forum.lan.md

[Mistakila]

Есть 2 сетевухи: одна для провайдера одна для своих. На провайдерской все автоматом. А на внутренней 192.168.0.2
Как настроить NAT чтоб интернет своим доходил.Когда втыкаю кабель пропадает интернет.

[Andrew Noga]

Есть 2 сетевухи: одна для провайдера одна для своих. На провайдерской все автоматом. А на внутренней 192.168.0.2
Как настроить NAT чтоб интернет своим доходил.Когда втыкаю кабель пропадает интернет.

http://www.wown.com/articles_tutorials/ ... ation.html
если так попробовать ?

[Шинкевич Владимир]

в справке ТИ есть:

Использование NAT из службы RRAS для Windows 2000 server наиболее предпочтительно, так как отсутствуют ограничения на IP-адреса внутренней сети и этих подсетей может быть несколько. При этом обязательно должен использоваться механизм Demand-Dial (дозвон по требованию) взамен Dial-Up соединений для внешних WAN интерфейсов - с ними NAT работать не будет!

Порядок конфигурирования службы следующий:

Запустите консоль Routing and Remote Access из меню Administrative tools.

Если служба не сконфигурирована (запрещена), то запустите конфигуратор из меню Configure and Enable Routing and Remote Access.

Показать скриншот

Далее выберите режим Custom Configuration (Manually configure Routing and Remote Access для Windows 2000) и нажмите Далее.

Показать скриншот

Для Windows 2003 откроется еще одно окно с опциями, где выберите необходимые.
Службу можно пока не запускать.

Откройте Properties и на первой закладке выставите режим работы.

Если WAN/PPP/VPN соединений не будет, то выставите Local area network..., если будут исходящие или входящие demand-dial соединения, то включите этот режим. Также включите Remote access server, если предполагаются Dial-In соединения (см. далее).

В закладке Event Logging можно выбрать Log the maximum amount of information.

Показать скриншот

Запустите службу (меню Local server/All Tasks/Start).

Если разрешен Demand-Dial или используется RAS-сервер, то желательно удалить неиспользуемые порты, сконфигурированные по умолчанию Parallel и др.).

Для этого выберите Ports и откройте Properties. В списке портов для каждого неиспользуемого порта откройте настройки кнопкой Configure и отключите обе опции Remote Access Connections и Demand-Dial routing Connections. Для используемых портов отключите опцию Remote Access Connections (если нет RAS-сервера) и оставьте Demand-Dial routing Connections.

Закройте окна. В левой части в списке портов должны остаться только необходимые порты.

Показать скриншот

Сконфигурируйте Demand-Dial интерфейс для исходящих соединений, если надо.

Для этого выберите Routing Interface и запустите мастера через меню New Demand-Dial Interface. Конфигурирование в мастере похоже на создание обычного Dial-Up соединения. Далее следует для появившегося в списке интерфейса открыть его свойства (Properties) и произвести дополнительные настройки.

Прежде всего следует отключить сетевой компонент Client for Microsoft Network на закладке Networking. Далее, если требуется постоянное соединение, на закладке Options выберите Persistent Connections.

Показать скриншот

Для Demand-Dial интерфейса, если через него производится подключение к Интернет, надо обязательно добавить маршрут по умолчанию.

Для этого перейдите на IP Routing/Static routes и добавьте маршрут по умолчанию (IP 0.0.0.0 Mask 0.0.0.0) для этого интерфейса (выберите его из списка). Опцию Use this route to initiate demand-dial connection оставьте включенной. В этом случае соединение будет устанавливаться автоматически при появлении любого трафика наружу.

Показать скриншот

Далее конфигурируем службу NAT.

Для этого перейдите на IP routing/General. Через меню New routing protocol добавьте Network Address Translation, который появится справа в списке. Выберите его и откройте свойства (Properties).

Если предполагается использовать конфигурирование клиентов через DHCP, а отдельный DHCP-сервер использоваться не будет, то можно включить поддержку DHCP службы NAT - закладка Address Assignment, опция Automatically assignment IP addresses by using DHCP. Также задайте адреса локальной сети и исключения для хостов со статическими настройками (через кнопку Exclude).

Если своего внутреннего DNS-сервера нет, то желательно включить поддержку DNS службы NAT - закладка Name Resolution - все DNS-запросы будут кешироваться.

Показать скриншот

Добавляем в NAT внутренние интерфейсы. Для этого справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов выбираем тот, который соединен с внутренней сетью, и в окне его свойств выбераем Private interface connected to private network.

Показать скриншот

Добавляем внешние интерфейсы. Для этого справа выбираем Network Address Translation и через меню Add interface из списка интерфейсов выбираем тот, который соединен с внешней сетью, и в окне его свойств выбераем Public interface connected to the Internet. Также надо включить опцию Translate TCP/UDP headers.

ВНИМАНИЕ! Для Windows 2003 доступна такая функция, как basic firewall. Ее использование при наличии Traffic Inspector может привести к конфликтам.

Дополнительно через NAT могут быть опубликованы TCP/UDP сервера, находящиеся во внутренней сети. Для этого в закладке Special ports в окне свойств внешнего интерфейса надо задать тип протокола (TCP или UDP), опубликованный порт (Incoming Port), IP адрес и порт внутреннего сервера (Private address и Outgoing port). В дальнейшем, при конфигурировании сетевого экрана Traffic Inspector, опубликованный порт должен быть открыт.

Показать скриншот

Пример публикации SMTP сервера:

Данный пример приведен для Windows 2003. Как видно, здесь уже имеются готовые шаблоны для типовых протоколов.

Также в Traffic Inspector поддерживается режим трансляции IP адресов, что может быть полезно для организации DMZ. Подробности настройки RRAS для этого смотрите в документации Windows.

Установленные по умолчанию дополнительные протоколы (IGMP, DHCP Relay Agent) лучше удалить, если в них нет необходимости.

Если используются Demand-Dial соединения, то служба будет пытаться назначить IP-адрес для внутреннего входящего интерфейса RAS-соединений - он обозначен как internal. По умолчанию он сконфигурирован на использование DHCP, и при отсутствии этого сервера будет выдаваться ошибка. В этом случае надо для него назначить несколько, минимум 2, IP адреса - это можно сделать на закладке IP в окне главных настроек службы. Если RAS-сервера нет и входящих Demand-Dial соединений не будет (как правило, требуются только исходящие), то эти адреса могут быть любые из Intranet-диапазонов, не пересекающиеся с уже используемыми.

Запрещение NetBios для интерфейса internal службы RRAS.

Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен (см. выше). Это важно, если используется RAS-сервер для подключения диалапных клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы. Появление IP- адреса интерфейса internal в этих регистрациях может привести к проблемам.

Для этого редактором реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.

Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен список интерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном варианте имена должны регистрироваться только на интерфейсе локальной сети.

Замечания по использованию DHCP для внутренней сети:

· Если клиенты используют DHCP службы NAT, то они получат в настройках шлюз по умолчанию на внутренний интерфейс сервера и IP-адрес DNS- сервера.

· У клиентов, если они конфигурируются вручную (не через DHCP), шлюз по умолчанию настраивается на сервер. Если используется поддержка DNS на NAT, то адрес DNS-сервера на клиентах выставляется на внутренний интерфейс сервера. Конечно, можно прописывать и любые внешние DNS-сервера, но это повлечет дополнительный расход трафика.

· Если внутренняя сеть состоит из нескольких IP-подсетей, то DHCP от NAT в этом случае не подходит. Используйте DHCP-сервер, имеющийся в серверных версиях Windows.

RAS-сервер и Dial-In соединения.

RRAS может использоваться в качестве RAS-сервера - можно организовать небольшой модемный пул или VPN-сервер. Для этого надо в главных настройках службы включить опцию Remote Access Server. Также желательно не использовать DHCP для назначения адресов клиентам, а назначить адресный пул вручную (закладка IP).

Для таких клиентов также может использоваться NAT. Но для этого надо проделать следующее:

· С консоли запустить команду netsh routing ip nat add interface internal private

· После этого появится возможность в конфигурации NAT (см. выше) добавить интерфейс internal как внутренний (ранее в списках его не было).

Главное ограничение этого подключения - Traffic Inspector на этом интерфейсе internal не сможет использовать механизм IP-фильтрации, функция блокировки клиентов работать не будет. Это ограничение самой службы RRAS. Если блокировки обязательны, то придется для RAS-сервера использовать отдельный компьютер, или ограничится подключением без NAT, только через прокси и SOCKS.

Но сейчас уже реализована функция блокировки VPN-клиентов на внутреннем интерфейсе, и этот недостаток частично можно обойти. Подробнее см. здесь.

Заметим, что RRAS позволяет клиентам персонально назначать фильтры через свои политики (Remote Access Policies), и NAT для Dial-In можно запрещать выборочно для отдельных клиентов и групп.

PPPoE

Кроме VPN (PPTP, L2TP) на базе RAS-сервера можно реализовать небольшой PPPoE-сервер. Имеется неплохой драйвер RasPPPoE (http://www.raspppoe.com), который в режиме концентратора поддерживает работу до 10 клиентов.

В Windows 2000 поддержка PPPoE отсутствует. Этот драйвер можно также использовать для клиентского подключения.

[Mistakila]

я не читал посты.
А переставил систему, и шо вы думаете? Все заработало. Запустил сраный визард и все получилось. Раньше кули не работало. В этот раз поставил систему все дрова-шмава, а только потом начал сеть настривать.