Настройка NAT в Windows server 2012-2016

В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями,  маршрутизатор на базе Windows Server вполне себе приемлемое решение.

Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:

Сетевая карта 1 (сетевая карта подключена во внутреннюю LAN сеть):

Имя: LAN

IP: 10.0.1.1

Сетевая карта 2 (сетевая карта во внешней сети ):

Имя: Internet

IP: 192.168.1.20

Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю  подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.

Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс  настройки практически не изменился.

Совет. Ранее мы показывали, как с помощью данной службы создать VPN сервер на базе 2012 R2 и настроить DHCP-relay агент.

В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access,  в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install).

После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access.

В открывшемся окне выбираем пункт Network Address Translation (NAT).

На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера.

Далее будет предложено указать  должен ли NAT роутер  обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся.

На этом базовая  настройка маршрутизации на  Windows Server 2012 R2 завершена.  Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).

Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).

Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping  или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными.

Примечание. Windows Server 2012 R2 поддерживает статическую маршрутизацию, протокол динамической маршрутизации  RIPv2 и BGPv4. Поддержка OSPF была прекращена еще в Windows Server 2008.

В нашем случае на сервере осуществялется  статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes,  выберите пункт меню New static route и создайте новое статическое правило маршрутизации.

Примечание. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.Вступление.В этой статье будет описана установка NAT, давайте разберёмся что это такое.Аббревиатура NAT расшифровывается как Network AddressTranslation (преобразование сетевых адресов). Допустим у вас есть два или больше компьютеров объеденённых между собой в локальную сеть. Один из этих компьютеров имеет доступ в интернет и нам бы хотелось дать доступ в интернет другим компьютерам из нашей сети. Существует множество программ (прокси серверов) которые могут помочь нам решить эту задачу но во первых, эти программы стоят денег а их бесплатные аналоги зачастую не имеют поддержки со стороны разработчиков а так же мало документированны. А во вторых, самый большой минус в использовании таких программ в том, что вам придётся настраивать приложения на клиентских компьютерах для работы с прокси сервером, при этом не все программы поддерживают такой режим работы. Вот тут то нам на помощь приходит NAT. Он позволяет создать прозрачный прокси сервер, то есть программы которые выходят в интернет через NAT думают что компьютер подключён к интернету на прямую. Давайте установим NAT и посмотрим его в действии.Установка роли “удалённый доступ”.У нас есть компьютер (для простоты обозначения назовём его SERVER) с двумя сетевыми адаптерами, первый подключен к интернету, второй смотрит в локальную сеть. Я буду показывать настройку NAT на компьютере под управлением Windows Server 2012. Для того что бы добавить на сервере роль NAT для начала нужно запустить “Диспетчер сервера” (Пуск -> Администрирование –> Диспетчер сервера).Из диспетчера сервера windows мы можем управлять нашим сервером добавляя или удаляя роли. Нажмите “Добавить роли и компоненты” после чего откроется мастер добавления ролей на первой странице которого вам напомнят что необходимо проверить перед началом работы. Нажимаем “Далее” и мастер нам предложит выбрать тип установки, нам даётся два варианта “установка ролей и компонентов” или “установка служб удалённых рабочих столов”, нас интересует первый вариант, выбираем жмём “Далее”. На этой странице мастер спросит нас куда мы хотим добавить роль, на сервер или виртуальный жёсткий диск, выбираем сервер и нажимаем “Далее”.Теперь мастер предлагает выбрать нам роль которую мы хотим установить на сервер, ставим галочку напротив “Удалённый доступ” и тут же выскакивает окно в котором мастер сообщает нам что для установки этой роли необходимо установить дополнительные средства, нажимаем “Добавить компоненты” окно дополнительных компонентов исчезает и мы жмём “Далее”.Следующим шагом мастер предлагает нам добавить компоненты сервера, здесь нам ничего выбирать не нужно так что просто жмём “Далее” и на следующей странице мастер показывает нам описание роли “ Удалённый доступ” в очередной раз нажимаем “Далее”.Теперь мастер предлагает выбрать “службы ролей для установки удалённый доступ”, выделяем галочкой “Маршрутизация” и жмём далее.Следующим шагом, мастер покажет нам описание роли “Веб сервер IIS”, эта роль является обязательной и без неё роль “Удалённый доступ” не может быть добавлена. Нажимаем “Далее”, на следующей странице можно выбрать службы для роли “Веб сервер IIS”, снова нажимаем “Далее”.На этом шаге мастер показывает нам какие роли и службы будут установлены на сервер, так же сверху можно поставить галочку которая отвечает за немедленную перезагрузку сервера по окончанию установки, если это требуется. После того как будет нажата кнопка “Установить” начнётся процесс установки роли на сервер.После того как мастер закончит установку новой роли на сервер нажмите “Закрыть”.Установка NAT.После того как роль была установлена нам следует настроить NAT, для этого мы запускаем оснастку “Маршрутизация и удалённый доступ” (Пуск -> Администрирование -> Маршрутизация и удалённый доступ). Затем вызываем контекстное меню и выбираем “Настроить и включить маршрутизацию и удалённый доступ” после чего запускается “мастер настройки сервера маршрутизации и удалённого доступа” он то нам и поможет настроить NAT.На первой странице мы увидим краткое описание мастера и нажмём “Далее”. На втором шаге мастер предлагает нам выбрать одну из служб которые будут запущены на сервере, выбираем “преобразование сетевых адресов (NAT)” и жмём “Далее”. После чего мастер нам предложить выбрать сетевое соеденение которое смотрит в интернет (для наглядности я назвал свои сетевые подключения соответственно). Так же нам предлагается вариант подключения по требованию, его следует выбирать если вы осуществляете выход в интернет с помощью модема или подключения которое необходимо активировать в ручную. Выбираем нужное подключение и жмём “Далее”.На этом этапе мастер предупреждает что ему не удалось обнаружить в нашей локальной сети службыDNS или DHCP и предлагает нам два варианта развития событий:

1. 1.Включить базовые службы назначения адреса и сопоставления имён
2. 2.Установить службы сопоставления имён и адресов позднее

Нам подходит первый вариант, т.к. в нашей сети не установлены службы преобразования имён DNS и все имена будут преобразовывать DNS сервера нашего провайдера. Второй вариант подойдёт тем у кого в сети есть свой DNS сервер. Выбираем первый вариант и нажимаем “Далее”. На следующей странице мастер сообщит вам в каком диапазоне будет работать NAT, этот диапазон мастер составил исходя из конфигурации вашего сетевого подключения смотрящего в локальную сеть (у меня это подключение называется LOCAL). Нажимаем “Далее” и видим завершающий этап мастера “сервера маршрутизации и удалённого доступа”. На этом экране мастер показывает для какого подключения настроен NAT и на какой диапазон адресов этот NAT будет вещать. Нажимаем “Готово”, мастер внесёт нужные изменения после чего завершит свою работу и перед вами предстанет оснастка “Маршрутизация и удалённый доступ” с настроенным NAT. Поздравляю, вы настроили NAT!Настройка клиентской машины.Отлично теперь у вас в сети появился NAT сервер, но на остальных компьютерах в вашей локальной сети так и не появился интернет! В чём же дело спросите вы? А всё дело в том что нужно настроить сетевое подключение для компьютеров которым вы планируете разрешить доступ в интернет(для простоты обозначения назовём эти компьютеры клиентскими). Для того что бы настроить сетевое подключение на клиентском компьютере нам нужно открыть папку “Сетевые подключения” (Пуск -> Панель управления -> Центр управления сетями и общим доступом -> изменение параметров адаптера). Далее если у вас несколько подключений на клиентском компьютере, выбираем то которое смотрит в локальную сеть, вызываем контекстное меню и нажимаем “свойства”. Выбираем “Протокол Интернета версии 4 (TCP/IPv4)”и нажимаем свойства.В после “Основной шлюз” указываем IP адрес SERVER (Компьютер на котором запущен NAT), а в поле “Предпочитаемый DNS-сервер” указываем DNS сервер провайдера(его можно посмотреть в сведениях подключения к интернету на SERVER). После чего нажимаем “OK”, затем ещё раз “OK”. Подключение применит новые настройки и на клиентском компьютере появится доступ в интернет. Проверяем:Вуаля, всё работает!Заключение.В этой статье была рассмотрена установка и конфигурирование NAT на компьютере который стал шлюзом в интернет для остальных компьютеров локальной сети. Так же в статье были рассмотрены настройки на клиентских компьютерах которым был открыт выход в интернет.

Скрипт Powershell для обновления клиента 1С Предприятие на нескольких доменных ПК по сети!

Powershell оказывается тоже может быть полезным… если в него поверить… если его заставить! Есть тысяча ПК и один IT-специалист(он же системный администратор, специалист инфраструктуры, тыжайтишник, грузчик, бухгалтер), обновить 1С 8.3 Предприятие надо вчера! 1С сам по себе тоже замечательная штуковина, запускаешь базу и она привязана к определенной версии клиента, которую ищет и запускает на ПК пользователя! А версии этого клиента обновляются по цать раз в год и работают только с конкретной версией базы, это вам не SAP-GUI какой-нибудь — минорные обновления каждые 5 лет — 1С это живая система постоянно надо что-то допиливать, и пинать ссаными тряпками чтобы работала! Но, вернуемся к Powershell, чтобы он работал на компутерах они должны быть в домене AD, для них должны быть включена разрешения на исполнение Powershell Remote как-нибудь через AD GP! Читать дальше…

Заходим на домашний сервер за NAT, извне по ssh, через сервер в интернете!

Например дома есть сервер и хочется к нему подключаться по ssh (может даже по scp) ну просто посмотреть как он там чего. Раньше я делал это через VPN вот так Удаленный доступ к домашнему серверу FreeBSD через OpenVPN! и даже работало, роутер кабельного провайдера нормально форвардил порты, надо было только знать внешний IP. Но сейчас попробовал пофорвардить порты на роутере мобильного провайдера интернета — и никак, вроде как за это надо платить и работает только если статичный IP покупать… Читать дальше…

Надежное хранилище важнейших данных за недорого в Soft Mirror RAID на Ubuntu!

Для себя, незаметно, перестал обращать внимании на топовые решения в компутерной технике. Этому очень помогает здравая оценка своих нужд и возможностей техники. Всему что у меня есть скоро исполнится по 10 лет, а кому то уже давно исполнилось! Того шока и трепета, который у меня был после установки Voodoo 2 и игры в Quake II в 640×480 уже не будет, хоть ты 8K картинку нарисуй. Так что апгрейжу что-то когда ну вот уже или умерло или уже должно умереть!

Дома поток данных не такой большой так что на сервере еще SATA II справляется! Для хранения особо дорогих данных использовал 2 диска HDD в зеркальном программном массиве, но они уже ну очень старые 2008 года, для этого и зеркальный RAID чтобы страховали друг-друга! Читать дальше…

Боремся со спам звонками на городском телефоне с Asterisk, IVR, Grandstream ht813 на OrangePi PC Plus!

У вас же есть городской телефон, наверняка есть даже если не подключен и не используется за него все равно платите! У меня лично он больше двух дней не работает, какие-то начинающие музыканты звонят мне и ставят свою музыку, даже не представившись!

Идея такая городскую телефонную линию воткнуть в VOip Gateway FXS/FXO, пускать звонки на IVR на Asterisk и там простенькое меню «Если ты человек нажми 7» и дальше звонок идет на стационарный телефон! Читать дальше…

Устанавливаем домашний медиа центр Kodi на Raspbery Pi 4 в корпусе Flirc!

ОСТОРОЖНО: Февраль 2020 года — Google полностью блокирует работу Yotube на Kodi!!!

А вот например телевизор старый, в смысле не Smart, и как к нему Youtube(см дисклаймер) прикрутить и видеопроигрыватель всего? Для этого конечно подойдет любой мини компутер, у меня справлялся Raspberry Pi 3B на RetroPi с пассивным охлаждением, но решил из него окончательно сделать дэнди — а для видео проигрывателя не поскупился и выбрал самый шикарный вариант!

ДИСКЛАЙМЕР по Yotube add-on for Kodi: Ну Yotube на Kodi такой свооеобразный, ни как на smartTV, сразу все странности описываю, сами решайте нужно оно вам или нет! — Официального плагина Youtube для Kodi от Google нет, как и для фильмов — Показывать в хорошем качестве его надо еще суметь заставить — Быстро блокируется, пишет что квота(какая еще квота!!!) закончилась. Надо обманывать Google регестрироваться как девелопер — Неумеет показывать рекламу — Не любит когда много кнопок нажимают например перемотать и выйти — Kodi висит и перезагружается

Заказал на Amazon вот такой комплект CanaKit Raspberry Pi 4 Basic Kit (2GB RAM) , удивительно но по цене все равно дешевле оказалось чем покупать в офлайне(5000RUR без БП и доставки)!!! Набор стоит 62.99$ доставка 19.23$ в руки курьером! Читать дальше…

Сравниваем поисковые движки Sphinx и Manticore для форума phpBB3!

В очередной раз спас свой форум от тормозов установив на нем поиск через Sphinx и был всем доволен, но тут в английской версии статьи Lets install a super fast search engine Sphinx in to phpBB3 forum! спросили а почему не Manticore — Why not Manticore?

Мантико́ра — чудовище с телом льва, головой человека и хвостом скорпиона — видимо это символизирует мучения разработчиков этого движка! Но как я понял это тот же Sphinx его ранняя опенсурсная версия(которую мне и удалось установить Sphinx 2.2.11-release Jul 19, 2016), которую разработчики перестали поддерживать, а Мантикоры подхватили и развивают! Вот тут описаны все преимущества: manticoresearch.com/manticore-vs-sphinx/ главное для меня что в отличии от Sphinx2 она продолжает улучшаться. Читать дальше…

Используемые источники:

• https://winitpro.ru/index.php/2014/11/20/nastrojka-marshrutizatora-na-baze-windows-server-2012-r2/
• http://columbianx.blogspot.com/2014/04/windows-server-2012-nat.html
• https://itcooky.com/