети, будет сборка и анализ логов внешний подключений. Ведь кроме нас, этим доступом может попробовать воспользоваться злоумышленник.

Сначала включим запись в лог файл /var/log/messages все попытки соединений на используемый нами нестандартный RDP порт:

iptables -I INPUT 1 -p tcp --dport 13389 -m state --state NEW -j LOG --log-prefix "NEW RDP SESSION"

Подключимся к нашему личному серверу, чтобы в логе появилась запись. Теперь отфильтруем все записи в лог файле, которые нам нужны:

cat /var/log/messages | grep "NEW RDP SESSION"

kernel: NEW RDP SESSION IN= OUT=eth2 SRC=167.71.67.79 DST=84.201.168.122  LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16270 DF PROTO=TCP SPT=60836 DPT=13389 WINDOW=29200 RES=0x00 SYN URGP=0

Читать такой лог не очень удобно, тем более каждый день. Поэтому, следующим шагом, автоматизируем анализ логов, чтобы регулярно получать отчеты, на основе нашего фильтра. Для этого воспользуемся утилитой Logwatch, ее установка через стандартный менеджер пакетов yum:

yum install logwatch

Сначала попробуем сгенерировать отчет вручную:

/usr/sbin/logwatch --detail low --service iptables --range today

здесь,

  • —service — задает конкретный сервис, сообщения от которого нужно анализировать, в нашем случае, только от iptables;
  • —range — указывает период выборки данных, today – все события за сегодня;
  • —detail — степень детализация отчета (high, med, low).

По умолчанию logwatch отобразит отчет на экран, получим примерно такой вывод:

--------------------- iptables firewall Begin ------------------------
Listed by source hosts:
Logged 2 packets on interface eth2
From 167.71.45.65 - 2 packets to tcp(13389)
---------------------- iptables firewall End -------------------------

Отчет работает, осталось выполнять его по расписанию, раз день и отправлять себе на email, для этого обновим команду и запишем ее в файл /etc/cron.daily/00logwatch:

/usr/sbin/logwatch --output mail --mailto [email protected] --detail low --service iptables --range yesterday

Здесь добавились опции:

—output — указывает способ вывода отчета, mail – отправить на почту;

—mailto — e-mail адрес получателя отчета.

Настройка NAT в Windows server 2012-2016 » Блог Андрея Бондаренко

Доброго времени суток, уважаемые читатели. Сегодня у нас тема: «Настройка NAT в Windows server 2012-2016». Всё так же две ОС, в одной статье. Мы установим необходимую роль, и сделаем базовую настройку NAT.

Установка и базовая настройка маршрутизации NAT, в Windows Server 2012-2016

Предварительно, сделайте настройку всех Ваших сетевых адаптеров.

Установка роли «Удалённый доступ»
  • Открываем диспетчер устройств, и заходим в «Добавить роли и компоненты».
  • Жмём «Далее», на памятке мастера.
  • В выборе типа установки, нас интересует «Установка ролей и компонентов».
  • Жмём «Далее».

Выбор целевого сервера.

  • Выбираем нужный сервер, или виртуальный жёсткий диск.
  • Жмём «Далее».

Выбор ролей сервера.

  • Выбираем «Удалённый доступ».
  • Жмём «Далее».

Выбор компонентов.

  • Если нужно, что то дополнительно, выбираем и жмём «Далее».

Информативное окно об удалённом доступе.

Выбор служб ролей.

  • Выбираем «Маршрутизация».
  • Появляется окно, с компонентами необходимыми для маршрутизации.
  • Жмём «Добавить компоненты».
  • В окне выбора ролей, жмём «Далее».
  • Информативное окно, о роли устанавливаемого веб сервера, который необходим для работы маршрутизации.
  • Жмём «Далее».
  • В окне выбора служб ролей жмём «Далее».

Подтверждение установки компонентов.

  • Проверяем, если всё верно, жмём «Установить».
  • Начинается процесс установки.
  • Ждём завершения, и жмём «Закрыть».
Настройка маршрутизации и удалённого доступа
  • В области уведомлений диспетчера сервера, находим раздел «Средства».
  • Кликаем по нему, и заходим в раздел «Маршрутизация и удалённый доступ».
  • В открывшейся консоли, кликаем правой кнопкой мышки на нашем сервере, и в выдающем меню жмём на «Настроить и включить маршрутизацию и удалённый доступ».
  • Открывается окно мастера, жмём «Далее».

Конфигурация.

  • Выбираем «Преобразование сетевых адресов NAT».
  • Жмём «Далее».

Подключение к интернету на основе NAT.

  • Выбираем первый вариант, а в списке интерфейсов, тот который имеет подключение к интернету.
  • Жмём «Далее».

Службы преобразования имён и адресов.

  • Так же, выбираем первый вариант «Включить базовые службы».
  • Жмём «Далее».

Назначение диапазонов адресов.

  • Система, исходя из подключения вашего сетевого адаптера, определяет диапазон адресов, которым будет обеспечена поддержка маршрутизации.
  • Жмём «Далее».
  • В последнем окне мастера, жмём «Готово».
  • Начинается запуск необходимых служб.
  • По окончании, в окне консоли, появляется сообщение, о том, что служба маршрутизации и удалённого доступа настроена на этом сервере.

Для проверки работы маршрутизации, можно на любом компьютере Вашей локальной сети, в качестве основного шлюза указать адрес сервера, на котором Вы запустили NAT. Компьютер получит доступ в интернет.

Сегодня мы рассмотрели тему: «Настройка NAT в Windows server 2012-2016». Добавили необходимую роль, установили нужные компоненты, и сделали базовую настройку.

Надеюсь статья была вам полезна. До встречи в новых статьях.

С уважением, Андрей Бондаренко.

Видео на тему «Настройка NAT в Windows server 2016»:

Настройка маршрутизатора на базе Windows Server 2012 R2

В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями,  маршрутизатор на базе Windows Server вполне себе приемлемое решение.

Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:

Сетевая карта 1 (сетевая карта подключена во внутреннюю LAN сеть):

Имя: LAN

IP: 10.0.1.1

Сетевая карта 2 (сетевая карта во внешней сети ):

Имя: Internet

IP: 192.168.1.20

Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю  подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.

Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс  настройки практически не изменился.

В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access,  в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install).

После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access.

В открывшемся окне выбираем пункт Network Address Translation (NAT).

На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера.

Далее будет предложено указать  должен ли NAT роутер  обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся.

На этом базовая  настройка маршрутизации на  Windows Server 2012 R2 завершена.  Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).

Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).

Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping  или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными.

Примечание. Windows Server 2012 R2 поддерживает статическую маршрутизацию, протокол динамической маршрутизации  RIPv2 и BGPv4. Поддержка OSPF была прекращена еще в Windows Server 2008.

В нашем случае на сервере осуществялется  статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes,  выберите пункт меню New static route и создайте новое статическое правило маршрутизации.

Примечание. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.

Windows Server 2012. Установка и настройка NAT.

Вступление.

В этой статье будет описана установка NAT, давайте разберёмся что это такое.

Аббревиатура NAT расшифровывается как Network AddressTranslation (преобразование сетевых адресов). Допустим у вас есть два или больше компьютеров объеденённых между собой в локальную сеть. Один из этих компьютеров имеет доступ в интернет и нам бы хотелось дать доступ в интернет другим компьютерам из нашей сети. Существует множество программ (прокси серверов) которые могут помочь нам решить эту задачу но во первых, эти программы стоят денег а их бесплатные аналоги зачастую не имеют поддержки со стороны разработчиков а так же мало документированны. А во вторых, самый большой минус в использовании таких программ в том, что вам придётся настраивать приложения на клиентских компьютерах для работы с прокси сервером, при этом не все программы поддерживают такой режим работы. Вот тут то нам на помощь приходит NAT. Он позволяет создать прозрачный прокси сервер, то есть программы которые выходят в интернет через NAT думают что компьютер подключён к интернету на прямую. Давайте установим NAT и посмотрим его в действии.

Установка роли “удалённый доступ”.

У нас есть компьютер (для простоты обозначения назовём его SERVER) с двумя сетевыми адаптерами, первый подключен к интернету, второй смотрит в локальную сеть. Я буду показывать настройку NAT на компьютере под управлением Windows Server 2012. Для того что бы добавить на сервере роль NAT для начала нужно запустить “Диспетчер сервера” (Пуск -> Администрирование –> Диспетчер сервера).

Из диспетчера сервера windows мы можем управлять нашим сервером добавляя или удаляя роли. Нажмите “Добавить роли и компоненты” после чего откроется мастер добавления ролей на первой странице которого вам напомнят что необходимо проверить перед началом работы. Нажимаем “Далее” и мастер нам предложит выбрать тип установки, нам даётся два варианта “установка ролей и компонентов” или “установка служб удалённых рабочих столов”, нас интересует первый вариант, выбираем жмём “Далее”. На этой странице мастер спросит нас куда мы хотим добавить роль, на сервер или виртуальный жёсткий диск, выбираем сервер и нажимаем “Далее”.

Теперь мастер предлагает выбрать нам роль которую мы хотим установить на сервер, ставим галочку напротив “Удалённый доступ” и тут же выскакивает окно в котором мастер сообщает нам что для установки этой роли необходимо установить дополнительные средства, нажимаем “Добавить компоненты” окно дополнительных компонентов исчезает и мы жмём “Далее”.

Следующим шагом мастер предлагает нам добавить компоненты сервера, здесь нам ничего выбирать не нужно так что просто жмём “Далее” и на следующей странице мастер показывает нам описание роли “ Удалённый доступ” в очередной раз нажимаем “Далее”.

Теперь мастер предлагает выбрать “службы ролей для установки удалённый доступ”, выделяем галочкой “Маршрутизация” и жмём далее.

Следующим шагом, мастер покажет нам описание роли “Веб сервер IIS”, эта роль является обязательной и без неё роль “Удалённый доступ” не может быть добавлена. Нажимаем “Далее”, на следующей странице можно выбрать службы для роли “Веб сервер IIS”, снова нажимаем “Далее”.

На этом шаге мастер показывает нам какие роли и службы будут установлены на сервер, так же сверху можно поставить галочку которая отвечает за немедленную перезагрузку сервера по окончанию установки, если это требуется. После того как будет нажата кнопка “Установить” начнётся процесс установки роли на сервер.

После того как мастер закончит установку новой роли на сервер нажмите “Закрыть”.

Установка NAT.

После того как роль была установлена нам следует настроить NAT, для этого мы запускаем оснастку “Маршрутизация и удалённый доступ” (Пуск -> Администрирование -> Маршрутизация и удалённый доступ). Затем вызываем контекстное меню и выбираем “Настроить и включить маршрутизацию и удалённый доступ” после чего запускается “мастер настройки сервера маршрутизации и удалённого доступа” он то нам и поможет настроить NAT.

На первой странице мы увидим краткое описание мастера и нажмём “Далее”. На втором шаге мастер предлагает нам выбрать одну из служб которые будут запущены на сервере, выбираем “преобразование сетевых адресов (NAT)” и жмём “Далее”. После чего мастер нам предложить выбрать сетевое соеденение которое смотрит в интернет (для наглядности я назвал свои сетевые подключения соответственно). Так же нам предлагается вариант подключения по требованию, его следует выбирать если вы осуществляете выход в интернет с помощью модема или подключения которое необходимо активировать в ручную. Выбираем нужное подключение и жмём “Далее”.

На этом этапе мастер предупреждает что ему не удалось обнаружить в нашей локальной сети службыDNS или DHCP и предлагает нам два варианта развития событий:

  1. 1.Включить базовые службы назначения адреса и сопоставления имён
  2. 2.Установить службы сопоставления имён и адресов позднее

Нам подходит первый вариант, т.к. в нашей сети не установлены службы преобразования имён DNS и все имена будут преобразовывать DNS сервера нашего провайдера. Второй вариант подойдёт тем у кого в сети есть свой DNS сервер. Выбираем первый вариант и нажимаем “Далее”. На следующей странице мастер сообщит вам в каком диапазоне будет работать NAT, этот диапазон мастер составил исходя из конфигурации вашего сетевого подключения смотрящего в локальную сеть (у меня это подключение называется LOCAL). Нажимаем “Далее” и видим завершающий этап мастера “сервера маршрутизации и удалённого доступа”. На этом экране мастер показывает для какого подключения настроен NAT и на какой диапазон адресов этот NAT будет вещать. Нажимаем “Готово”, мастер внесёт нужные изменения после чего завершит свою работу и перед вами предстанет оснастка “Маршрутизация и удалённый доступ” с настроенным NAT. Поздравляю, вы настроили NAT!

Настройка клиентской машины.

Отлично теперь у вас в сети появился NAT сервер, но на остальных компьютерах в вашей локальной сети так и не появился интернет! В чём же дело спросите вы? А всё дело в том что нужно настроить сетевое подключение для компьютеров которым вы планируете разрешить доступ в интернет(для простоты обозначения назовём эти компьютеры клиентскими). Для того что бы настроить сетевое подключение на клиентском компьютере нам нужно открыть папку “Сетевые подключения” (Пуск -> Панель управления -> Центр управления сетями и общим доступом -> изменение параметров адаптера). Далее если у вас несколько подключений на клиентском компьютере, выбираем то которое смотрит в локальную сеть, вызываем контекстное меню и нажимаем “свойства”. Выбираем “Протокол Интернета версии 4 (TCP/IPv4)”и нажимаем свойства.

В после “Основной шлюз” указываем IP адрес SERVER (Компьютер на котором запущен NAT), а в поле “Предпочитаемый DNS-сервер” указываем DNS сервер провайдера(его можно посмотреть в сведениях подключения к интернету на SERVER). После чего нажимаем “OK”, затем ещё раз “OK”. Подключение применит новые настройки и на клиентском компьютере появится доступ в интернет. Проверяем:

Вуаля, всё работает!

Заключение.

В этой статье была рассмотрена установка и конфигурирование NAT на компьютере который стал шлюзом в интернет для остальных компьютеров локальной сети. Так же в статье были рассмотрены настройки на клиентских компьютерах которым был открыт выход в интернет.

Настройка маршрутизатора на основе Windows Server 2012R2

Настройка маршрутизатора на основе Windows Server 2012R2

В статье показано как настроить ОС Windows Server 2012 R2 в качестве маршрутизатора. Настраиваемый сервер имеет 2 физических сетевых интерфейса. Каждому сетевому интерфейсу будет назначен статический IP адрес из разных подсетей. Для удобства, сетевые интерфейсы можно переименовать.

Сетевая карта 1 (сетевая карта подключена во внутреннюю сеть):
Имя: in
IP: 10.0.100.1
Сетевая карта 2 (сетевая карта во внешней сети):
Имя: out
IP: 172.16.0.1

Цель: организовать маршрутизацию пакетов из локальной сети 10.0.100.1 во внешнюю сеть 172.16.0.1.

Для начала необходимо добавить новую роль «Удаленный доступ» (Remote Access) на сервере, для этого откроем консоль «Диспетчер серверов» (Server Manager):

Выбираем Manage ->  «Добавить роли и компоненты»(Add Roles and Features), выбираем галкой роль «Удаленный доступ» (Remote Access):

В составе роли выбираем службу «Маршрутизация» (Routing), по умолчанию должны установиться дополнительные компоненты, соглашаемся, и запускаем ее установку (Install):

После окончания установки роли открываем консоль «Маршрутизация и удаленный доступ»(Routing and Remote Access) (Ctr + R, rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access).

В окне мастера выбираем пункт «Подключение на основе NAT» (Network Address Translation, NAT)

Далее выбираем сетевой интерфейс, подключённый ко внешней сети (или Интернету) (в примере это сетевой интерфейс out с ip 172.16.0.1). Данный сетевой интерфейс будет «публичным интерфейсом» нашего NAT.

Далее будет предложено указать  должен ли NAT, обеспечить клиентов внутренней сети службами DHCP\DNS. Обычно, данный функционал во внутренней сети уже присутствует, поэтому выбираем пункт «Установить службы сопоставления имен и адресов позднее».

Завершение мастера сервера маршрутизации и удаленного означает, что базовые настройки маршрутизации на Windows Server 2012 R2 завершены. В данной конфигурации сервер должен выполнять маршрутизацию пакетов между двух подсетей, при этом выполнять трансляцию сетевых адресов (NAT).

Чтобы убедиться что функционал работает:

  1. В консоли «RRAS» откройте свойства сервера, вкладку «Общие» (General) и убедитесь, что IPv4 маршрутизация включена и счетчики входящих и выходящих байтов увеличиваются.
  2. Проверить работу маршрутизации можно, указав на клиентском ПК во внутренней сети (к которой подключен сетевой интерфейс «in») в качестве шлюза IP-адрес сервера (10.0.100.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или в интернете. Команда ping должна быть успешна.

Примечание. Если нужно добавить новый маршрут, щелкните в меню «Статические маршруты»,  выберите пункт меню «новый статический маршрут» (New static route) и создайте новое статическое правило маршрутизации. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.

 

Вконтакте

Одноклассники

Мой мир

Facebook

E-mail

Настройка NAT сети на виртуальном коммутаторе Hyper-V


Виртуальный коммутатор Hyper-V в Windows Server 2016 / Windows 10 имеет встроенную поддержку организации NAT подключения, когда виртуальные машины подключаются к внешнему миру через NAT. Данная функция не настраивается через графический интерфейс Hyper-V, настроить NAT коммутатор можно только через консоль PowerShell. Рассмотрим, как включить NAT на виртуальном коммутаторе Hyper-V.

Требования:

  • В качестве платформы используется Windows 10 или Windows Server 2016
  • Включенная роль Hyper-V
  • Наличие PowerShell (настройка через GUI не возможна)

Создадим виртуальный коммутатор Hyper-V

New-VMSwitch –SwitchName “NATSwitch” –SwitchType Internal

Настроим IP адрес шлюза NAT (это тот самый виртуальный адаптер, который создался при создании внутреннего виртуального коммутатора).

New-NetIPAddress –IPAddress 192.168.1.1 -PrefixLength 24 -InterfaceAlias "vEthernet (NATSwitch)"

Теперь можно настроить правило NAT.

New-NetNat –Name MyNATnetwork –InternalIPInterfaceAddressPrefix "192.168.1.0/24"

После, того, как вы создали сеть NAT, вы можете использовать ее для подключения виртуальных машин. Их адреса должны находится в диапазоне от 192.168.1.2-192.168.1.254.

Далее можно создать правило перенаправления NAT. Чтобы перенаправить трафик, приходящий на определенный порт хоста Hyper-V в гостевую ОС одной из виртуальных машин, выполните следующую команду (правило в примере перенаправляет трафик, пришедший на 80 порт хостового Hyper-V, на 80 порт виртуальной машины с адресом 192.168.1.20

Add-NetNatStaticMapping -NatName "VMSwitchNat" -Protocol TCP -ExternalIPAddress 0.0.0.0 -InternalIPAddress 192.168.1.20 -InternalPort 80 -ExternalPort 80

Если нужно перенаправить трафик на другой порт (к примеру, чтобы перенаправить трафик на 443 порт), выполните команду:

Add-NetNatStaticMapping -NatName "VMSwitchNat" -Protocol TCP -ExternalIPAddress 0.0.0.0 -InternalIPAddress 192.168.1.23 -InternalPort 80 -ExternalPort 443

Совет. Кроме NAT, ВМ могут использовать подключение к интернету и самой хостовой ОС. Настройка описана в статье: Интернет в виртуальной машине Hyper-V .

Настройка Windows Server 2016 в качестве NAT-маршрутизатора — Знакомство с ИТ

В этой статье я настрою Windows Server 2016 в качестве NAT-маршрутизатора для маршрутизации трафика между моей виртуальной лабораторией LAN и Интернетом. Обратите внимание, что эта статья была написана в контексте конфигурации, используемой в моей виртуальной лаборатории. Вам придется адаптировать его к настройкам вашей сети. Кроме того, вам понадобится DHCP-сервер для предоставления IP-адресов вашим клиентским компьютерам и DNS-сервер, чтобы ваши клиентские компьютеры могли разрешать имена.В качестве краткого справочника моя среда LAB выглядит следующим образом:

Если вы хотите продолжить эту статью, вы можете прочитать, как установить Windows Server 2016, а после установки прочитать, как переименовать сервер, чтобы что вы можете определить его основную роль по названию. Я назвал свой SRVGW01 (GW = Gateway).

Сервер должен иметь два сетевых адаптера, один из которых настроен для внутренней сети (LAN), а другой — для доступа в Интернет. Я назову это WAN.

Первое, что я сделаю, это переименую сетевые интерфейсы, чтобы лучше их идентифицировать.

Настройка сетевых адаптеров

Откройте «Настройки»

Выберите «Сеть и Интернет»

И выберите «Изменить параметры адаптера»

из раздела «Подключения» В окне довольно легко определить, что такое LAN-соединение (Неопознанная сеть) и WAN-соединение (ниже обозначено как Сеть). Давай переименуем их. Выберите соединение, которое нужно переименовать, и нажмите кнопку «Переименовать это соединение».Переименуйте их соответствующим образом.

Это должно выглядеть так:

Адаптер локальной сети должен быть настроен со статическим адресом, а адаптер глобальной сети должен быть настроен на DHCP. Адрес, настроенный на адаптере LAN, — это адрес, который клиентские компьютеры будут использовать в качестве шлюза. Щелкните правой кнопкой мыши адаптер LAN и выберите «Свойства».

Выделите «Протокол Интернета версии 4 (TCP / IPv4)» и выберите «Свойства».

Настройте параметры IP-адреса в соответствии с конфигурацией вашей сети и нажмите OK. Обратите внимание, что вам необходимо настроить DNS-сервер в сети. Это может быть тот же сервер, на котором устанавливается эта роль.

Добавление роли сервера «Удаленный доступ»

Теперь пора установить роль сервера «Удаленный доступ». Откройте диспетчер серверов и выберите «Добавить роли и функции».

Нажимайте «Далее», пока не дойдете до экрана ниже.Выберите роль «Удаленный доступ» и нажмите «Далее».

Нажмите «Далее» на следующем экране.

Нажмите «Далее» и затем выберите «Маршрутизация», как показано ниже:

Щелкните «Добавить функции».

Дойдите до конца мастера, нажав «Далее». На экране подтверждения нажмите «Установить».

Настройка «NAT-маршрутизатора»

Дождитесь завершения установки и откройте консоль «Маршрутизация и удаленный доступ».Нажмите «Пуск» и в разделе «Инструменты администрирования Windows» найдите «Маршрутизация и удаленный доступ».

Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

Нажмите «Далее» на экране приветствия мастера. Выберите «Трансляция сетевых адресов (NAT)» и нажмите «Далее».

Выберите адаптер WAN и нажмите «Далее».

Нажмите «Готово», дождитесь завершения настройки и убедитесь, что маршрутизатор NAT работает правильно.Разверните узел IPv4, выберите «NAT», и вы должны увидеть, что пакеты были переведены.

Как всегда, если вы нашли эту статью полезной, поделитесь ею с друзьями.

Если у вас есть вопросы или предложения, оставьте свой комментарий.

Спасибо за внимание!

.Маршрутизация локальной сети

и NAT с Windows Server 2016 — знакомство с ИТ

В этой статье я настраиваю трехсторонний маршрутизатор с Windows Server 2016, который будет выполнять маршрутизацию локальной сети между двумя подсетями и NAT для обеих подсетей. Эта установка заменит шлюз, который у меня был в моей виртуальной лаборатории Hyper-V. Итак, в основном мне нужно было добавить новую подсеть в мою виртуальную лабораторию (10.0.0.32/27), и мне нужны были обе подсети для связи и обе для доступа в Интернет. Я мог бы сделать это, добавив маршрутизатор между обеими подсетями, но для этого мне нужно было бы добавить новую виртуальную машину, которая потребляла бы дополнительные ресурсы с моего сервера Hyper-V.Таким образом, у меня будет решение, которое будет расти вместе с виртуальной лабораторией. Если мне нужно добавить новую подсеть в лабораторию, мне просто нужно добавить новый интерфейс к маршрутизатору, и все подсети будут автоматически маршрутизироваться между собой. Отлично!

Моя виртуальная лаборатория

Обратите внимание, что это моя конфигурация виртуальной лаборатории. Вам нужно будет настроить маршрутизатор в соответствии с вашей сетевой конфигурацией, но, если вы читаете это, я предполагаю, что вы это уже знаете.Кроме того, здесь нет DNS-серверов. После настройки маршрутизатора на ваших клиентских компьютерах должен быть настроен DNS-сервер — обычно это ваш интернет-маршрутизатор, — чтобы они могли работать в Интернете. Опять же, если вы читаете эту статью, я полагаю, у вас есть базовое понимание того, как эти вещи работают.

Вначале обо всем

Вам понадобится машина с установленной Windows Server 2016, руководство для которой вы можете найти здесь, с тремя подключенными к ней сетевыми картами, как показано на диаграмме выше.

Добавление роли удаленного доступа

  • Откройте «Диспетчер серверов». Нажмите кнопку «Пуск» и найдите «Диспетчер серверов».
  • Щелкните «Добавить роли и функции».

  • Нажимайте «Далее», пока не дойдете до окна «Выбор ролей сервера». Установите флажок «Удаленный доступ» и нажмите «Далее».

ПРИМЕЧАНИЕ : Если вы получили сообщение ниже при добавлении роли «Удаленный доступ», просто нажмите кнопку «Назад» и «Далее» еще раз и попробуйте еще раз добавить роль.Это должно заставить исчезнуть это сообщение.

  • Щелкайте «Далее», пока не дойдете до окна «Выбор служб ролей».
  • Выберите «Маршрутизация»

  • Нажмите «Добавить функции»

  • Обратите внимание, что «DirectAccess и VPN (RAS)» выбраны по умолчанию. Никаких изменений вносить не нужно. Нажмите «Далее».

  • Щелкните «Установить» в окне «Подтверждение» и дождитесь установки роли.

Настройка роли удаленного доступа

  • Нажмите кнопку «Пуск» и найдите консоль «Маршрутизация и удаленный доступ». Открой это.

  • Щелкните правой кнопкой мыши (локальный) сервер и выберите «Настроить и включить маршрутизацию и удаленный доступ».

  • Нажмите «Далее» в окне приветствия «Маршрутизация и удаленный доступ». Мастер настройки сервера доступа ».
  • В окне «Конфигурация» выберите «Трансляция сетевых адресов (NAT)» и нажмите «Далее».

  • Выберите общедоступный интерфейс, который вы используете для подключения к Интернету. Нажмите «Далее».
  • Выберите интерфейс, который будет иметь доступ к Интернету. Выберите первый интерфейс и нажмите «Далее». О втором интерфейсе мы поговорим позже.

  • Нажмите «Готово», чтобы закрыть мастер настройки. Если появляется всплывающее окно с предупреждением о портах брандмауэра для VPN-подключений, вы можете игнорировать это предупреждение, поскольку мы не настраиваем какой-либо доступ к VPN.Просто нажмите «ОК» и дождитесь запуска службы «Маршрутизация и удаленный доступ».

Добавление второго интерфейса NAT

Итак, во время работы мастера настройки маршрутизации и удаленного доступа мы настроили NAT для одной из подсетей, но если мы хотим (и делаем!), Чтобы предоставить доступ в Интернет в другую подсеть, мы должны настроить NAT для второго (n) интерфейса.

  • На консоли «Маршрутизация и удаленный доступ» в разделе IPv4 щелкните правой кнопкой мыши «NAT» и выберите «Новый интерфейс…»

  • Выберите интерфейс для второй подсети и нажмите «ОК».

  • Выберите «Частный интерфейс, подключенный к частной сети» и нажмите «ОК»

На этом настройка сервера завершена. Пришло время проверить, все ли работает как надо!

Проверка конфигурации

В консоли «Маршрутизация и удаленный доступ» в разделе IPv4 щелкните правой кнопкой мыши «Статические маршруты» и выберите «Показать таблицу IP-маршрутизации…». Появится новое окно с известными маршрутами к этому компьютеру.Анализируя это окно (всегда помните, что эта таблица IP-маршрутизации касается моей настройки, которая описана на диаграмме вверху страницы), вы увидите, что у нас есть:

1 — Шлюз! Весь трафик, который маршрутизатор не знает, куда его направить, направит его на шлюз.

2- Трафик для сети (подсети) 10.0.0.0 с сетевой маской 255.255.255.224 (/ 27) будет направлен на интерфейс S01, который является интерфейсом, подключенным к этой подсети.

3- Трафик для сети 10.0.0.32 с сетевой маской 255.255.255.224 будет направлен на интерфейс S02, который является интерфейсом, подключенным к этой подсети.

Тестирование LAN-маршрутизации и NAT

ПРИМЕЧАНИЕ: для правильной работы всех, в идеале у вас должен быть DHCP, назначающий IP-адреса в каждой подсети, а также DNS-сервер, чтобы ваши клиентские компьютеры могли разрешать имена и просматривать Интернет.

Сказав, что с одного из компьютеров-клиентов, подключенных к S01, вы должны иметь возможность проверить связь с S02.Это IP-конфигурация, которая у меня есть на одном из моих серверов в S01. Вы увидите, что шлюзом для этой подсети является IP-адрес маршрутизатора (10.0.0.30).

Если вы пингуете IP-адрес в подсети S02, это должно быть результатом:

И если вы попробуете просмотреть Интернет, вуаля!

То же самое происходит с компьютера в подсети S02:

Если вы столкнетесь с какими-либо проблемами, например, при отсутствии эхо-запроса из одной подсети в другую, отключите межсетевой экран маршрутизатора и повторите попытку.Это должно сработать. Или вместо полного отключения брандмауэра добавьте или включите правила, разрешающие трафик между обеими подсетями. В моем случае я полностью отключил брандмауэр, потому что это лабораторная среда без прямого подключения к Интернету.

Как всегда, если вы нашли эту статью полезной, поделитесь ею с друзьями.

Если у вас есть вопросы или предложения, оставьте свой комментарий.

И… Спасибо, что прочитали!

.

No related posts.

Share :

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *