В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями, маршрутизатор на базе Windows Server вполне себе приемлемое решение.
Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:
Сетевая карта 1 (сетевая карта подключена во внутреннюю LAN сеть):
Имя: LAN
IP: 10.0.1.1
Сетевая карта 2 (сетевая карта во внешней сети ):
Имя: Internet
IP: 192.168.1.20
Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.
Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс настройки практически не изменился.
В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access, в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install).
После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access.
В открывшемся окне выбираем пункт Network Address Translation (NAT).
На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера.
Далее будет предложено указать должен ли NAT роутер обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся.
На этом базовая настройка маршрутизации на Windows Server 2012 R2 завершена. Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).
Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).
Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными.
Примечание. Windows Server 2012 R2 поддерживает статическую маршрутизацию, протокол динамической маршрутизации RIPv2 и BGPv4. Поддержка OSPF была прекращена еще в Windows Server 2008.
В нашем случае на сервере осуществялется статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes, выберите пункт меню New static route и создайте новое статическое правило маршрутизации.
Примечание. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.
Опубликовано
⏰ 01.07.2019
Доброго времени суток, уважаемые читатели. Сегодня у нас тема: «Настройка NAT в Windows server 2012-2016». Всё так же две ОС, в одной статье. Мы установим необходимую роль, и сделаем базовую настройку NAT.
Установка и базовая настройка маршрутизации NAT, в Windows Server 2012-2016
Предварительно, сделайте настройку всех Ваших сетевых адаптеров.
Установка роли «Удалённый доступ»
- Открываем диспетчер устройств, и заходим в «Добавить роли и компоненты».
- Жмём «Далее», на памятке мастера.
- В выборе типа установки, нас интересует «Установка ролей и компонентов».
- Жмём «Далее».
Выбор целевого сервера.
- Выбираем нужный сервер, или виртуальный жёсткий диск.
- Жмём «Далее».
Выбор ролей сервера.
- Выбираем «Удалённый доступ».
- Жмём «Далее».
Выбор компонентов.
- Если нужно, что то дополнительно, выбираем и жмём «Далее».
Информативное окно об удалённом доступе.
- Жмём «Далее».
Выбор служб ролей.
- Выбираем «Маршрутизация».
- Появляется окно, с компонентами необходимыми для маршрутизации.
- Жмём «Добавить компоненты».
- В окне выбора ролей, жмём «Далее».
- Информативное окно, о роли устанавливаемого веб сервера, который необходим для работы маршрутизации.
- Жмём «Далее».
- В окне выбора служб ролей жмём «Далее».
Подтверждение установки компонентов.
- Проверяем, если всё верно, жмём «Установить».
- Начинается процесс установки.
- Ждём завершения, и жмём «Закрыть».
Настройка маршрутизации и удалённого доступа
- В области уведомлений диспетчера сервера, находим раздел «Средства».
- Кликаем по нему, и заходим в раздел «Маршрутизация и удалённый доступ».
- В открывшейся консоли, кликаем правой кнопкой мышки на нашем сервере, и в выдающем меню жмём на «Настроить и включить маршрутизацию и удалённый доступ».
- Открывается окно мастера, жмём «Далее».
Конфигурация.
- Выбираем «Преобразование сетевых адресов NAT».
- Жмём «Далее».
Подключение к интернету на основе NAT.
- Выбираем первый вариант, а в списке интерфейсов, тот который имеет подключение к интернету.
- Жмём «Далее».
Службы преобразования имён и адресов.
- Так же, выбираем первый вариант «Включить базовые службы».
- Жмём «Далее».
Назначение диапазонов адресов.
- Система, исходя из подключения вашего сетевого адаптера, определяет диапазон адресов, которым будет обеспечена поддержка маршрутизации.
- Жмём «Далее».
- В последнем окне мастера, жмём «Готово».
- Начинается запуск необходимых служб.
- По окончании, в окне консоли, появляется сообщение, о том, что служба маршрутизации и удалённого доступа настроена на этом сервере.
Для проверки работы маршрутизации, можно на любом компьютере Вашей локальной сети, в качестве основного шлюза указать адрес сервера, на котором Вы запустили NAT. Компьютер получит доступ в интернет.
Сегодня мы рассмотрели тему: «Настройка NAT в Windows server 2012-2016». Добавили необходимую роль, установили нужные компоненты, и сделали базовую настройку.
Надеюсь статья была вам полезна. До встречи в новых статьях.
✍
С уважением, Андрей Бондаренко.
Видео на тему «Настройка NAT в Windows server 2012»:
Видео на тему «Настройка NAT в Windows server 2016»:
✧✧✧
Поблагодарить автора за полезную статью:
WMZ-кошелёк = Z667041230317
✧ Рубрика «Windows server»
✧ Комментарии: 6
Похожие записи
Сегодня мы рассмотрим вопрос организации общего доступа к интернет и автоматической настройки сети на платформе Windows. Несмотря на то, что это более дорогое решение, его применение будет оправдано когда необходима тесная интеграция с сетевой инфраструктурой развернутой на базе Windows Server.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В качестве рабочей платформы мы использовали Windows Server 2008 R2, как наиболее актуальную на сегодняшний день платформу, однако все сказанное с небольшими поправками применимо и к предыдущим версиям Windows Server 2003 / 2008.
Первоначально необходимо настроить сетевые интерфейсы. В нашем случае интерфейс смотрящий в сеть провайдера получает настройки по DHCP, мы переименовали его в EXT. Внутренний интерфейс (LAN) имеет статический IP адрес 10.0.0.1 и маску 255.255.255.0.
Настройка NAT
Простейшим способом организовать общий доступ к интернет будет включение соответствующей опции в настройках сетевого подключения. Однако при всей простоте такой способ чрезвычайно негибок и приемлем только если никаких других задач маршрутизации перед сервером ставиться не будет. Лучше пойти более сложным, на первый взгляд, путем, зато получить в свои руки весьма мощный и гибкий инструмент, позволяющий решать гораздо более сложные сетевые задачи.
Начнем, как полагается, с добавления новой роли сервера: Служб политики сети и доступа.
В службах ролей отмечаем Службы маршрутизации и удаленного доступа, все остальное нас сейчас не интересует. После успешной установки роли можно будет переходить к настройкам маршрутизации.
В Ролях находим службу маршрутизации и через меню Действия выбираем Настроить и включить маршрутизацию и удаленный доступ. Настройка производится с помощью мастера, который пошагово проведет нас через все этапы настройки. В качестве конфигурации выбираем Преобразование сетевых адресов (NAT), любые другие возможности можно будет настроить позже вручную.
Здесь нужно указать интерфейс которым наш сервер подключен к интернету, при необходимости его можно создать (например при использовании PPPoE или VPN соединения).
Остальные настройки оставляем по умолчанию и после нажатия на кнопку готово произойдет запуск службы Маршрутизации и удаленного доступа, наш сервер готов обслуживать клиентов из внутренней сети. Проверить работоспособность можно указав клиентской машине IP адрес из диапазона внутренней сети и указав в качестве шлюза и DNS сервера адрес нашего сервера.
Настройка DHCP
Для автоматической настройки сетевых параметров на клиентских машинах, ну не бегать же от места к месту вручную прописывая IP адреса, следует добавить роль DHCP сервера.
Для этого выбираем Добавить роль в Диспетчере сервера и отмечаем необходимую нам опцию.
Теперь нам предстоит ответить на ряд несложных вопросов. В частности выбрать для каких внутренних сетей следует использовать DHCP, при необходимости можно настроить различные параметры для разных сетей. Потом последовательно указать параметры DNS и WINS серверов. Последний, при его отсутствии, можно не указывать. Если в вашей сети отсутствуют старые рабочие станции под управлением ОС отличных от Windows NT 5 и выше (2000 / XP / Vista / Seven), то необходимости в WINS сервере нет.
К добавлению DHCP-области нужно отнестись с повышенной внимательностью, ошибка здесь может привести к неработоспособности всей сети. Ничего сложного здесь нет, просто внимательно вводим все необходимые параметры сети, следя, чтобы выделяемый диапазон IP не перекрывал уже выделенный для других устройств и не забываем правильно указывать маску и шлюз.
Отдельно следует обратить внимание на такой параметр как срок аренды адреса. По истечении половины срока аренды клиент посылает серверу запрос на продление аренды. Если сервер недоступен, то запрос будет повторен через половину оставшегося срока. В проводных сетях, где компьютеры не перемещаются в пределах сети, можно выставлять достаточно большой срок аренды, при наличии большого количества мобильных пользователей (например публичная Wi-Fi точка в кафе) срок аренды можно ограничить несколькими часами, иначе не будет происходить своевременное освобождение арендованных адресов и в пуле может не оказаться свободных адресов.
Следующим шагом отказываемся от поддержки IPv6 и после установки роли DHCP сервер готов к работе без каких либо дополнительных настроек. Можно проверять работу клиентских машин.
Выданные IP адреса можно посмотреть в Арендованных адресах, относящихся к интересующей нас области. Здесь же можно настроить резервирование за определенным клиентом конкретного адреса (привязав по имени или MAC-адресу), при необходимости можно добавить или изменить параметры области. Фильтры позволяют создать разрешающие или запрещающие правила основываясь на MAC-адресах клиентов. Более полное рассмотрение всех возможностей DHCP-сервера Windows Server 2008 R2 выходит за рамки данной статьи и скорее всего мы посвятим им отдельный материал.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
1 |
|
09.07.2014, 16:15. Показов 9891. Ответов 16
Полный новичок в этом деле, подскажите пожалуйста в какую сторону копать. Имеем: Задача: контроль трафика каждого клиента и закачка всех обновлений один раз на сервер и последующее скачивание их с сервера всеми клиентами. Единственное что выдал поисковик — VPN. Но нужен ли он в локальной сетке? Контроль трафика в описании упоминается, но ни одного мануала не нашёл. Есть он там или нужно использовать сторонний (Network Inventory Advisor)? Или можете предложить другие варианты? На сервере вроде бы одна сетевая карта, но два ethernet порта.
__________________
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
09.07.2014, 17:39 |
2 |
Задача: контроль трафика каждого клиента и закачка всех обновлений один раз на сервер и последующее скачивание их с сервера всеми клиентами. 1. контроль траффика внутри локальной сети?? 3. нафига вам VPN?
1 |
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
09.07.2014, 17:45 [ТС] |
3 |
1. нет, контроль трафика интернета. Роутер стоит ASUS RTN66U. Если я правильно понимаю, считает только весь поток трафика проходящий через него, но никак не отдельно по клиентам.
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
09.07.2014, 17:50 |
4 |
1. нет, контроль трафика интернета. вам для этого нужны платные или бесплатные решения?
3. Это первое и почти единственное, что выдал мне поисковик по запросу. Но я понял, что хоть и может выполнить задачу, но не то что мне надо. это решение из разряда «забивать разводным ключом гвозди» Добавлено через 1 минуту
2. Спасибо, нашёл почитаю. если будет что-то непонятно — пишите
0 |
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
09.07.2014, 17:54 [ТС] |
5 |
вам для этого нужны платные или бесплатные решения? Если бесплатные не удовлетворят запрашиваемым требованиям, можно и платные рассмотреть. Всё зависит от стоимости ПО. это решение из разряда «забивать разводным ключом гвозди» Поэтому и задал вопрос здесь.
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
09.07.2014, 17:56 |
6 |
Если бесплатные не удовлетворят запрашиваемым требованиям, можно и платные рассмотреть. Всё зависит от стоимости ПО. тогда давайте требования к по, будем думать, что из всего зоопарка вам подойдёт..
0 |
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
09.07.2014, 18:03 [ТС] |
7 |
Требования самые простые. Знать сколько трафика потребляет каждый член сети. Т.к. последнее время трафик начал расти гигантскими темпами. Толи кто-то что-то качает, то ли вирус. Но для начала хотябы просто вычислить машину. Компьютеров меньше 25.
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
09.07.2014, 18:11 |
8 |
smithana, посмотрите для начала на бесплатное решение
0 |
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
10.07.2014, 12:22 [ТС] |
9 |
как раз pfSence и ipCop сейчас и рассматриваю. 1. Есть ли платные/бесплатные решения чтобы поставить подобное ПО на server2012 и не задействовать ещё один компьютер?
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
10.07.2014, 12:27 |
10 |
1. Есть ли платные/бесплатные решения чтобы поставить подобное ПО на server2012 и не задействовать ещё один компьютер? есть программа Traffic Inspector, рассмотрите как вариант.. ещё можно пустить весь траффик через виртуальную машину и поставить туда что угодно, не покупая новый комп.
2. Сейчас к роутеру подключены 3 свитча, а к ним сервер и компы. Как лучше реализовать подключение, если в сеть встраивать комп с pfSence или ipCop? Этот комп идёт как замена роутера или ставится между роутером и свитчами? да, именно так
0 |
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
10.07.2014, 13:10 [ТС] |
11 |
так вместо роутера или между ним и свитчами? есть программа Traffic Inspector Сервер с Traffic Inspector также надо ставить либо вместо, либо после роутера? ещё можно пустить весь траффик через виртуальную машину и поставить туда что угодно, не покупая новый комп. Производительность вариантов с виртуальной машиной и компом с чистым pfSence одинаковая? Но с виртуальной машиной сложнее настраивать?
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
10.07.2014, 13:58 |
12 |
так вместо роутера или между ним и свитчами? шлюз ставится между роутером и сетью
Сервер с Traffic Inspector также надо ставить либо вместо, либо после роутера? см. выше
Производительность вариантов с виртуальной машиной и компом с чистым pfSence одинаковая? Но с виртуальной машиной сложнее настраивать? на 7 машин вам производительности виртуального сервера хватит
0 |
1044 / 528 / 66 Регистрация: 16.01.2013 Сообщений: 4,093 |
|
11.07.2014, 11:21 |
13 |
smithana, для подсчета трафика в сети на базе 2012 можно ISA использовать. Но нужно будет подымать сервисы на 2012 DNS, AD обязательно.
1 |
2 / 2 / 0 Регистрация: 03.06.2009 Сообщений: 102 |
|
11.07.2014, 12:14 [ТС] |
14 |
т.к. из-за WSUS придётся с AD тоже разбираться, то в принципе вариант хороший. Сейчас попытаюсь разобраться в плюсах и минусах ISA, pfSence, ipCop, Network Inventory Advisor и Traffic Inspector.
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
11.07.2014, 12:39 |
15 |
так что скорее всего придётся выбирать по степени сложности настройки. а так же обратить внимание на размеры и поворотливость) я бы всё это запихнул в виртуальную машину и не городил огород… хотя такое решение тоже извращенство
0 |
1044 / 528 / 66 Регистрация: 16.01.2013 Сообщений: 4,093 |
|
11.07.2014, 13:47 |
16 |
smithana, pfSence большой плюс не нужен AD так как контроль трафика через ip. но нужен статический ip строго
0 |
1790 / 806 / 110 Регистрация: 29.01.2013 Сообщений: 4,854 |
|
11.07.2014, 13:50 |
17 |
pfSence большой плюс не нужен AD так как контроль трафика через ip. но нужен статический ip строго это не единственный плюс, стоит отметить низкую прожорливость.
0 |
Настройка маршрутизатора на основе Windows Server 2012R2
В статье показано как настроить ОС Windows Server 2012 R2 в качестве маршрутизатора. Настраиваемый сервер имеет 2 физических сетевых интерфейса. Каждому сетевому интерфейсу будет назначен статический IP адрес из разных подсетей. Для удобства, сетевые интерфейсы можно переименовать.
Сетевая карта 1 (сетевая карта подключена во внутреннюю сеть):
Имя: in
IP: 10.0.100.1
Сетевая карта 2 (сетевая карта во внешней сети):
Имя: out
IP: 172.16.0.1
Цель: организовать маршрутизацию пакетов из локальной сети 10.0.100.1 во внешнюю сеть 172.16.0.1.
Для начала необходимо добавить новую роль «Удаленный доступ» (Remote Access) на сервере, для этого откроем консоль «Диспетчер серверов» (Server Manager):
Выбираем Manage -> «Добавить роли и компоненты»(Add Roles and Features), выбираем галкой роль «Удаленный доступ» (Remote Access):
В составе роли выбираем службу «Маршрутизация» (Routing), по умолчанию должны установиться дополнительные компоненты, соглашаемся, и запускаем ее установку (Install):
После окончания установки роли открываем консоль «Маршрутизация и удаленный доступ»(Routing and Remote Access) (Ctr + R, rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access).
В окне мастера выбираем пункт «Подключение на основе NAT» (Network Address Translation, NAT)
Далее выбираем сетевой интерфейс, подключённый ко внешней сети (или Интернету) (в примере это сетевой интерфейс out с ip 172.16.0.1). Данный сетевой интерфейс будет «публичным интерфейсом» нашего NAT.
Далее будет предложено указать должен ли NAT, обеспечить клиентов внутренней сети службами DHCPDNS. Обычно, данный функционал во внутренней сети уже присутствует, поэтому выбираем пункт «Установить службы сопоставления имен и адресов позднее».
Завершение мастера сервера маршрутизации и удаленного означает, что базовые настройки маршрутизации на Windows Server 2012 R2 завершены. В данной конфигурации сервер должен выполнять маршрутизацию пакетов между двух подсетей, при этом выполнять трансляцию сетевых адресов (NAT).
Чтобы убедиться что функционал работает:
- В консоли «RRAS» откройте свойства сервера, вкладку «Общие» (General) и убедитесь, что IPv4 маршрутизация включена и счетчики входящих и выходящих байтов увеличиваются.
- Проверить работу маршрутизации можно, указав на клиентском ПК во внутренней сети (к которой подключен сетевой интерфейс «in») в качестве шлюза IP-адрес сервера (10.0.100.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или в интернете. Команда ping должна быть успешна.
Примечание. Если нужно добавить новый маршрут, щелкните в меню «Статические маршруты», выберите пункт меню «новый статический маршрут» (New static route) и создайте новое статическое правило маршрутизации. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.
- Remove From My Forums
Раздача интернет
-
Вопрос
-
Здравствуйте умы.
Уже несколько дней мучаю windows server 2012, и никак у меня не получается раздать интернет
Ситуация такая. Комп с Win 2012 r2, на нём 2 сетевые карты, одна в сеть офиса, другая от провайдера.
Подключение к интернету идет через PPPOE.
Что только не пробовал… И расшаривал высокоскоростное подключение, DNS поднимал, запускал маршрутизацию… Никак клиенты не получают интернет
Сетевая 1:
Статика(В офис)
ip: 192.168.137.1
Маска: 255.255.255.0
Сетевая 2 DHCP.
DHCP в сети работает все получают адреса, и шлюза как адрес сервера 192.168.137.1
Далее ещё что заметил. При создании NAT и создании в нём подключения по PPPOE, подключение (полная копия обычного в win) вроде начинает подклчаться, но отрубается и пишет типо «Подключение разорвано удалённым компьютером»
одгнако провайдер говорит — вы сами отключаетесь, мы вас не отшиваем!!! Такое же подключение в сетевых подключениях без проблем подключается и работает, но инета в сеть нет(((( подскажите что делать. (Просьба на более понятном
языке, опыта мало…((( )