Роутер.
19.07.2017
Знакомство с Windows Server 2016. Роутер.
Вернёмся к машине "Gateway" и настроем функции роутера. Как я писал ранее - мы настраиваем сервер, который будет раздавать интернет, поэтому у него должно быть 2 сетевых интерфейса - локальный интерфейс "LAN" и интерфейс который видит интернет - "WAN_". И да, мне пришлось переименовать её из «WAN» в «WAN_», так как я убирал адаптер, а затем вернул, но при этом назвать интерфейс также система не дала. Также вспомним что машина теперь не в домене, а в рабочей группе "GATE", мне пришлось вывести её из домена потому что не работал DHCP-сервер. В этой статье мы будем рассматривать роль "Удалённый доступ" или в «eng» варианте "RRAS"(Remote Routing Access Services).
В одной из предыдущих статей, когда мы настраивали сайты, нужна была коммуникация между машинами, которые находятся в разных подсетях - вот как раз это и обеспечивает роутер, а если точнее маршрутизация на роутере.
Итак, роль "Удалённый доступ" обеспечит нам маршрутизацию - чтобы бы могли посылать пакеты в разные подсети и не менять для этого маску с /24 на /16; обеспечит нам NAT+PAT - чтобы на клиентах нашего DHCP-сервера был доступ в интернет через "WAN" интерфейс нашего "Gateway"; обеспечит VPN тоннель - чтобы наши бухгалтера смогли работать на своих рабочих компах из дома, а мы админы могли слазить по RDP на серваки и починькать их. Поехали!
Выполняем команду "ipconfig" и смотрим что оба интерфейса правильно настроены:
Далее через мастер добавления ролей установим роль "Удалённый доступ":
Отмечаем пункт "Маршрутизация", при этом пункт "DirectAccess и VPN" отметиться тоже нажатием кнопки "добавить компоненты".
Установка закончена, жмём кнопку "закрыть"
Слева в диспетчере сервера появился пункт "Удалённый доступ"
А во вкладке "Средства" появились пункты "Маршрутизация и удалённый доступ" (Routin and Remote Access) и "Управление удалённым доступом" (Remote Access Management).
Идём в пункт "Маршрутизация и удалённый доступ"
Жмём правой кнопкой по нашему серверу "GATEWAY" и выбираем пункт "Настроить и включить маршрутизацию и удалённый доступ"
Нам откроется мастер где нам нужно выбрать какой-то из предопределённых сценариев поведения сервера, но мы нажмём пункт "Особая конфигурация":
Отмечаем пункты "Доступ к виртуальной частной сети (VPN)" (он же "VPN access"), "Преобразование сетевых адресов (NAT)" (он же "NAT") и "Маршрутизация локальной сети" (он же "LAN routing")
После нажатия кнопки "Готово" видим сообщение:
Система просит нас вручную открыть порты в настройках брандмауэра. К этому мы вернёмся. Жмём "ОК" и запускаем службу:
Нажав правой кнопкой по серверу, мы видим контекстное меню - пункт "Отключить маршрутизацию и удалённый доступ" вернёт нас мастеру настройки. Сейчас нас интересуют "Свойства":
Вкладка "Общие" - в разделе "IPv4" переключатель стоит на "локальной сети и вызова по требованию" - это нам и нужно, с такими настройками маршрутизация будет не только для локальной сети, но и для VPN соединений:
Давайте проверим маршрутизацию между разными подсетями в нашей тестовой среде. Если вспомнить машина "DC2" имеет статический адрес "192.168.2.3" и соответственно со шлюзом "192.168.2.1". Давайте добавим адрес в "LAN" интерфейс нашего шлюза/роутера "Gateway".
В свойствах IP версии 4 (TCP/IPv4) жмём "дополнительно":
Жмём "Добавить"
Вводим дополнительный адрес для сетки "LAN"
И так пройдёмся по сетевым настройкам наших машин:
Gateway - сетка "LAN":
IP: 192.168.1.1
Маска: 255.255.255.0
Шлюз: НЕТ
DNS: 192.168.1.2
DC - сетка "Ethernet":
IP: 192.168.1.2
Маска: 255.255.255.0
Шлюз: 192.168.1.1
DNS: 127.0.0.1
DC2 - сетка "Ethernet":
IP: 192.168.2.3
Маска: 255.255.255.0
Шлюз: 192.168.2.1
DNS: 192.168.1.2
Ну а теперь по задуманному у нас машина "DC" должна пинговать машину "DC2" и не просто пинговать а пинговать по доменному имени - проверяем - работает:
Проверим обратное:
И команда "tracert -d" говорит нам что маршрутизация идёт через "Gateway"
А вот из "Gateway" пинги не идут, хотя в качестве DNS-сервера у него указан нужный "192.168.1.2"
Однако, при указании полного доменного имени, всё - таки пинг проходит.
Тогда давайте проведём эксперимент - подключим ещё один сетевой адаптер. То есть в реальных условиях мы берём и физически добавляем сетевой адаптер, но, а в нашем виртуальном стенде я просто добавлю виртуальный сетевой адаптер, который будет скоммутирован в тот же коммутатор что и сетка «LAN». Зазовём её «LAN_2» и дадим ей адрес «192.168.2.1», предварительно удалив его из списка IP адресов интерфейса «LAN».
Пробуем пинг из машины «DC» до «DC2» - работает, хорошо. Пробуем пинги из «Gateway» и результат тот же, пинги идут только при полном доменном имени, что скорей всего, является результатом того, что «Gateway» не в домене. Но мы всё-таки оставим на шлюзе для каждой подсети свой отдельный сетевой адаптер.
Отлично! Мы настроили маршрутизацию в нашей сети. Теперь настроим интернет.
Вернёмся на машину "Gateway" в пункт "Маршрутизация и удалённый доступ". Нам нужен подпункт "преобразование сетевых адресов (NAT)".
В поле справа жмём правой кнопкой и в меню выбираем "Новый интерфейс"
Для начала активируем интерфейс с входящим потоком "WAN_":
Переключаем на "Общий интерфейс подключен к Интернету" и не забываем галочку "Включить NAT на данном интерфейсе"
Следом аналогично активируем интерфейсы "LAN" и "LAN2" но для них оставляем тип "Частный интерфейс подключен к частной сети"
Кстати по поводу свойств входящего интерфейса, в нашем случае "WAN_", если зайти во вкладку "Службы и порты", то можно настроить такую замечательную штуку как, проброс портов!
Это нужно в случае если у нас, например, почтовый сервер или FTP-сервер физически настроены на отдельных компьютерах, а может и на виртуальных машинах, но самое главное имеющих свой IP адрес, и нам нужно чтобы запросы "извне" на эти службы перенаправлялись на локальные машины в сети. Пример - кто-то извне, из глобальной сети кидает запрос на наш FTP-сервер, запрос этот естественно адресован нашему шлюзу, так как пользователь извне в качестве адреса FTP-сервера вводит именно глобальный адрес нашего шлюза (адрес интерфейса WAN_) и при этом используется порт 21. Но на нашем шлюзе не настроено FTP служб а настроено на другой машине в локальной сети, допустим на "192.168.1.50", в таком случае запрос на FTP соединение, который адресован на адрес шлюза и порт 21 перенаправится на "192.168.1.50:21" и пользователь из вне получит ответ.
Проверяем наличие интернета у клиентов сети, и да интернет есть!
UPD от 09.08.2017
В ходе написания статьи о VPN, опытным путем выяснилось, что всё-таки сначала нужно машину «Gateway»
ввести в домен, а уже потом поднимать службу DHCP, тогда в ходе завершения процесса установки вводим
данные доменного администратора и DHCP-сервер авторизуется в домене и может связываться с контроллером
для сравнения информации о пользователях при подключении извне по VPN тоннелю.