Разное

Служба маршрутизации и удаленного доступа: Настройка маршрутов и удаленного доступа — Windows Server

Содержание

Настройка маршрутов и удаленного доступа — Windows Server

  • Чтение занимает 7 мин

В этой статье

В этой статье описывается настройка маршрутизации и удаленного доступа для интрасети.

Исходная версия продукта:   Windows Server 2012 R2
Исходный номер КБ:   323415

Аннотация

В этом пошаговом руководстве описывается настройка службы маршрутизации и удаленного доступа в Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition, чтобы разрешить пользователям, для проверки подлинности, удаленно подключаться к другой сети через Интернет. Это безопасное подключение обеспечивает доступ ко всем внутренним сетевым ресурсам, таким как обмен сообщениями, общий доступ к файлам и печати, а также доступ к веб-серверам.

Удаленный символ этого подключения является прозрачным для пользователя, поэтому общий интерфейс использования удаленного доступа аналогичен работе на рабочей станции в локальной сети.

Установка службы маршрутов и удаленного доступа

По умолчанию служба маршрутов и удаленного доступа устанавливается автоматически во время установки Windows Server 2003, но она отключена.

Чтобы включить службу маршрутов и удаленного доступа

  1. Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».

  2. В левой области консоли щелкните сервер, который соответствует имени локального сервера.

    Если значок имеет красная стрелка в правом нижнем углу, служба маршрутов и удаленного доступа не включена. Перейдите к шагу 3.

    Для зеленой стрелки, указываной вверх в правом нижнем углу, служба включена. В этом случае может потребоваться перенастроить сервер. Чтобы перенастроить сервер, необходимо сначала отключить маршрутику и удаленный доступ.

    Можно щелкнуть сервер правой кнопкой мыши, а затем нажать кнопку «Отключить маршрутику и удаленный доступ». Нажмите кнопку «Да», когда от него отображат информационное сообщение.

  3. Щелкните сервер правой кнопкой мыши и выберите «Настройка и включить маршрутику и удаленный доступ», чтобы запустить мастер настройки сервера маршрутов и удаленного доступа. Нажмите кнопку «Далее».

  4. Щелкните удаленный доступ (подключение или VPN), чтобы разрешить удаленным компьютерам набирать номера или подключаться к этой сети через Интернет. Нажмите кнопку «Далее».

  5. Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа в зависимости от роли, которую вы хотите назначить этому серверу.

  6. На странице VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, и нажмите кнопку «Далее».

  7. На странице «Назначение IP-адреса» сделайте одно из следующих задач:

    • Если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, нажмите кнопку «Автоматически» и нажмите кнопку «Далее». Перейдите к шагу 8.
    • Чтобы предоставить удаленным клиентам адреса только из заданного пула, щелкните «Из указанного диапазона адресов».

    Примечание

    В большинстве случаев параметр DHCP проще администрировать. Однако если DHCP не доступен, необходимо указать диапазон статических адресов. Нажмите кнопку «Далее».

    Мастер открывает страницу назначения диапазона адресов.

    1. Нажмите кнопку Создать.
    2. В поле «Начните ip-адрес»
      введите первый IP-адрес в диапазоне адресов, которые необходимо использовать.
    3. В поле «Конечный IP-адрес» введите последний IP-адрес в диапазоне.

    Windows вычисляет количество адресов автоматически. 4. Нажмите кнопку «ОК», чтобы вернуться на страницу назначения диапазона адресов. 5. Нажмите кнопку «Далее».

  8. Примите значение по умолчанию «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку «Далее».

  9. Нажмите кнопку «Готово», чтобы включить службу маршрутов и удаленного доступа, а также настроить сервер удаленного доступа.
    После того как вы настроите сервер для получения подключений с подключением к телефонной связи, настроите клиентские подключения удаленного доступа на клиентской рабочей станции.

Настройка клиента для телефонного доступа

Чтобы настроить клиент для телефонного доступа, выполните следующие действия на клиентской рабочей станции.

Примечание

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

  1. Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».
  2. В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».
  3. Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».
  4. Click Dial-up connection, and then click Next.
  5. На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».
  6. На странице «Номер телефона для набора номера» введите номер телефона для сервера удаленного доступа в диалоговом окне «Номер телефона».
  7. Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».
    • Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
    • Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».
  8. Нажмите кнопку «Готово», чтобы сохранить подключение.

Настройка клиента для VPN-доступа

Чтобы настроить клиент для доступа к виртуальной частной сети (VPN), выполните следующие действия на клиентской рабочей станции.

Примечание

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

  1. Нажмите кнопку «Начните», выберите «Панель управления», а затем дважды щелкните «Сетевые подключения».

  2. В области «Сетевые задачи» щелкните «Создать новое подключение» и нажмите кнопку «Далее».

  3. Нажмите кнопку «Подключиться к сети» на рабочем месте, чтобы создать подключение для телефонного подключения, а затем нажмите кнопку «Далее».

  4. Щелкните подключение к виртуальной частной сети и нажмите кнопку «Далее».

  5. На странице «Имя подключения» введите описательное имя для этого подключения и нажмите кнопку «Далее».

  6. Сделайте одно из следующих и нажмите кнопку «Далее».

    • Если компьютер окончательно подключен к Интернету, нажмите кнопку «Не набирать начальное подключение».
    • Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), нажмите кнопку «Автоматически набрать это начальное подключение». Затем щелкните имя подключения к isP.

  7. Введите IP-адрес или имя сервера VPN (например, VPNServer.SampleDomain.com).

  8. Сделайте одно из следующих следующую кнопку и нажмите кнопку «Далее».

    • Если вы хотите разрешить любому пользователю, который входит в систему на рабочей станции, получить доступ к этому подключению с подключением с подключением, щелкните «Любой пользователь».
    • Если вы хотите, чтобы это подключение было доступно только для пользователя, войдите в систему, щелкните «Использовать только».

  9. Нажмите кнопку «Готово», чтобы сохранить подключение.

Предоставление пользователям доступа к серверам удаленного доступа

Политики удаленного доступа можно использовать для предоставления или запрета авторизации на основе таких критериев, как время дня, день недели, членство пользователя в группах безопасности на основе Windows Server 2003 или тип запрашиваемого подключения.

Если сервер удаленного доступа является членом домена, эти параметры можно настроить с помощью учетной записи домена пользователя.

Если сервер является автономным сервером или членом группы, пользователь должен иметь локализованную учетную запись на сервере удаленного доступа.

Предоставление прав удаленного доступа отдельным учетным записям пользователей

Если вы управляете удаленным доступом на основе учетной записи пользователя, выполните следующие действия, чтобы предоставить права удаленного доступа:

  1. Нажмите кнопку «Начните», выберите пункты «Все программы», «Администрирование» и «Пользователи и компьютеры Active Directory».
  2. Щелкните правой кнопкой мыши учетную запись пользователя, для которую необходимо предоставить права удаленного доступа, выберите «Свойства» и перейдите на вкладку
    «Dial-in».
  3. Нажмите кнопку «Разрешить доступ», чтобы предоставить пользователю разрешение на набор номера, а затем нажмите кнопку «ОК».
Настройка прав удаленного доступа на основе членства в группах

Если вы управляете удаленным доступом на уровне группы, выполните следующие действия, чтобы предоставить права удаленного доступа:

  1. Создайте группу, содержаную участников, которым разрешено создавать VPN-подключения.
  2. Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
  3. В дереве консоли разойдите окни «Маршруты» и «Удаленный доступ», разойдите имя сервера и выберите «Политики удаленного доступа».
  4. Щелкните правой кнопкой мыши правую области, найдите пункт «Новый» и выберите пункт «Политика удаленного доступа».
  5. Нажмите кнопку «Далее», введите имя политики и нажмите кнопку «Далее».
  6. Щелкните VPN для виртуального частного доступа или выберите «Dial-up» для телефонного доступа, а затем нажмите кнопку «Далее».
  7. Нажмите кнопку «Добавить», введите имя группы, созданной на шаге 1, и нажмите кнопку «Далее».
  8. Следуйте инструкциям на экране, чтобы завершить мастер.

Если VPN-сервер уже разрешает службы удаленного доступа к сети телефонного доступа, не удаляйте политику по умолчанию; вместо этого переместим его так, чтобы она была последней оцениваемой политикой.

Создание удаленного подключения

Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.

  1. На клиентской рабочей станции нажмите кнопку «Начните», выберите «Сетевые подключения», а затем щелкните созданное новое подключение.

  2. В поле «Имя пользователя» введите имя пользователя.

    Если сеть, к которой нужно подключиться, имеет несколько доменов, может потребоваться указать имя домена. Используйте формат domain_name \ в поле «Имя пользователя».

  3. В поле «Пароль» введите пароль.

  4. Если используется подключение с телефонным подключением, проверьте номер телефона, указанный в диалоговом окне, чтобы убедиться, что он правильный. Убедитесь, что указаны дополнительные номера, необходимые для получения внешней линии или для набора большого расстояния.

  5. Click Dial or Connect (for VPN connections).

    Компьютер устанавливает подключение к серверу удаленного доступа. Сервер аутентификация пользователя и регистрация компьютера в сети.

Устранение неполадок

В этом разделе описывается, как устранить некоторые проблемы, которые могут возникнуть при попытке настроить удаленный доступ.

Доступны не все параметры конфигурации для телефонного номера пользователя

Если домен на основе Windows Server 2003 использует смешанный режим, доступны не все параметры конфигурации. Администраторы могут предоставлять или запретить доступ только пользователю, а также указывать параметры ответа на вызовы, которые являются настройками разрешений доступа, доступными в Microsoft Windows NT 4.0. Оставшиеся параметры становятся доступными после переключения домена в режим native.

Пользователи могут связываться с сервером, но без проверки подлинности

Убедитесь, что учетной записи пользователя предоставлено разрешение на удаленное подключение и проверку подлинности с помощью Active Directory, как описано в разделе 2. Сервер удаленного доступа также должен быть членом группы «Серверы RAS и IAS».

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

323381 Как разрешить удаленным пользователям доступ к сети в Windows Server 2003

Оснастка Маршрутизация и удаленный доступ

Оснастка Маршрутизация и удаленный доступ используется чаще всех остальных инструментов, описанных в этом разделе. Эта программа позволяет контролировать состояние конфигурации маршрутизации и удаленного доступа (сервер удаленного доступа, VPN, NAT и т.д.) и вносить в конфигурацию необходимые изменения.

Для получения доступа к этой утилите выберите Пуск > Администрирование > Маршрутизация и удаленный доступ (Start > Administrative Tools > Routing and Remote Access). После этого будет открыта оснастка MMC.

После первого запуска оснастки Маршрутизация и удаленный доступ предлагается настроить и включить службу маршрутизации и удаленного доступа. Мастер конфигурации маршрутизации и удаленного доступа оказывается очень полезным, так как позволяет быстро настроить сервер маршрутизации и удаленного доступа для выполнения распространенных задач.

Например, если необходимо настроить сервер NAT, выберите переключатель NAT в мастере, укажите внешний (подключенный к сети Интернет) и внутренний (подключенный к локальной сети) сетевой интерфейсы, ответьте еще на пару вопросов и клиенты в локальной сети смогут получать доступ к Интернет с помощью сервера NAT.

Использование оснастки Маршрутизация и удаленный доступ (Routing and Remote Access Service) позволяет просматривать информацию, касающуюся активных сеансов клиентов, и даже отключенных клиентов.

На уровне свойств сервера можно настроить параметры безопасности сервера и протоколирование ошибок работы сервера. Это делается с помощью вкладки Журнал (Logging) в диалоговом окне свойств сервера. По умолчанию журнал сервера получает все сообщения об ошибках и предупреждения. Журнал находится в каталоге %windir%\tracing.

Вот возможности настройки службы маршрутизации и удаленного доступа на уровне других объектов.

  • Сетевые интерфейсы (Network Interfaces) — просмотр состояния подключений для каждого интерфейса.
  • Клиенты удаленного доступа (Remote Access Clients) — просмотр статистики для каждого подключенного клиента сервера удаленного доступа.
  • Маршрутизация IP (IP Routing) — настройка маршрутизируемых интерфейсов, просмотр таблиц маршрутизации, проверка конфигурации агента ретрансляции DHCP, а так же проверка параметров NAT и базового брандмауэра.
  • Политики удаленного доступа (Remote Access Policies) — настройка параметров политик удаленного доступа (кто и в какое время имеет право доступа к серверу удаленного доступа). Для каждой политики можно настроить профиль политики и указать допустимые подключения и протоколы аутентификации.

Хотя для обнаружения источника проблемы можно использовать остальные утилиты, описанные в этом разделе, для исправления проблемы наиболее вероятно будет использоваться оснастка Маршрутизация и удаленный доступ (Routing and Remote Access).

Служба маршрутизации и удаленного доступа — Routing and Remote Access Service

Служба маршрутизации и удаленного доступа ( RRAS ) — это API-интерфейс Microsoft и серверное программное обеспечение, которое позволяет создавать приложения для администрирования возможностей служб маршрутизации и удаленного доступа операционной системы , которые могут функционировать в качестве сетевого маршрутизатора. Разработчики также могут использовать RRAS для реализации протоколов маршрутизации. Функциональные возможности сервера RRAS основаны на службе удаленного доступа (RAS) в Windows NT 4.0 и основаны на ней .

Обзор

RRAS был представлен в Windows 2000 и предлагался для загрузки для Windows NT 4.0.

Раньше службы маршрутизации и службы удаленного доступа работали отдельно. Двухточечный протокол (PPP), набор протоколов, обычно используемый для согласования двухточечных соединений, позволил их объединить.

RRAS можно использовать для создания клиентских приложений. Эти приложения отображают общие диалоговые окна RAS , управляют подключениями и устройствами удаленного доступа, а также управляют записями телефонной книги.

Пакет управления службами маршрутизации и удаленного доступа

Пакет управления службами маршрутизации и удаленного доступа помогает сетевому администратору отслеживать состояние и доступность компьютеров под управлением Windows Server 2008 R2.

Функции, представленные в Windows Server 2008

  • Диспетчер серверов — приложение, используемое для помощи системным администраторам в установке, настройке и управлении другими функциями RRAS.
  • Протокол безопасного туннелирования сокетов
  • Применение VPN для защиты доступа к сети — ограничивает VPN-подключения определенными сетевыми службами.
  • Поддержка IPv6 — добавлены технологии PPPv6 , L2TP , DHCPv6 и RADIUS, позволяющие им работать через IPv6.
  • Новая криптографическая поддержка — усиленные алгоритмы шифрования для соответствия требованиям безопасности правительства США, в дополнение к удалению алгоритмов, которые не могли быть усилены.

Удаленные технологии

Смотрите также

Рекомендации

внешняя ссылка

<img src=»//en.wikipedia.org/wiki/Special:CentralAutoLogin/start?type=1×1″ alt=»» title=»»>

Служба маршрутизации и удалённого доступа

Пользователи также искали:

маршрутизация и удаленный доступ настройка vpn, маршрутизация и удаленный доступ статические маршруты, не запускается служба маршрутизация и удаленный доступ windows 10, оснастка маршрутизация и удаленный доступ windows 7, служба маршрутизации и удаленного доступа windows 10, служба маршрутизации и удаленного доступа windows 7, служба маршрутизации и удаленного доступа windows server 2016, служба маршрутизация и удаленный доступ была запущена и затем остановлена, Служба, служба, доступ, удаленный, маршрутизация, windows, маршрутизации, удаленного, доступа, удалённого, оснастка, была, запущена, затем, остановлена, статические, маршруты, запускается, настройка, server, служба маршрутизация удаленный доступ была запущена и затем остановлена, служба маршрутизации и удаленного доступа windows 7, маршрутизация и удаленный доступ статические маршруты, не запускается служба маршрутизация и удаленный доступ windows 10, маршрутизация и удаленный доступ настройка vpn, служба маршрутизации и удаленного доступа windows server 2016, оснастка маршрутизация и удаленный доступ windows 7, служба маршрутизации и удаленного доступа windows 10, Служба маршрутизации и удалённого доступа, служба маршрутизации и удаленного доступа windows,

. ..

входящие соединения зависят от маршрутизации удаленного доступа —

Некоторые пользователи сообщили о получении «Входящие соединения зависят от службы маршрутизации и удаленного доступа» ошибка, когда они пытаются запустить Служба RRAS (Служба маршрутизации и удаленного доступа). Большинство затронутых пользователей сообщают, что эта проблема возникает, когда они пытаются настроить входящее VPN-соединение — сразу после добавления входящего соединения и нажатия Следующий. 

Windows не может создать ваше соединение. Входящие соединения зависят от службы маршрутизации и удаленного доступа, которая не смогла запуститься. Для получения дополнительной информации проверьте журнал системных событий.

Ошибка не относится к Windows 10 (также сообщается в Windows 8 и Windows 7), но в основном сообщается, что она возникает при сборках Insider.

Что является причиной входящих подключений зависит от ошибки удаленного доступа маршрутизации

Изучив проблему и просмотрев различные пользовательские отчеты, мы создали список с общими виновниками, которые могут привести к появлению этой проблемы:

  • Постоянная ошибка входящих соединений — Microsoft знает об этой проблеме и ранее выпустила несколько исправлений. Но на данный момент об этой проблеме по-прежнему сообщается даже в последних сборках Windows 10. К счастью, эту ошибку можно обойти, исправив редактор реестра (Способ 2).
  • Внешний брандмауэр блокирует входящие соединения — Эта проблема может быть вызвана чрезмерной защитой брандмауэра. Несколько пользователей сообщили, что проблема была устранена после того, как они в итоге удалили сторонние решения безопасности.

Как исправить входящие подключения в зависимости от ошибки удаленного доступа маршрутизации

Если вы в настоящее время пытаетесь решить эту конкретную проблему, эта статья предоставит вам список проверенных шагов по устранению неполадок. Ниже представлен набор методов, которые другие пользователи в аналогичной ситуации использовали для решения проблемы.

Чтобы максимально повысить свои шансы на успех, начните с первого метода и следуйте остальным в том порядке, в котором они представлены. Если какой-либо метод не подходит для вашей ситуации, пропустите его и перейдите к следующему. Давай начнем!

Способ 1: удаление стороннего брандмауэра

Прежде чем перейти к другим исправлениям ниже, давайте удостоверимся, что проблема не вызвана вмешательством третьей стороны. Существует ряд отчетов от пользователей, которые смогли решить проблему после избавления от стороннего брандмауэра.

По-видимому, существует ряд чрезмерно защищенных сторонних решений, которые будут препятствовать созданию нового входящего VPN-подключения с помощью встроенной функции.

Чтобы проверить, верна ли эта теория, вам нужно отключить сторонний брандмауэр и удалить его из своей системы. Имейте в виду, что отключение защиты в реальном времени не будет эффективным при решении проблемы, поскольку правила по-прежнему будут оставаться в силе.

Чтобы убедиться, что вы не оставляете какие-либо оставшиеся файлы, которые могут по-прежнему вызывать помехи, мы рекомендуем вам выполнить следующие шаги:

  1. Нажмите Windows ключ + R открыть Бежать диалоговое окно. Затем введите «appwiz.cplИ ударил Войти открыть Программы и особенности.
    Диалог запуска: appwiz.cpl
  2. В Программы и особенности, прокрутите список приложений и найдите антивирусное программное обеспечение сторонних производителей. Сделав это, щелкните правой кнопкой мыши по нему и выберите «Удалить», затем следуйте инструкциям на экране, чтобы удалить его из вашей системы.
  3. Следуйте этому руководству (Вот) чтобы ваш сторонний брандмауэр не оставлял после себя файлы, которые могут создавать помехи.
  4. Перезагрузите компьютер и посмотрите, была ли проблема решена при следующем запуске.

Если вам по-прежнему запрещено создавать новые VPN-подключения через «Входящие соединения зависят от службы маршрутизации и удаленного доступа» ошибка, продолжайте следующим способом ниже.

Способ 2. Включение входящих подключений через редактор реестра

Существует одна конкретная процедура, которая часто рекомендуется на форумах Technet и, похоже, помогла многим пользователям решить Входящие соединения зависят от маршрутизации удаленного доступа ошибка. Он включает в себя использование редактора реестра, который отключает службу Svc Host Split, чтобы обеспечить возможность использования входящих соединений для работы по удаленному доступу.

Вот краткое руководство о том, что вам нужно сделать:

  1. Нажмите Windows ключ + R открыть диалоговое окно «Выполнить». Затем введите «смерзатьсяИ нажмите Ctrl + Shift + Enter открыть редактор реестра с правами администратора. Если предложено UAC (контроль учетных записей), нажмите на да.
    Диалог запуска: regedit
  2. В редакторе реестра используйте левую панель, чтобы перейти к следующему местоположению: Компьютер \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ RasMan
  3. Теперь перейдите к правой панели. С RASMAN ключ реестра выбран, используйте ленту вверху, чтобы создать новый Dword значение, выбрав  Edit> New> Dword (32-bit).

    Создать новое значение Dword

    Замечания: Если значение Dword SvcHostSplitDisable уже существует, пропустите этот шаг.

  4. Назовите недавно созданный Меч SvcHostSplitDisable. Убедитесь, что вы используете это точное имя, включая заглавные буквы.
  5. Дважды щелкните на SvcHostSplitDisable и установить База в шестнадцатеричный и Значение данные для 1.
    Установите для Base значение Hexadecimal, а для данных Value — 1.
  6. Снова используйте левую панель, чтобы перейти к следующему местоположению: Компьютер \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ RemoteAccess 
  7. Теперь вернитесь к правой панели. С Удаленный доступ ключом, используйте ленту в верхней части, чтобы создать новый Dword, перейдя в Edit> New> Dword (32-bit).
    Замечания:     Если SvcHostSplitDisable значение уже создано, перейдите к следующему шагу ниже.
  8. Назовите недавно созданный Меч SvcHostSplitDisable.

    Назовите недавно созданный Dword для SvcHostSplitDisable
  9. Дважды щелкните на SvcHostSplitDisable и установить База в шестнадцатеричный и значение для 1.
  10. Закройте редактор реестра и перезагрузите компьютер. При следующем запуске проверьте, была ли проблема решена, проверив, возникает ли такая же проблема, когда вы пытаетесь настроить входящее VPN-соединение.

Если проблема все еще не решена, перейдите к следующему способу ниже.

Способ 3: отключение интерфейсов IPv6 через командную строку

Некоторым пользователям удалось решить проблему, отредактировав реестр вручную (или автоматически), чтобы отключить все интерфейсы IPv6, кроме петлевого интерфейса IPv6.

Несмотря на то, что это исправление помогло устранить проблему для многих затронутых пользователей, существует один серьезный недостаток — оно нарушает возможности подключения по IPv6. Если вы можете жить без этого неудобного, следуйте инструкциям ниже, чтобы обойти «Входящие соединения зависят от службы маршрутизации и удаленного доступа» ошибка при использовании командной строки с повышенными правами для отключения всех интерфейсов IPV6:

  1. Нажмите Windows ключ + R открыть диалоговое окно запуска. Затем введите «CMDИ нажмите Ctrl + Shift + Enter открыть командную строку с повышенными правами. Если предложено UAC (контроль учетных записей пользователей), нажмите на да.
    Диалог запуска: cmd и нажмите Ctrl + Shift + Enter
  2. В командной строке с повышенными привилегиями введите следующую команду ниже и нажмите Войти. Эта команда добавит значение реестра, которое отключит все интерфейсы IPv6, кроме интерфейса обратной связи IPv6.
    reg add "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters" / v Отключенные компоненты / t REG_DWORD / d / f

    Замечания: Вы также можете заменить 0x11 значение из команды выше с 0xFF. Это отключит все компоненты IPv6, кроме петлевого интерфейса IPv6. Оба значения подтвердили свою эффективность в решении этой конкретной проблемы.

  3. Перезагрузите компьютер и посмотрите, будет ли проблема решена при следующем запуске.

Настройка NAT в Windows server 2012-2016 » Блог Андрея Бондаренко

Доброго времени суток, уважаемые читатели. Сегодня у нас тема: «Настройка NAT в Windows server 2012-2016». Всё так же две ОС, в одной статье. Мы установим необходимую роль, и сделаем базовую настройку NAT.

Установка и базовая настройка маршрутизации NAT, в Windows Server 2012-2016

Предварительно, сделайте настройку всех Ваших сетевых адаптеров.

Установка роли «Удалённый доступ»
  • Открываем диспетчер устройств, и заходим в «Добавить роли и компоненты».
  • Жмём «Далее», на памятке мастера.
  • В выборе типа установки, нас интересует «Установка ролей и компонентов».
  • Жмём «Далее».

Выбор целевого сервера.

  • Выбираем нужный сервер, или виртуальный жёсткий диск.
  • Жмём «Далее».

Выбор ролей сервера.

  • Выбираем «Удалённый доступ».
  • Жмём «Далее».

Выбор компонентов.

  • Если нужно, что то дополнительно, выбираем и жмём «Далее».

Информативное окно об удалённом доступе.

Выбор служб ролей.

  • Выбираем «Маршрутизация».
  • Появляется окно, с компонентами необходимыми для маршрутизации.
  • Жмём «Добавить компоненты».
  • В окне выбора ролей, жмём «Далее».
  • Информативное окно, о роли устанавливаемого веб сервера, который необходим для работы маршрутизации.
  • Жмём «Далее».
  • В окне выбора служб ролей жмём «Далее».

Подтверждение установки компонентов.

  • Проверяем, если всё верно, жмём «Установить».
  • Начинается процесс установки.
  • Ждём завершения, и жмём «Закрыть».

Настройка маршрутизации и удалённого доступа
  • В области уведомлений диспетчера сервера, находим раздел «Средства».
  • Кликаем по нему, и заходим в раздел «Маршрутизация и удалённый доступ».
  • В открывшейся консоли, кликаем правой кнопкой мышки на нашем сервере, и в выдающем меню жмём на «Настроить и включить маршрутизацию и удалённый доступ».
  • Открывается окно мастера, жмём «Далее».

Конфигурация.

  • Выбираем «Преобразование сетевых адресов NAT».
  • Жмём «Далее».

Подключение к интернету на основе NAT.

  • Выбираем первый вариант, а в списке интерфейсов, тот который имеет подключение к интернету.
  • Жмём «Далее».

Службы преобразования имён и адресов.

  • Так же, выбираем первый вариант «Включить базовые службы».
  • Жмём «Далее».

Назначение диапазонов адресов.

  • Система, исходя из подключения вашего сетевого адаптера, определяет диапазон адресов, которым будет обеспечена поддержка маршрутизации.
  • Жмём «Далее».
  • В последнем окне мастера, жмём «Готово».
  • Начинается запуск необходимых служб.
  • По окончании, в окне консоли, появляется сообщение, о том, что служба маршрутизации и удалённого доступа настроена на этом сервере.

Для проверки работы маршрутизации, можно на любом компьютере Вашей локальной сети, в качестве основного шлюза указать адрес сервера, на котором Вы запустили NAT. Компьютер получит доступ в интернет.

Сегодня мы рассмотрели тему: «Настройка NAT в Windows server 2012-2016». Добавили необходимую роль, установили нужные компоненты, и сделали базовую настройку.

Надеюсь статья была вам полезна. До встречи в новых статьях.

С уважением, Андрей Бондаренко.

Видео на тему «Настройка NAT в Windows server 2016»:

Настройка маршрутизатора на основе Windows Server 2012R2

Настройка маршрутизатора на основе Windows Server 2012R2

В статье показано как настроить ОС Windows Server 2012 R2 в качестве маршрутизатора. Настраиваемый сервер имеет 2 физических сетевых интерфейса. Каждому сетевому интерфейсу будет назначен статический IP адрес из разных подсетей. Для удобства, сетевые интерфейсы можно переименовать.

Сетевая карта 1 (сетевая карта подключена во внутреннюю сеть):
Имя: in
IP: 10.0.100.1
Сетевая карта 2 (сетевая карта во внешней сети):
Имя: out
IP: 172.16.0.1

Цель: организовать маршрутизацию пакетов из локальной сети 10. 0.100.1 во внешнюю сеть 172.16.0.1.

Для начала необходимо добавить новую роль «Удаленный доступ» (Remote Access) на сервере, для этого откроем консоль «Диспетчер серверов» (Server Manager):

Выбираем Manage ->  «Добавить роли и компоненты»(Add Roles and Features), выбираем галкой роль «Удаленный доступ» (Remote Access):

В составе роли выбираем службу «Маршрутизация» (Routing), по умолчанию должны установиться дополнительные компоненты, соглашаемся, и запускаем ее установку (Install):

После окончания установки роли открываем консоль «Маршрутизация и удаленный доступ»(Routing and Remote Access) (Ctr + R, rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем «Настроить и включить маршрутизацию и удаленный доступ» (Configure and Enable Routing and Remote Access).

В окне мастера выбираем пункт «Подключение на основе NAT» (Network Address Translation, NAT)

Далее выбираем сетевой интерфейс, подключённый ко внешней сети (или Интернету) (в примере это сетевой интерфейс out с ip 172. 16.0.1). Данный сетевой интерфейс будет «публичным интерфейсом» нашего NAT.

Далее будет предложено указать  должен ли NAT, обеспечить клиентов внутренней сети службами DHCP\DNS. Обычно, данный функционал во внутренней сети уже присутствует, поэтому выбираем пункт «Установить службы сопоставления имен и адресов позднее».

Завершение мастера сервера маршрутизации и удаленного означает, что базовые настройки маршрутизации на Windows Server 2012 R2 завершены. В данной конфигурации сервер должен выполнять маршрутизацию пакетов между двух подсетей, при этом выполнять трансляцию сетевых адресов (NAT).

Чтобы убедиться что функционал работает:

  1. В консоли «RRAS» откройте свойства сервера, вкладку «Общие» (General) и убедитесь, что IPv4 маршрутизация включена и счетчики входящих и выходящих байтов увеличиваются.
  2. Проверить работу маршрутизации можно, указав на клиентском ПК во внутренней сети (к которой подключен сетевой интерфейс «in») в качестве шлюза IP-адрес сервера (10. 0.100.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или в интернете. Команда ping должна быть успешна.
Примечание. Если нужно добавить новый маршрут, щелкните в меню «Статические маршруты»,  выберите пункт меню «новый статический маршрут» (New static route) и создайте новое статическое правило маршрутизации. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.

 

Вконтакте

Одноклассники

Мой мир

Facebook

E-mail

служба маршрутизации и удаленного доступа

Одним из многих преимуществ использования службы маршрутизации и удаленного доступа Windows Server (RRAS) в качестве VPN-сервера для поддержки Windows 10 Always On VPN-подключений является то, что она включает поддержку протокола безопасного туннелирования сокетов (SSTP). SSTP — это протокол VPN на основе TLS, который легко настроить и развернуть, и он очень дружелюбен к брандмауэрам. Это обеспечивает согласованное и надежное соединение даже за ограничительными брандмауэрами. Citrix ADC (ранее NetScaler) — популярная платформа для балансировки нагрузки Always On VPN-подключений.В этой статье я опишу, как настроить балансировку нагрузки на Citrix ADC для подключений RRAS VPN с использованием протокола SSTP VPN.

Специальное примечание: в декабре 2019 года в Citrix ADC была обнаружена серьезная уязвимость системы безопасности, которая дает неаутентифицированному злоумышленнику возможность произвольно выполнять код на устройстве. На момент написания этой статьи исправление недоступно (срок истекает в конце января 2020 г.), но временное решение можно найти здесь.

Балансировка нагрузки SSTP

Ранее я писал о некоторых случаях использования и преимуществах балансировки нагрузки SSTP, а также о вариантах разгрузки TLS для подключений SSTP VPN.Балансировка нагрузки SSTP устраняет единые точки отказа и обеспечивает поддержку нескольких серверов RRAS VPN для повышения масштабируемости. Обычно рекомендуется настроить Citrix ADC для прохождения через зашифрованные подключения SSTP VPN. Однако разгрузку TLS можно настроить для повышения производительности и уменьшения использования ресурсов на серверах VPN, если это необходимо.

Конфигурация

Балансировка нагрузки SSTP на Citrix ADC проста и мало чем отличается от балансировки нагрузки на обычном веб-сервере HTTPS.Ниже приведены конкретные настройки и параметры, необходимые для балансировки нагрузки SSTP с помощью Citrix ADC.

Примечание. Эта статья не является исчерпывающим руководством по настройке Citrix ADC. Предполагается, что администратор знаком с основными концепциями балансировки нагрузки и имеет опыт настройки Citrix ADC.

Сервисные настройки

Служба балансировки нагрузки для SSTP VPN должна быть настроена для использования TCP-порта 443 и протокола SSL_BRIDGE .Если требуется разгрузка TLS, можно настроить TCP-порт 80 и протокол HTTP . Однако при включенной разгрузке TLS на сервере RRAS требуется дополнительная настройка. Подробную информацию о настройке RRAS и SSTP для разгрузки TLS можно найти здесь.

Настройки виртуального сервера

Виртуальный сервер настроен на использование TCP-порта 443. Рекомендуется использовать SSLSESSION persistence.

Метод балансировки нагрузки LEASTCONNECTION является рекомендуемым вариантом для метода балансировки нагрузки.

Мониторинг услуг

Использование монитора TCP по умолчанию (tcp-default) не рекомендуется для мониторинга SSTP, поскольку простая проверка порта TCP неточно отражает состояние службы SSTP, работающей на сервере RRAS. Чтобы более точно отслеживать статус службы SSTP, необходимо создать новый настраиваемый монитор и привязать его к службам балансировки нагрузки. Выполните следующие действия, чтобы настроить пользовательский монитор SSTP VPN на Citrix ADC.

  1. Откройте консоль управления Citrix ADC и разверните Traffic Management .
  2. Выберите Мониторы .
  3. Щелкните Добавить .
  4. Введите описательное имя в поле Имя .
  5. Выберите HTTP из раскрывающегося списка Тип и щелкните Выберите .
  6. Отрегулируйте значения Interval и Response Time-out в соответствии с вашими требованиями.
  7. Введите 401 в поле Response Codes и нажмите кнопку «+» .
  8. В поле Response Codes щелкните « x » рядом с 200 .
  9. В поле HTTP-запрос введите HEAD / sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75} / .
  10. Установите флажок рядом с Secure ( не требуется, если включена разгрузка TLS ).
  11. Выберите ns_default_ssl_profile_backend из раскрывающегося списка SSL-профиль ( не требуется, если включена разгрузка TLS ).
  12. Щелкните Создать .

По завершении привяжите новый монитор службы к службам балансировки нагрузки или группам служб соответственно.

Разгрузка TLS

Обычно рекомендуется не включать разгрузку TLS для SSTP VPN. Однако, если требуется разгрузка TLS, она настраивается почти так же, как обычный веб-сервер HTTPS. Подробное руководство по включению разгрузки TLS на Citrix ADC можно найти здесь. Подробную информацию о настройке RRAS и SSTP для поддержки разгрузки TLS можно найти здесь.

Сертификаты

При включении разгрузки TLS для подключений SSTP VPN рекомендуется установить общедоступный сертификат SSL на сервере RRAS, даже если обработка TLS будет выполняться на Citrix ADC, а HTTP будет использоваться между Citrix ADC и сервером RRAS. Если установка общедоступного сертификата SSL на сервере RRAS невозможна, потребуется дополнительная настройка. В частности, разгрузка TLS для SSTP должна быть настроена с помощью Enable-SSTPOffload.ps1 PowerShell, который можно найти здесь.

После загрузки сценария откройте командное окно PowerShell с повышенными привилегиями и введите следующую команду.

. \ Enable-SSTPOffload.ps1 -CertificateHash [Хэш сертификата SHA256 публичного сертификата SSL] -Restart

Пример:

. \ Enable-SSTPOffload.ps1 -CertificateHash ‘C3AB8FF13720E8AD9047DD39466B3C8974E592C2FA383D4A3960714CAEF0C4F2’ -Restart

Повторное шифрование

При разгрузке TLS для подключений SSTP VPN весь трафик между Citrix ADC и сервером RRAS будет передаваться в открытом виде с использованием HTTP.В некоторых случаях разгрузка TLS требуется только для проверки трафика, а не для повышения производительности. В этом сценарии Citrix ADC будет настроен на завершение и повторное шифрование подключений к серверу RRAS. Если требуется прерывание TLS на Citrix ADC и повторное шифрование подключений к серверу RRAS, один и тот же сертификат должен использоваться как на Citrix ADC, так и на сервере RRAS. Использование разных сертификатов на сервере RRAS и балансировщике нагрузки не поддерживается.

Дополнительная информация

Windows 10 Always On VPN с балансировкой нагрузки и разгрузкой SSL

Конфигурация разгрузки SSL для Citrix ADC (NetScaler)

Windows 10 Always On VPN SSTP Load Balancing с Kemp LoadMaster

Windows 10 Always On VPN SSTP Load Balancing с F5 BIG-IP

Windows 10 Always On VPN подключается, а затем отключает

Windows 10 Always On VPN Требования к SSL-сертификату для SSTP

Нравится:

Нравится Загрузка…

Как установить VPN с помощью RRAS (удаленный и маршрутизирующий доступ) | Блог о хостинге Windows VPS

Вы, наверное, слышали о VPN . VPN — это виртуальная частная сеть , которая обеспечивает безопасность и конфиденциальность ваших частных и общедоступных сетей. Он создает безопасное соединение в общедоступной сети. Вы можете подключить несколько систем к серверу VPN и использовать пропускную способность VPN для подключения к общедоступной сети.

Существуют различные протоколы VPN для защищенной связи, а именно.IPSec, SSL и TLS, PPTP и L2TP. Из них PPTP (протокол туннелирования точка-точка) является широко используемым протоколом. Это один из самых простых в настройке и обслуживании протоколов по сравнению с другими протоколами.

VPN — это наиболее эффективный и недорогой способ построения защищенной частной сети. Хотя это самый недорогой вариант, для его успешной реализации требуется немало технических знаний.

На рынке есть различные платные программы для VPN. Но если вы используете сервер Windows, вы можете использовать RRAS для настройки своего собственного VPN-сервера без каких-либо дополнительных затрат.В этой статье вы узнаете, как установить VPN с помощью удаленного и маршрутизирующего доступа и подключиться к нему из локальной системы ( с рабочим доступом в Интернет ). (Действия выполняются в ОС Windows Server 2012 R2)

  1. Войдите на свой сервер через удаленный рабочий стол, на котором вы хотите установить VPN.
  2. Откройте Server Manager и щелкните Добавить роли и компоненты.
  3. Следуйте инструкциям мастера установки. Выберите « Установка на основе ролей или функций » Тип установки.
  4. В поле выбора сервера отметьте « Выберите сервер из пула серверов ». Вы увидите свой сервер с именем компьютера в пуле серверов.
  5. Выберите роль « Удаленный доступ » в ролях сервера и нажмите Далее.
  6. Не вносите никаких изменений в «Функции» и нажмите «Далее».
    В службах ролей выберите службы DirectAccess и VPN , Маршрутизация и нажмите Далее.
  7. Просмотрите страницу установки и нажмите «Установить», когда будете готовы.
    После завершения установки нажмите « Открыть мастер начала работы ».
  8. Вы увидите мастер « Настроить удаленный доступ ». Нажмите Развернуть только VPN .
  9. Вы увидите MMC маршрутизации и удаленного доступа. Щелкните правой кнопкой мыши имя своего сервера и выберите « Настроить и включить маршрутизацию и удаленный доступ ».
  10. Теперь следуйте инструкциям мастера установки. Нажмите Далее в мастере приветствия.
  11. В мастере настройки выберите «Доступ к виртуальной частной сети и NAT » и нажмите «Далее».
  12. В VPN-подключении выберите сетевой интерфейс , который имеет общедоступный IP-адрес с правильным подключением к Интернету и нажмите Далее.
  13. В разделе «Назначение IP-адреса» выберите « Из указанного диапазона адресов » и нажмите «Далее».
  14. В разделе «Назначение диапазона адресов» нажмите «Новый» и добавьте локальный IP-адрес диапазон (здесь убедитесь, что начальный IP-адрес совпадает с основным IP-адресом вашей внутренней сети). Это будет использоваться для выделения IP-адреса удаленным клиентам, которые подключаются к этому серверу VPN.После добавления диапазона IP-адресов нажмите «Далее», чтобы продолжить.
  15. В разделе «Управление множественным сервером удаленного доступа» выберите « Нет, использовать маршрутизацию и удаленный доступ для аутентификации запросов на соединение » и нажмите «Далее».
  16. При завершении работы мастера щелкните Готово. Вам будет предложено сообщение для агента ретрансляции DHCP, просто нажмите ОК для этого сообщения.

Теперь вам нужно будет разрешить порт RDP в службах NAT и порты . Для этого выполните указанные ниже шаги.

  1. В разделе «Маршрутизация и удаленный доступ» разверните сервер → IPV4 → NAT .
  2. Щелкните правой кнопкой мыши Внешнюю сеть, перейдите к свойствам → Службы и порты .
  3. Нажмите «Добавить», введите описание этой службы, введите RDP-порт и IP-адрес VPS и нажмите «ОК».

ПРИМЕЧАНИЕ 1 : Если эта служба не добавлена, вы не сможете получить доступ к своему серверу через RDP.

ПРИМЕЧАНИЕ 2 : Если на вашем сервере установлен брандмауэр, вам необходимо разрешить порт TCP 1723 для PPTP.

Теперь давайте настроим настройки пользователя, который будет использоваться для установления соединения VPN с клиентского / удаленного компьютера.

  1. Перейдите в Администрирование → Управление компьютером → Локальные пользователи и группы → Пользователи.
  2. Щелкните правой кнопкой мыши пользователя (которого вы хотите настроить для подключения к VPN) и выберите свойства.
  3. Перейдите на вкладку Dial-in, выберите « Allow access » в опции «Network Access Permission» и нажмите «Apply».

Ваш VPN-сервер готов для клиентских / удаленных подключений.

Теперь давайте посмотрим, как настроить клиентский компьютер для подключения к VPN-серверу.

  1. Откройте центр управления сетями и общим доступом вашей локальной системы. Щелкните « Set up a new Connection or Network ».
  2. Щелкните Подключиться к рабочему месту .
  3. Щелкните Использовать мое подключение к Интернету ( VPN )
  4. Введите IP-адрес VPN-сервера (основной / статический IP-адрес внешней сети с подключением к Интернету) и нажмите «Далее».
  5. Введите данные для входа на VPN-сервер и нажмите «Подключиться».
  6. И ваша локальная машина подключена к серверу VPN. Если вы проверите свой IP-адрес с помощью любого онлайн-инструмента, вы увидите, что ваш IP-адрес принадлежит VPN-серверу, а не локальному интернет-провайдеру.

Это все. Теперь ваша клиентская машина будет иметь доступ в Интернет через VPN. Однако, если вы обнаружите какие-либо трудности, не стесняйтесь задать свой вопрос здесь, в этом блоге.

(Посещали 98270 раз, сегодня 23 раза)

Служба маршрутизации и удаленного доступа (RRAS)

Windows 7 / Сеть

с маршрутизацией и удаленным доступом (RRAS), компьютер под управлением Windows Server 2008 может функционировать как сетевой маршрутизатор, который маршрутизирует IP-пакеты между сетями. Эта услуга маршрутизатора позволяет легко соединять локальные и глобальные сети. Технология маршрутизации встроена в операционную систему, обеспечивая небольшие и крупные предприятия с экономичным и безопасным способом соединения своих сетей.

Вы устанавливаете службу маршрутизации и удаленного доступа, используя команду Добавить роли. Волшебник. Чтобы установить службу маршрутизации и удаленного доступа, выполните следующие действия:

  1. В главном окне диспетчера серверов в разделе «Сводка ролей» нажмите «Добавить». роли. Или, если вы используете окно Задачи начальной настройки, в разделе Настройте этот сервер, щелкните Добавить роли.
  2. В мастере добавления ролей нажмите Далее.
  3. В списке ролей сервера выберите Network Policy and Access Services. Дважды щелкните Далее.
  4. В списке служб ролей выберите Службы маршрутизации и удаленного доступа к выберите все службы ролей. Вы также можете выбрать отдельные роли сервера. Нажмите «Далее.
  5. Выполните действия мастера добавления ролей, чтобы завершить установку.

После завершения установки служба маршрутизации и удаленного доступа установлен в отключенном состоянии.Чтобы включить службу маршрутизации и удаленного доступа, выполните следующие действия:

  1. Открытая маршрутизация и удаленный доступ.
  2. По умолчанию локальный компьютер указан как сервер.
  3. Чтобы добавить еще один сервер, в дереве консоли щелкните правой кнопкой мыши Состояние сервера и выберите Добавить сервер.
  4. В диалоговом окне «Добавить сервер» выберите соответствующий параметр и нажмите кнопку «ОК».
  5. В дереве консоли щелкните правой кнопкой мыши сервер, который нужно включить, а затем щелкните Настроить и включить маршрутизацию и удаленный доступ.Нажмите «Далее.
  6. Щелкните Custom Configuration (Пользовательская конфигурация) и щелкните Next (Далее).
  7. Чтобы включить маршрутизацию LAN, выберите LAN routing и нажмите Next.
  8. Нажмите кнопку «Готово».

Чтобы включить маршрутизацию LAN и WAN после включения службы маршрутизации и удаленного доступа:

  1. Открытая маршрутизация и удаленный доступ.
  2. Щелкните правой кнопкой мыши имя сервера, для которого вы хотите включить маршрутизацию, и выберите «Свойства».
  3. На вкладке Общие выберите соответствующий маршрутизатор IPv4 и IPv6. и выберите либо Маршрутизация только по локальной сети (LAN), либо Маршрутизация по локальной сети и по требованию.
  4. Нажмите ОК.

Раздел 5.5. Внедрение, управление и поддержка маршрутизации и удаленного доступа

5.5. Внедрение, управление и поддержка маршрутизации и удаленного доступа

Локальные сети (LAN), глобальные сети (WAN), коммутируемые соединения и виртуальные частные сети (VPN) — все они играют все возрастающую роль в подключенном рабочем месте, что означает маршрутизацию и удаленный доступ становятся все более важной сферой ответственности современных администраторов.Ожидается, что администраторы будут знать, какие из множества вариантов маршрутизации и удаленного доступа доступны для использования в случае необходимости, и они должны знать, как управлять внедренными технологиями и поддерживать их.

5.5.1. Общие сведения о маршрутизации и удаленном доступе

Используя службу маршрутизации и удаленного доступа (RRAS), Windows Server 2003 может быть настроен как многоцелевой сервер удаленного доступа и IP-маршрутизатор для подключения локальных сетей к локальным сетям, локальных сетей к глобальным сетям, удаленного доступа к локальным сетям и т. Д. VPN в локальные сети.Ключевые преимущества использования Windows Server 2003 в этой роли заключаются в том, что она упрощает управление, поддержку и сетевую интеграцию по сравнению с аппаратными маршрутизаторами. Простота управления, поддержки и интеграции в первую очередь объясняется тем, что администраторы реализуют контроль доступа и правила разрешений с использованием стандартных политик безопасности и групповых политик Windows.

В роли сервера удаленного доступа сервер RRAS может быть настроен для:

  • Удаленный доступ по беспроводной сети, удаленному доступу или VPN, что позволяет компьютерам подключаться к серверу с помощью удаленного доступа или VPN-соединения. .

  • Преобразование сетевых адресов (NAT), которое позволяет внутренним компьютерам получать доступ в Интернет, используя общедоступный IP-адрес из назначенного пула адресов.

  • VPN и NAT, что позволяет удаленным клиентам подключаться к серверу через Интернет, а локальным клиентам — подключаться к Интернету, используя общедоступный IP-адрес из назначенного пула адресов.

  • Безопасные соединения между двумя частными сетями, которые можно использовать для подключения сети, в которой расположен сервер, к удаленной сети.

  • Пользовательская конфигурация, допускающая любую комбинацию доступных функций.

После этого один сервер RRAS может обрабатывать как удаленный доступ, так и NAT. Удаленный доступ также можно настроить для коммутируемых соединений Ethernet и безопасных соединений между частными сетями.

В роли IP-маршрутизатора сервер RRAS может быть настроен со статическими таблицами маршрутизации и одним или несколькими протоколами сетевой маршрутизации. Каждый протокол маршрутизации имеет различное предназначение и функцию.Протоколы маршрутизации, с которыми вы обычно работаете, включают:

Протокол маршрутизации агента ретрансляции DHCP

Позволяет серверу маршрутизировать широковещательные сообщения DHCP между подсетями. Протокол маршрутизации агента DHCP-ретрансляции необходим для организаций с централизованными DHCP-серверами и несколькими подсетями.

Протокол информации маршрутизации (RIP) версии 2 для Интернет-протокола

Разрешает динамическую маршрутизацию между подсетями. RIP — это легко управляемый протокол маршрутизации, но с ограничением до 15 переходов.Для успешной связи между исходным и конечным компьютерами может быть не более 15 устройств маршрутизации.

Сначала откройте кратчайший путь (OSPF)

Разрешает расширенную динамическую маршрутизацию между подсетями. С OSPF между исходным и конечным компьютерами может быть более 15 устройств маршрутизации. Однако OSPF сложнее настроить и поддерживать, чем RIP.

Консоль маршрутизации и удаленного доступа используется для управления всеми аспектами RRAS.Чтобы получить доступ к консоли, нажмите Пуск Программы Администрирование Маршрутизация и удаленный доступ. Когда вы запускаете консоль на сервере RRAS, консоль автоматически подключается к RRAS на этом сервере. Если вы запускаете консоль RRAS на своей рабочей станции или хотите подключиться к другому серверу RRAS, вы можете сделать это, щелкнув правой кнопкой мыши узел «Маршрутизация и удаленный доступ» и выбрав «Добавить сервер». Затем вы можете использовать диалоговое окно «Добавить сервер», чтобы выбрать удаленный сервер, с которым вы хотите работать, по его полному доменному имени или IP-адресу.

Состояние всех серверов, к которым вы подключены, можно просмотреть, щелкнув узел «Состояние сервера». Как показано на рис. 5-37, серверы перечислены по имени, типу, состоянию, используемым портам, общему количеству портов и времени безотказной работы в днях: часах: минутах. Для управления базовой службой щелкните правой кнопкой мыши запись сервера, выберите «Все задачи», а затем выберите «Пуск», «Остановить», «Приостановить» или «Перезапустить» в зависимости от ситуации.

Рисунок 5-37. Просмотрите состояние серверов RRAS с помощью узла «Состояние сервера».

По умолчанию служба маршрутизации и удаленного доступа устанавливается программой установки Windows Server 2003, но отключена.Прежде чем вы сможете использовать RRAS, вы должны включить и предварительно настроить RRAS. Как только вы это сделаете, вы должны завершить настройку каждой функции удаленного доступа и IP-маршрутизации, которую вы планируете использовать. Таким образом, для завершения настройки RRAS требуется следующее:

  1. Реализация службы маршрутизации и удаленного доступа.

  2. Добавление и настройка необходимых сетевых интерфейсов.

  3. Настройка свойств службы маршрутизации и удаленного доступа.

  4. Добавление и настройка необходимых протоколов IP-маршрутизации.

5.5.2. Реализация маршрутизации и удаленного доступа

Прежде чем вы сможете настроить сервер RRAS в любой роли, вы должны настроить сервер для маршрутизации и удаленного доступа, а затем включить службу маршрутизации и удаленного доступа. Серверы маршрутизации и удаленного доступа не могут использовать брандмауэр Windows / общий доступ к подключению к Интернету. Чтобы отключить брандмауэр Windows / службу общего доступа к подключению к Интернету, выполните следующие действия:

  1. Щелкните Пуск Программы, Службы администрирования.

  2. Щелкните правой кнопкой мыши Брандмауэр Windows / Общий доступ к подключению к Интернету и выберите «Свойства».

  3. Установите для параметра Тип запуска значение Отключено и нажмите кнопку ОК.

Служба маршрутизации и удаленного доступа устанавливается программой установки Windows Server 2003, но отключена. Вы можете включить и предварительно настроить эту службу, выполнив следующие действия:

  1. Открытая маршрутизация и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Щелкните правой кнопкой мыши запись сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».

  3. При запуске мастера настройки сервера маршрутизации и удаленного доступа щелкните Далее.

  4. Выберите Custom Configuration и нажмите Next.

  5. Как показано на Рисунке 5-38, теперь вы можете выбрать службы, которые хотите включить на сервере. Выберите только те сервисы, которые вы планируете настроить.

    Рисунок 5-38. Настройте сервер RRAS для поддержки служб, которые вы планируете реализовать.

  6. Нажмите «Далее», а затем — «Готово».

  7. Когда будет предложено запустить службу маршрутизации и удаленного доступа, нажмите Да.

Во время установки сервер RRAS становится членом группы безопасности «Серверы RAS и IAS» в локальном домене. Это членство необходимо для правильной работы маршрутизации и удаленного доступа.

5.5.3. Добавление интерфейсов и реализация безопасного доступа между частными сетями

Аппаратные маршрутизаторы имеют встроенные порты, которые используются для соединения сегментов сети.Маршрутизируя трафик от одного порта к другому, аппаратный маршрутизатор может направлять трафик между сегментами сети. Как правило, количество сегментов сети, которые могут быть подключены, зависит от количества встроенных портов.

При использовании RRAS количество сегментов сети, которые можно маршрутизировать, зависит от количества сетевых интерфейсов, установленных на сервере RRAS. Например, если сервер RRAS имеет три сетевые карты и две карты модема, RRAS может маршрутизировать трафик между пятью сетями.

Три типа сетевых интерфейсов, которые вы можете добавить и настроить:

  • Сетевые подключения

  • Коммутируемые подключения

  • VPN-подключения

Эти три подключения добавляются и настраиваются по-разному.Только VPN-соединения используются для обеспечения безопасного доступа между частными сетями.

5.5.3.1. Добавление и настройка интерфейсов для сетевых подключений

Когда вы запускаете мастер настройки сервера маршрутизации и удаленного доступа, он пытается автоматически обнаружить все установленные сетевые интерфейсы. Обнаруженные сетевые интерфейсы затем отображаются в узле «Сетевые интерфейсы» консоли «Маршрутизация и удаленный доступ». При доступе к узлу Сетевые интерфейсы вы должны увидеть подключение по локальной сети для каждой интерфейсной платы.Вы также увидите список интерфейсов для локального интерфейса обратной петли и локального внутреннего интерфейса. Если вы устанавливаете новую сеть после настройки RRAS, вам необходимо вручную добавить интерфейс.

Чтобы вручную добавить интерфейс маршрутизации, выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера и связанный узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел «Общие» и выберите «Новый интерфейс».

  4. В диалоговом окне «Интерфейсы» щелкните новый интерфейс, который нужно добавить, а затем нажмите кнопку «ОК».

  5. При появлении запроса настройте интерфейс соответствующим образом.

5.5.3.2. Добавление и настройка интерфейсов для коммутируемых соединений

Предварительно сконфигурированные коммутируемые соединения не добавляются и не настраиваются автоматически. Если вы хотите настроить маршрутизацию через соединения по требованию или постоянные коммутируемые соединения, вы должны добавить эти соединения вручную как интерфейсы вызова по требованию.

Чтобы добавить интерфейсы вызова по требованию, выполните следующие действия:

  1. Открытая маршрутизация и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера. Щелкните правой кнопкой мыши узел «Сетевые интерфейсы» и выберите «Новый интерфейс вызова по требованию».

  3. При запуске мастера интерфейса вызова по требованию щелкните Далее.

  4. Введите имя интерфейса. Нажмите «Далее.

  5. Выберите «Подключиться с помощью модема, ISDN или другого физического устройства».Нажмите «Далее.

  6. Продолжите с остальной частью экрана мастера.

5.5.3.3. Добавление и настройка интерфейсов для соединений VPN и PPPoE

VPN и протокол точка-точка через Ethernet (PPPoE) используются для безопасной связи между частными сетями. Хотя частные сети могут быть подключены напрямую или через коммутируемое соединение, соединения VPN и PPPoE настраиваются вручную как интерфейсы вызова по требованию.

Чтобы добавить интерфейс вызова по требованию для VPN или PPPoE, выполните следующие действия:

  1. Открытая маршрутизация и удаленный доступ.Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера. Щелкните правой кнопкой мыши узел «Сетевые интерфейсы» и выберите «Новый интерфейс вызова по требованию».

  3. При запуске мастера интерфейса вызова по требованию щелкните Далее. Введите имя интерфейса. Нажмите «Далее.

  4. Выберите либо переключатель «Подключиться с помощью виртуальной частной сети (VPN)», либо переключатель «Подключиться с использованием PPP через Ethernet (PPoE)» в зависимости от ситуации.Нажмите «Далее.

  5. Если вы настраиваете VPN, выберите тип интерфейса VPN и нажмите Далее. Поддерживаются как протокол туннелирования точка-точка (PPTP), так и протокол туннелирования уровня 2 (L2TP). По умолчанию соответствующий протокол может выбираться автоматически при установлении соединения. Однако только L2TP использует IPSec для расширенного шифрования, что делает его более безопасным. Нажмите «Далее.

  6. Если вы настраиваете PPPoE, при необходимости введите имя поставщика широкополосного подключения вашей организации.Нажмите «Далее.

  7. Введите IP-адрес маршрутизатора, к которому вы подключаетесь, как показано на Рисунке 5-39. Нажмите «Далее.

    Рисунок 5-39. Укажите адрес назначения для VPN-подключения.

  8. Выберите параметры транспорта и безопасности. Флажок Маршрутизировать IP-пакеты на этом интерфейсе установлен по умолчанию. Нажмите «Далее.

  9. Укажите постоянные статические маршруты к удаленным сетям, с которыми эта сеть будет взаимодействовать (см. Рисунок 5-40).Щелкните Добавить. В поле «Назначение» введите сетевой идентификатор целевой сети. В поле Network Mask введите сетевую маску целевой сети. В поле «Метрика» введите относительную стоимость маршрутизации через этот маршрутизатор. Щелкните ОК.

    Рисунок 5-40. Укажите статические маршруты по идентификатору сети, маске сети и метрике.

  10. Повторите шаг 9, чтобы добавить другие статические маршруты. Нажмите «Далее», когда будете готовы продолжить.

  11. Нажмите Далее. Введите учетные данные пользователя, которые будут использоваться для подключения к удаленному маршрутизатору.

  12. Нажмите «Далее», а затем — «Готово».

5.5.4. Настройка свойств службы сервера удаленного доступа

Свойства сервера RRAS используются для настройки многих аспектов удаленного доступа, включая аутентификацию пользователя. В консоли «Маршрутизация и удаленный доступ» откройте свойства сервера, щелкнув правой кнопкой мыши узел сервера и выбрав «Свойства». Хотя большинство изменений применяются автоматически, некоторые изменения, такие как изменение поставщиков проверки подлинности, требуют перезапуска службы маршрутизации и удаленного доступа.Для этого щелкните правой кнопкой мыши запись сервера, выберите «Все задачи» и выберите «Перезагрузить». Если вы хотите полностью отключить RRAS, щелкните правой кнопкой мыши запись сервера и выберите «Отключить маршрутизацию и удаленный доступ».

5.5.4.1. Управление конфигурацией сервера удаленного доступа

Если вы щелкните правой кнопкой мыши запись сервера в консоли «Маршрутизация и удаленный доступ» и выберите «Свойства», вы можете использовать параметры вкладки «Общие» для перенастройки RRAS (см. Рис. 5-41). В следующем списке описаны доступные параметры:

Рисунок 5-41.При необходимости измените конфигурацию RRAS, используя параметры вкладки Общие.

Маршрутизатор

Включает IP-маршрутизацию для использования с агентами ретрансляции DHCP, RIP, OSPF и т. Д.

Только маршрутизация локальной сети (LAN)

Ограничивает IP-маршрутизацию только маршрутизацией LAN, и не допускает соединений по требованию или VPN между сетями.

LAN и маршрутизация по требованию

Разрешает как LAN, так и маршрутизацию по требованию, а также поддерживает VPN-соединения между сетями.

Сервер удаленного доступа

Позволяет серверу обрабатывать подключения удаленного доступа от клиентов, которые используют удаленный доступ или VPN.

5.5.4.2. Управление безопасностью удаленного доступа

Если вы щелкните правой кнопкой мыши запись сервера в консоли «Маршрутизация и удаленный доступ» и выберите «Свойства», вы можете использовать параметры вкладки «Безопасность» для настройки безопасности удаленного доступа (см. Рис. 5-42). Список Authentication Provider позволяет вам указать, как проходят аутентификацию клиенты удаленного доступа и маршрутизаторы с вызовом по запросу.Возможны следующие варианты аутентификации:

Рисунок 5-42. Настройте безопасность сервера RRAS.

Аутентификация Windows

Метод аутентификации по умолчанию — Аутентификация Windows, что позволяет использовать стандартную безопасность Windows для аутентификации.

Аутентификация RADIUS

Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS) должна использоваться только в том случае, если в вашей организации есть серверы RADIUS, которые используются для централизованной аутентификации клиентов удаленного доступа и хранения учетной информации.

Список поставщиков учета позволяет указать, будут ли и как регистрироваться в журнале запросы на подключение и сеансы. Возможные варианты учета:

Нет

Отключает ведение журнала запросов на подключение и сеансов.

Windows Accounting

Записывает запросы на подключение и сеансы в файлы журнала, хранящиеся в папке журнала удаленного доступа.

Учет RADIUS

Отправляет сведения о запросах на подключение и сеансах на сервер RADIUS.Сервер RADIUS, в свою очередь, регистрирует эту информацию.

Последний параметр безопасности, который вы можете установить для сервера RRAS, используется с VPN. Если вы настроили VPN и установили L2TP в качестве типа протокола, вы можете использовать IPSec с L2TP для повышения безопасности. Для этого необходимо определить настраиваемую политику IPSec и включить соответствующие параметры безопасности для вашего сервера RRAS, выполнив следующие действия:

  1. Щелкните правой кнопкой мыши запись сервера в консоли «Маршрутизация и удаленный доступ» и выберите «Свойства».

  2. Щелкните вкладку Безопасность.

  3. Установите флажок Разрешить настраиваемую политику IPSec для L2TP-соединения.

  4. В текстовом поле Pre-Shared Key введите предварительный ключ для использования с настраиваемой политикой IPSec.

  5. Каждый клиентский компьютер, который будет осуществлять удаленный доступ к сети через VPN и на который распространяется политика IPSec, должен быть настроен с одним и тем же предварительным ключом.

5.5.4.3. Управление аутентификацией пользователей

Безопасность — важный компонент маршрутизации и удаленного доступа.В стандартной конфигурации RRAS сервер RRAS использует проверку подлинности Windows для проверки подлинности удаленных клиентов и регистрирует запросы на подключение и сведения о сеансе в журналах системных событий. Способ отправки учетных данных пользователя на сервер RRAS зависит от разрешенных методов аутентификации, которые можно установить, выполнив следующие действия:

  1. Щелкните правой кнопкой мыши запись сервера в консоли «Маршрутизация и удаленный доступ», а затем выберите «Свойства».

  2. Щелкните вкладку Безопасность.

  3. Нажмите кнопку «Методы аутентификации».

  4. Как показано на рис. 5-43, существует множество доступных методов для отправки учетных данных аутентификации на сервер RRAS.

    Рисунок 5-43. Настройте разрешенные методы аутентификации пользователей.

Когда удаленные клиенты пытаются подключиться к серверу RRAS, сервер пытается аутентифицировать клиента, используя выбранные методы аутентификации. Методы аутентификации используются в указанном порядке и по сути организованы от самого безопасного до наименее безопасного.Доступные методы аутентификации пользователей:

Extensible Authentication Protocol (EAP)

Extensible Authentication Protocol (EAP) расширяет методы аутентификации для PPP-соединений, включая методы EAP, настроенные с помощью политик удаленного доступа. В стандартной конфигурации эти политики позволяют использовать MD5-Challenge, Protected EAP (PEAP), смарт-карту или другой сертификат PKI.

Совет: EAP требуется, если вы хотите использовать смарт-карты с клиентами удаленного доступа.

Microsoft Encrypted Authentication версии 2 (MS-CHAP v2)

Microsoft Encrypted Authentication версии 2 (MS-CHAP v2) использует Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) версии 2 для аутентификации удаленного доступа и запроса. коммутируемые соединения с использованием взаимной аутентификации и надежного шифрования. MS-CHAP v2 требуется для зашифрованных соединений PPP и PPTP.

Microsoft Encrypted Authentication (MS-CHAP)

Microsoft Encrypted Authentication (MS-CHAP) использует Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) для аутентификации удаленного доступа и соединений по требованию с использованием шифрования.MS-CHAP требуется для зашифрованных соединений PPP и PPTP.

Зашифрованная аутентификация (CHAP)

Зашифрованная аутентификация (CHAP) использует протокол аутентификации с вызовом рукопожатия (CHAP) MD-5 для аутентификации удаленного доступа и соединений по требованию с использованием шифрования.

Протокол аутентификации пароля Shiva (SPAP)

Протокол аутентификации пароля Shiva (SPAP) использует аутентификацию с обратимым шифрованием и совместим с Shiva LAN Rover и клиентами Shiva.SPAP небезопасен.

Незашифрованный пароль (PAP)

Незашифрованный пароль (PAP) использует протокол аутентификации пароля (PAP) и отправляет пароли в виде обычного текста во время аутентификации. PAP — самый небезопасный метод аутентификации.

Политики удаленного доступа для использования с EAP указываются с помощью узла «Политики удаленного доступа» консоли «Маршрутизация и удаленный доступ». Политики применяются в порядке приоритета. Две стандартные политики:

  • Подключения к серверу маршрутизации и удаленного доступа Microsoft, которая применяется к подключениям к текущему выбранному серверу RRAS.

  • Подключения к другим серверам доступа, который применяется к подключениям к другим серверам доступа через текущий сервер.

Эти политики чрезвычайно важны, когда ваша организация использует серверы RADIUS для централизации аутентификации клиентов удаленного доступа. Новые политики удаленного доступа можно создать, щелкнув правой кнопкой мыши узел «Политики удаленного доступа» в консоли «Маршрутизация и удаленный доступ», выбрав «Новая политика удаленного доступа», а затем следуя подсказкам мастера создания политики удаленного доступа.

С каждой политикой может быть связан профиль удаленного доступа, который используется для установки прав доступа. Щелкните политику правой кнопкой мыши, выберите «Свойства», а затем нажмите кнопку «Изменить профиль», чтобы просмотреть и изменить параметры профиля. Параметры удаленного доступа, определенные в профиле пользователя, имеют приоритет над параметрами профиля удаленного доступа.

5.5.4.4. Управление назначением IP-адресов

Если вы щелкните правой кнопкой мыши запись сервера в консоли «Маршрутизация и удаленный доступ» и выберите «Свойства», вы можете использовать параметры вкладки IP для настройки назначения IP-адресов (см. Рисунок 5-44).Параметры назначения IP определяют, назначаются ли IP-адреса клиентам удаленного доступа и каким образом.

Рисунок 5-44. Настройте назначение IP-адреса.

Параметры назначения IP, которые вы можете настроить:

Включить IP-маршрутизацию

IP-маршрутизация управляет пересылкой IP-пакетов от одного интерфейса маршрутизации к другому. Вы должны установить флажок IP-маршрутизация, чтобы выполнялась маршрутизация по локальной сети и по требованию. Если вы хотите, чтобы клиенты удаленного доступа на основе IP могли получить доступ ко всей сети, к которой подключен сервер RRAS, установите флажок «IP-маршрутизация».Если вы хотите, чтобы клиенты удаленного доступа по IP имели доступ к серверу RRAS, но не к сети, снимите флажок «Включить IP-маршрутизацию».

Разрешить удаленный доступ по IP и подключения по требованию

Если вы установите флажок Разрешить удаленный доступ по IP и подключения по требованию, удаленный доступ по IP и подключения по требованию могут быть установлены с помощью RRAS. Все соединения по протоколу «точка-точка» (PPP) будут согласовывать соединения с использованием протокола управления интернет-протоколом (IPCP).Используемые параметры PPP настраиваются на вкладке PPP диалогового окна «Свойства».

Протокол динамической конфигурации хоста (DHCP)

Если вы выберете эту опцию, сервер RRAS назначает клиентские IP-адреса с помощью DHCP. На DHCP-серверах вашей организации вы можете использовать класс маршрутизации и удаленного доступа по умолчанию, чтобы определить отдельную конфигурацию для клиентов удаленного доступа. Если этого не сделать, клиенты удаленного доступа будут использовать ту же конфигурацию, что и другие клиенты DHCP.

Совет: На DHCP-сервере вашей организации области должны быть достаточно большими, чтобы серверы RRAS могли запрашивать блоки из 10 IP-адресов. На DHCP-сервере для клиентов RRAS должно быть не менее 10 свободных IP-адресов.

Пул статических адресов

При выборе этого параметра сервер RRAS назначает клиентам удаленного доступа статические IP-адреса из определенных пулов IP-адресов. Нажмите кнопку «Добавить», чтобы определить диапазон IP-адресов для использования в качестве пула адресов.

Включить разрешение широковещательного имени

Если вы выберете этот параметр, клиенты удаленного доступа могут использовать широковещательные сообщения для разрешения имен хостов в локальной подсети, к которой они подключаются, без использования WINS или DNS. Трансляции не пересылаются в другие подсети.

5.5.4.5. Управление ведением журнала удаленного доступа

Если щелкнуть правой кнопкой мыши запись сервера в консоли «Маршрутизация и удаленный доступ» и выбрать «Свойства», можно использовать параметры вкладки «Ведение журнала» для настройки ведения журнала и отладки событий.События RRAS хранятся в журналах системных событий, и по умолчанию записываются только ошибки и предупреждения. Вы можете изменить конфигурацию ведения журнала, чтобы регистрировать только ошибки, регистрировать все события или прекращать регистрацию.

Для отладки подключений к RRAS вы можете установить флажок Регистрировать дополнительную информацию о маршрутизации и удаленном доступе. Когда включена отладка, события PPP-подключения для удаленного доступа и подключений маршрутизации по требованию записываются в Ppp.log в папке% SystemRoot% \ Tracing.

5.5.5. Управление агентами ретрансляции DHCP

Клиенты DHCP используют широковещательные сообщения для связи с серверами DHCP. Как правило, широковещательные рассылки не маршрутизируются между подсетями и ограничиваются логическими границами подсети. По этой причине вам обычно требуется по крайней мере один DHCP-сервер для каждой подсети в вашей организации. В больших сетях может стать непрактичным наличие одного DHCP-сервера в каждой подсети. Это ограничение можно обойти, настроив агенты ретрансляции DHCP в подсетях. Агент ретрансляции — это маршрутизатор или компьютер в сети, который настроен для прослушивания широковещательных сообщений DHCP и пересылки широковещательных сообщений DHCP между клиентами и серверами.

Любой маршрутизатор, поддерживающий пересылку BOOTP, т. Е. Маршрутизаторы, соответствующие RFC-1542, может быть настроен как агент ретрансляции. При пересылке BOOTP маршрутизатор пересылает широковещательные сообщения DHCP от клиентов DHCP на серверы DHCP и информирует сервер DHCP об исходной подсети. Это позволяет отвечающему серверу DHCP назначать адреса удаленным клиентам из соответствующей области.

Используя маршрутизацию и удаленный доступ, любой сервер Windows 2000 или более поздней версии также может выступать в качестве агента ретрансляции DHCP.Процесс аналогичен пересылке BOOTP, и сервер, действующий как агент ретрансляции, не нужно настраивать как сетевой маршрутизатор между подсетями. Чтобы настроить сервер в качестве агента ретрансляции DHCP, необходимо выполнить следующие шаги:

  1. Установите протокол маршрутизации агента ретрансляции DHCP.

  2. Настройте протокол маршрутизации агента ретрансляции DHCP.

  3. Включите протокол маршрутизации агента ретрансляции DHCP.

После установки, настройки и включения протокола маршрутизации агента ретрансляции DHCP вы можете просмотреть его состояние, выбрав узел агента ретрансляции DHCP в консоли маршрутизации и удаленного доступа.

5.5.5.1. Установка протокола маршрутизации агента ретрансляции DHCP

Вы можете установить протокол маршрутизации агента ретрансляции DHCP, выполнив следующие действия:

  1. Открытая маршрутизация и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел «Общие» и выберите «Новый протокол маршрутизации».

  4. Щелкните Агент DHCP-ретрансляции, а затем щелкните OK.

5.5.5.2. Настройка протокола маршрутизации агента DHCP-ретрансляции

Вы можете настроить протокол маршрутизации агента DHCP-ретрансляции, выполнив следующие действия:

  1. Открытая маршрутизация и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши Агент DHCP-ретрансляции и выберите «Свойства».

  4. Введите IP-адрес DHCP-сервера для сети и нажмите «Добавить».Повторите, чтобы указать дополнительные DHCP-серверы.

  5. Нажмите ОК.

5.5.5.3. Включение протокола маршрутизации агента ретрансляции DHCP

После установки и настройки протокола маршрутизации агента ретрансляции DHCP необходимо включить один или несколько сетевых интерфейсов сервера. Для этого выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши DHCP Relay Agent и выберите New Interface.

  4. Щелкните сетевой интерфейс, для которого вы хотите включить протокол маршрутизации.

  5. Нажмите ОК.

  6. Откроется новое диалоговое окно, в котором по умолчанию установлен флажок «Ретранслировать пакеты DHCP».

  7. Используйте порог числа переходов, чтобы установить максимальное количество маршрутизаторов, через которые могут ретранслироваться широковещательные рассылки DHCP. По умолчанию четыре.

  8. Используйте порог загрузки (секунды), чтобы указать количество секунд, в течение которых агенты ретрансляции ждут перед пересылкой сообщений DHCP.По умолчанию — четыре секунды.

  9. Нажмите ОК.

5.5.6. Управление маршрутизацией TCP / IP

При установке маршрутизации и удаленного доступа и включении IP-маршрутизации вы можете добавить протоколы маршрутизации. Как обсуждалось ранее, основными протоколами, с которыми вы будете работать, являются протокол информации о маршрутизации (RIP) версии 2 для Интернет-протокола и сначала открытый кратчайший путь (OSPF). Кроме того, как уже упоминалось, оба протокола позволяют динамически управлять маршрутизацией.RIP идеально подходит для небольших сетей, поскольку его легко установить и настроить. OSPF лучше подходит для больших сетей, поскольку он более настраиваемый и может использоваться в расширенных сетях с более чем 15 маршрутизаторами между сегментами.

5.5.6.1. Установка RIP и OSPF

Вы можете установить протокол маршрутизации RIP или OSPF, выполнив следующие действия:

  1. Открытая маршрутизация и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел «Общие» и выберите «Новый протокол маршрутизации».

  4. Щелкните Протокол информации о маршрутизации (RIP) версии 2 для Интернет-протокола или Сначала откройте кратчайший путь (OSPF).

  5. Нажмите ОК.

После установки RIP и OSPF их можно настроить следующим образом в разделах «Настройка RIP» и «Настройка OSPF» соответственно.

5.5.6.2. Настройка RIP

При первоначальной настройке маршрутизатора RIP единственные записи в его таблицах маршрутизации относятся к сетям, к которым он физически подключен.Затем маршрутизатор начинает отправлять объявления о своей доступности другим маршрутизаторам обслуживаемых им сетей. Ответы на объявления позволяют маршрутизатору обновлять свои таблицы маршрутизации.

Способ отправки объявлений зависит от режима работы. Можно выбрать один из двух режимов работы: режим периодического обновления, в котором объявления RIP периодически отправляются для изучения доступных маршрутов, а маршруты удаляются автоматически при остановке и перезапуске маршрутизатора; и режим автостатического обновления, в котором объявления RIP отправляются, когда другие маршрутизаторы запрашивают обновления, изученные маршруты добавляются как статические, а маршруты остаются до тех пор, пока они не будут удалены вручную.Когда в топологии сети происходят изменения, RIP версии 2 использует запускаемые обновления для передачи изменений другим маршрутизаторам.

После установки RIP необходимо указать сетевой интерфейс или интерфейсы, через которые будет использоваться протокол. Для этого выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел RIP и выберите «Новый интерфейс».

  4. Выберите один из доступных сетевых интерфейсов, через который можно маршрутизировать RIP-трафик. Можно выбрать любой доступный интерфейс, и один и тот же интерфейс может использоваться несколькими протоколами IP-маршрутизации.

  5. Нажмите ОК.

Откроется диалоговое окно «Свойства RIP». Теперь вы можете настроить RIP, как описано в этом разделе. Диалоговое окно «Свойства RIP» также можно отобразить, щелкнув правой кнопкой мыши узел RIP и выбрав «Свойства».В диалоговом окне «Свойства RIP» есть две вкладки:

Общие

Параметры вкладки «Общие» контролируют запускаемые задержки обновления и ведение журнала событий. По умолчанию максимальное время ожидания маршрутизатора перед отправкой инициированных обновлений составляет пять секунд. По умолчанию регистрируются только ошибки. При необходимости вы можете изменить эти настройки.

Безопасность

Параметры вкладки «Безопасность» управляют тем, как маршрутизатор обрабатывает объявления.По умолчанию принимаются объявления со всех маршрутизаторов. Вы можете изменить это так, чтобы принимались только объявления от перечисленных маршрутизаторов, или чтобы принимались объявления от всех маршрутизаторов, кроме перечисленных.

После настройки общих параметров RIP настройте свойства соединения. Диалоговое окно «Свойства соединения» также можно отобразить, щелкнув узел RIP на левой панели, щелкнув правой кнопкой мыши сетевой интерфейс и выбрав «Свойства». Как показано на Рисунке 5-45, диалоговое окно Свойства соединения имеет четыре вкладки:

Рисунок 5-45.Настройка свойств маршрутизации для RIP.

Общие

Параметры вкладки Общие позволяют настроить режим работы, протокол пакетов и аутентификацию. Можно выбрать один из двух режимов работы: режим периодического обновления или режим автостатического обновления. Параметры протокола исходящих и входящих пакетов позволяют указать требуемые уровни соответствия протоколу. Параметры «Активировать аутентификацию» и «Пароль» позволяют включить аутентификацию для всех входящих и исходящих пакетов.При использовании аутентификации соседние маршрутизаторы должны быть настроены с идентичными паролями аутентификации. Эти пароли отправляются в виде открытого текста.

Безопасность

Параметры вкладки «Безопасность» позволяют настраивать фильтры маршрутов RIP. Для входящих маршрутов маршрутизатор может быть настроен на прием всех маршрутов, прием всех маршрутов в перечисленных диапазонах или разрешение всех маршрутов, кроме специально игнорируемых. Для исходящих маршрутов маршрутизатор может быть настроен для объявления всех маршрутов, объявления всех маршрутов в перечисленных диапазонах или для объявления всех маршрутов, кроме тех, которые специально игнорируются.

Соседи

Параметры вкладки «Соседи» позволяют настроить взаимодействие маршрутизатора с другими маршрутизаторами RIP. По умолчанию маршрутизатор использует только широковещательную или многоадресную рассылку и не имеет определенных соседей. Вы можете добавить определенные соседние маршрутизаторы в дополнение или вместо широковещательной или многоадресной рассылки.

Advanced

Параметры вкладки Advanced управляют периодическими объявлениями, истечением срока действия маршрутизации и обработкой.

5.5.6.3. Настройка OSPF

OSPF использует алгоритм Shortest Path First (SPF) для расчета маршрутов. Маршрут с наименьшей стоимостью маршрута — это кратчайший путь, и при маршрутизации первым всегда используется кратчайший путь. Маршрутизатор OSPF поддерживает базу данных состояний каналов, которую он использует для отслеживания топологии сети. База данных синхронизируется с соседними маршрутизаторами или специально определенными соседями нешироковещательного множественного доступа (NBMA). При изменении топологии сети первый маршрутизатор, идентифицировавший изменение, отправляет уведомление об изменении.Это уведомление об изменении используется для обновления базы данных состояний каналов, чтобы таблицы маршрутизации могли быть пересчитаны автоматически.

В отличие от RIP, OSPF делит сеть на транзитные зоны, которые можно рассматривать как зоны ответственности. Маршрутизаторы OSPF хранят информацию о состоянии канала только для тех транзитных областей, для которых они были настроены. После установки OSPF необходимо указать сетевой интерфейс или интерфейсы, через которые будет использоваться протокол. Для этого выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ.Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел OSPF и выберите «Новый интерфейс».

  4. Выберите один из доступных сетевых интерфейсов, через который можно маршрутизировать RIP-трафик. Можно выбрать любой доступный интерфейс, и один и тот же интерфейс может использоваться несколькими протоколами IP-маршрутизации.

  5. Нажмите ОК.

Откроется диалоговое окно «Свойства OSPF».Теперь вы можете настроить OSPF, как описано в этом разделе. Диалоговое окно «Свойства OSPF» также можно отобразить, щелкнув правой кнопкой мыши узел OSPF и выбрав «Свойства». В диалоговом окне «Свойства OSPF» есть четыре вкладки:

Общие

Параметры вкладки «Общие» задают идентификатор маршрутизатора и управляют регистрацией событий. Идентификатор сети автоматически устанавливается на IP-адрес соединения. По умолчанию регистрируются только ошибки. При необходимости вы можете изменить эти настройки.Граничный маршрутизатор автономной системы также может быть включен для объявления информации о внешней маршрутизации из других источников маршрута, таких как статические маршруты или OSPF.

Зоны

Параметры вкладки Зоны можно использовать для разделения сети на определенные транзитные зоны. Область по умолчанию — 0.0.0.0, которая представляет основу текущей сети.

Виртуальные интерфейсы

Параметры вкладки «Виртуальные интерфейсы» позволяют настраивать виртуальные интерфейсы для транзитных зон.

Внешняя маршрутизация

Параметры вкладки «Внешняя маршрутизация» позволяют настроить граничную маршрутизацию автономной системы. По умолчанию, когда он включен, принимаются все маршруты из всех источников маршрутов.

После того, как вы установили общие параметры OSPF, вы должны установить свойства для подключений, виртуальных подключений или того и другого. Связанное диалоговое окно «Свойства» также можно отобразить, щелкнув узел OSPF на левой панели, щелкнув соединение правой кнопкой мыши и выбрав «Свойства».Диалоговое окно «Свойства соединения» включает следующие вкладки:

Общие

Параметры вкладки «Общие» позволяют настроить идентификатор области, приоритет маршрутизатора, стоимость и пароль. Используя параметры типа сети, вы можете указать, является ли маршрутизатор широковещательным интерфейсом, двухточечным интерфейсом или нешироковещательным интерфейсом множественного доступа (NBMA).

Соседи NMBA

Если тип сети — интерфейс NBMA, параметры вкладки «Соседи NMBA» позволяют указать IP-адреса и приоритет маршрутизатора для соседей NMBA.

Advanced

Параметры вкладки Advanced управляют задержками транзита, интервалами повторной передачи, интервалами приветствия для обнаружения, мертвыми интервалами для определения неработающих маршрутизаторов и интервалами опроса для отслеживания неработающих маршрутизаторов. Максимальная единица передачи по умолчанию составляет 1500 байт. Это стандартный размер пакета IP-сетей.

5.5.6.4. Настройка таблиц маршрутизации

Хотя протоколы RIP и OSPF допускают динамическую маршрутизацию, иногда необходимо использовать статическую маршрутизацию.Статические маршруты обеспечивают постоянное сопоставление с конкретной сетью назначения в соответствии с идентификатором сети, маской сети и относительной стоимостью маршрута. Маршрутизаторы могут использовать эту информацию для определения шлюза, который будет использоваться для пересылки пакетов, чтобы можно было достичь хостов в сети назначения. Статические маршруты не разделяются между маршрутизаторами.

Статические маршруты можно настроить с помощью консоли «Маршрутизация и удаленный доступ» или команды добавления маршрута. Чтобы просмотреть существующие статические маршруты в консоли «Маршрутизация и удаленный доступ», выполните следующие действия:

  1. Откройте «Маршрутизацию и удаленный доступ».Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните узел Статические маршруты.

  4. Если маршруты не настроены, отображается маршрут по умолчанию с адресом назначения и маской подсети 0.0.0.0.

Чтобы добавить статический маршрут с помощью консоли маршрутизации и удаленного доступа, выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ.Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел «Статические маршруты» и выберите «Новый статический маршрут».

  4. В диалоговом окне Static Route, показанном на Рисунке 5-46, укажите интерфейс, для которого будет использоваться статический маршрут.

    Рисунок 5-46. Настройте статический маршрут.

  5. В полях «Назначение» и «Маска сети» укажите идентификатор сети назначения и маску сети.

  6. В поле Шлюз укажите IP-адрес шлюза для сервера RRAS.

  7. В поле «Метрика» укажите относительную стоимость маршрута.

  8. Нажмите ОК.

В консоли «Маршрутизация и удаленный доступ» можно удалить статический маршрут, щелкнув его правой кнопкой мыши и выбрав «Удалить».

Перед тем, как работать со статическими маршрутами из командной строки, вы должны распечатать текущие настроенные статические маршруты, введя route print.Вывод печати маршрута показывает текущие интерфейсы, статические маршруты и постоянные маршруты, как показано здесь:

 Таблица маршрутов IPv4 ========================= ================================================== Список интерфейсов 0x1 ........................... Интерфейс обратной связи MS TCP 0x10003 ... 00 03 ff 6b ef 12 ...... Адаптер PCI Fast Ethernet на базе Intel 21140 (общий) ======================================= ==================================== ============== ================================================== =========== Активные маршруты: метрика интерфейса шлюза сетевой маски назначения 0.0.0.0 0.0.0.0 192.168.0.25 192.168.0.25 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.25 192.168.0.25 20 192.168.0.25 255.255.255.255 127.0.0.1 127.0. 0.1 20 192.168.0.255 255.255.255.255 192.168.0.25 192.168.0.25 20 192.168.52.0 255.255.255.0 0.0.0.0 ffffffff 1 224.0.0.0 240.0.0.0 192.168.0.25 192.168.0.25 20 255.255.255.255 255.255.255.255 192.168.0.25 192.168.0.25 1 Шлюз по умолчанию: 192.168.0.25 =========================== ================================================ Постоянные маршруты : Нет

Если вы настроили IPv6, вы также увидите сведения о маршрутизации IPv6. Обратите внимание на шестнадцатеричный адрес интерфейсов в списке интерфейсов. Вы обращаетесь к интерфейсам по этому адресу.

Синтаксис команды добавления маршрута следующий:

 добавление маршрута  DestinationNetworkID  маска  NetworkMask   Шлюз  метрика  MetricCost  если  Интерфейс

Вы можете настроить статический маршрут, определенный на рис. 5-46, используя следующая команда:

 маршрут добавить 192.168.52.0 маска 255.255.255.0 192.168.0.1 метрика 1, если 0x10003

Метрика и интерфейс не являются обязательными. Если вы не укажете их, они будут выбраны автоматически. Чтобы сделать статический маршрут постоянным, вы можете использовать route add -p. Постоянные статические маршруты не удаляются, даже если маршрутизатор остановлен и перезапущен.

В командной строке вы можете удалить статический маршрут с помощью функции удаления маршрута. Синтаксис:

 удаление маршрута  DestinationNetworkID

Например:

 удаление маршрута 192.168.52.0

5.5.6.5. Настройка портов маршрутизации

При установке RRAS ряд портов маршрутизации создается автоматически. Порты маршрутизации используются для входящих подключений к серверу RRAS. Типы доступных портов зависят от конфигурации сервера RRAS.

Чтобы просмотреть или сбросить порты, выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера.

  3. Щелкните узел Порты. Настроенные порты перечислены по типу и статусу на правой панели.

  4. Чтобы просмотреть состояние и статистику порта, дважды щелкните запись порта.

  5. Чтобы сбросить порт, дважды щелкните запись порта, а затем нажмите кнопку «Сброс».

Вы можете настроить порты, выполнив следующие шаги:

  1. Открытая маршрутизация и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера.

  3. Щелкните правой кнопкой мыши узел «Порты» и выберите «Свойства».

  4. В диалоговом окне «Свойства портов» показаны типы настроенных портов и количество портов каждого типа.

  5. Чтобы изменить конфигурацию всех портов определенного типа, щелкните имя порта, а затем нажмите кнопку «Настроить».

  6. В диалоговом окне «Настройка устройства», показанном на рис. 5-47, укажите, как следует использовать порт, и установите необходимое количество портов.

    Рисунок 5-47. Настройте порты устройства.

    • Если вы настроили PPPoE, будет минипорт WAN для PPPoE, который используется для маршрутизации по требованию для исходящих подключений. Вы можете отключить использование порта, сняв флажок «Маршрутизирующие соединения по требованию» в диалоговом окне «Настройка устройства».

    • Если вы настроили VPN с использованием L2TP или PPTP, для каждого протокола будет несколько минипортов WAN. Конфигурация по умолчанию позволяет использовать до 128 портов.Вы можете добавить порты, увеличив параметр максимального количества портов. Вы можете настроить порты только для входящего использования удаленного доступа, для входящих и исходящих соединений с маршрутизацией по требованию или для обоих.

  7. Нажмите ОК.

5.5.7. Управление NAT и базовым брандмауэром

Преобразование сетевых адресов (NAT) позволяет нескольким клиентским компьютерам получать доступ к общедоступному Интернету, используя один общедоступный IP-адрес или пул общедоступных IP-адресов. NAT отделяет внутреннюю частную сеть вашей организации от общедоступной сети, чтобы вы могли использовать частные IP-адреса внутри и использовать общедоступные IP-адреса, когда клиентским компьютерам требуется доступ в Интернет.

NAT обеспечивает подключение к Интернету для внутренних клиентов через единый интерфейс, который позволяет использовать соединение по требованию или постоянное соединение. NAT включает в себя базовый брандмауэр, который можно использовать для блокировки входа внешнего трафика во внутреннюю сеть. В типичной безопасной конфигурации, включающей сервер NAT, сеть организации также будет использовать аппаратные брандмауэры, а сеть организации будет настроена таким образом, что входящий трафик должен сначала проходить через аппаратный брандмауэр, а затем проходить через сервер NAT.Эта конфигурация более безопасна и позволяет блокировать трафик на аппаратном межсетевом экране внешнего интерфейса до того, как он достигнет сервера NAT.

Используя маршрутизацию и удаленный доступ, любой сервер Windows 2000 или более поздней версии может действовать как сервер NAT и базовый брандмауэр. Чтобы настроить сервер для NAT и базового брандмауэра, вам необходимо:

  1. Установить протокол маршрутизации NAT / базового брандмауэра.

  2. Укажите используемый сетевой интерфейс.

  3. Настройте протокол маршрутизации NAT / Basic Firewall.

  4. При желании можно включить базовый брандмауэр и настроить фильтрацию пакетов.

После того, как протокол маршрутизации NAT / Basic Firewall установлен, настроен и включен, вы можете просмотреть его состояние, выбрав узел NAT / Basic Firewall в консоли Routing And Remote Access.

5.5.7.1. Установка протокола маршрутизации NAT / Basic Firewall

Вы можете установить протокол маршрутизации NAT / Basic Firewall, выполнив следующие действия:

  1. Открытая маршрутизация и удаленный доступ.Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел «Общие» и выберите «Новый протокол маршрутизации».

  4. Щелкните NAT / Базовый брандмауэр, а затем щелкните OK.

5.5.7.2. Настройка протокола маршрутизации NAT / Basic Firewall

После установки NAT / Basic Firewall необходимо указать сетевой интерфейс или интерфейсы, через которые будет использоваться протокол.Для этого выполните следующие действия:

  1. Откройте маршрутизацию и удаленный доступ. Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните правой кнопкой мыши узел NAT / Basic Firewall и выберите New Interface.

  4. Выберите интерфейс, который напрямую подключается к Интернету.

  5. Нажмите ОК.

Теперь вы можете настроить NAT и базовый брандмауэр, как описано в этом разделе.Диалоговое окно «NAT / Basic Firewall Properties» также можно отобразить, щелкнув правой кнопкой мыши узел NAT / Basic Firewall и выбрав «Свойства». Как показано на Рисунке 5-48, диалоговое окно Свойства трансляции сетевых адресов имеет четыре вкладки:

Рисунок 5-48. Диалоговое окно NAT / Basic Firewall Properties.

Общие

Параметры на этой вкладке используются для настройки регистрации событий. По умолчанию регистрируются только ошибки.

Преобразование

Параметры на этой вкладке используются для указания, когда удаляются сопоставления TCP и UDP.По умолчанию сопоставления TCP удаляются через 1440 минут, а сопоставления UDP удаляются через 1 минуту.

Назначение адреса

Параметры на этой вкладке определяют, предоставляет ли NAT-маршрутизатор IP-адреса на основе DHCP клиентам DHCP в частной сети. Когда внутренние клиенты используют NAT для доступа к общедоступному Интернету, вам обычно не нужно включать назначение адресов.

Разрешение имен

Параметры на этой вкладке определяют, будет ли NAT-маршрутизатор ретранслировать запросы разрешения имен DNS от хостов в частной сети на настроенный DNS-сервер для маршрутизатора.Когда внутренние клиенты используют NAT для доступа к общедоступному Интернету, вам обычно не нужно включать разрешение имен.

5.5.7.3. Включение базового брандмауэра и настройка фильтрации пакетов

В конфигурации NAT по умолчанию базовый брандмауэр не включен для использования с общедоступным интерфейсом, подключенным к Интернету. Если вы включите базовый брандмауэр для использования с общедоступным интерфейсом, подключенным к Интернету, базовый брандмауэр будет принимать входящий трафик из Интернета только в том случае, если он был запрошен сетью.Вы можете определить фильтры пакетов для управления сетевым трафиком, используя:

Фильтры входящих пакетов

Эти фильтры определяют, какие пакеты пересылаются или обрабатываются в сети.

Фильтры исходящих пакетов

Эти фильтры определяют, какие пакеты принимаются сетью.

Чтобы включить базовый брандмауэр и настроить фильтрацию пакетов для использования с общедоступным интерфейсом, подключенным к Интернету, выполните следующие действия:

  1. Открытая маршрутизация и удаленный доступ.Подключитесь к серверу, с которым хотите работать (при необходимости).

  2. Разверните узел сервера, а затем узел IP-маршрутизации.

  3. Щелкните NAT / Basic Firewall, а затем дважды щелкните сетевой интерфейс, который нужно настроить.

  4. На вкладке NAT / Basic Firewall установите флажок Enable A Basic Firewall On This Interface.

  5. Нажмите кнопку «Входящие фильтры», чтобы указать, какие пакеты пересылаются или обрабатываются сетью.

  6. Нажмите кнопку Outbound Filters, чтобы указать, какие пакеты принимаются сетью.

  7. Нажмите ОК.

5.5.8. Управление клиентами удаленного доступа

В консоли «Маршрутизация и удаленный доступ» вы можете просмотреть подключенных в данный момент клиентов, развернув узел сервера, а затем щелкнув узел «Клиенты удаленного доступа». Клиенты перечислены в соответствии с подключенным именем пользователя, продолжительностью и количеством используемых портов доступа.Вы можете управлять клиентами удаленного доступа:

Проверка статуса клиента

Чтобы просмотреть более подробный статус, щелкните правой кнопкой мыши запись клиента и выберите Статус.

Отключение клиента

Чтобы отключить клиента, щелкните правой кнопкой мыши запись клиента и выберите «Отключить».

Отправка сообщения клиенту

Чтобы отправить сообщение клиенту, щелкните правой кнопкой мыши запись клиента, выберите «Отправить сообщение», введите сообщение и нажмите кнопку «ОК».

Отправка сообщения всем клиентам

Чтобы отправить сообщение всем клиентам, щелкните правой кнопкой мыши узел «Клиенты удаленного доступа», выберите «Отправить всем», введите сообщение и нажмите OK.

Также имейте в виду следующее:

  • В Active Directory — пользователи и компьютеры, вы можете установить общие параметры удаленного доступа на вкладке Dial-in. Эти параметры используются для подключений по телефонной линии и VPN.

  • В консоли «Маршрутизация и удаленный доступ» можно управлять разрешениями удаленного доступа с помощью политик удаленного доступа.

5.5.9. Настройка IAS для обеспечения аутентификации

Серверы RADIUS используются для централизации аутентификации клиентов удаленного доступа и хранения учетной информации. Централизация аутентификации и учета снижает административные издержки на управление несколькими серверами RRAS.

Систему Windows Server 2003 можно настроить как сервер RADIUS, установив службу проверки подлинности в Интернете (IAS). Чтобы настроить IAS для использования в вашей организации, вам необходимо:

  1. Установить IAS на назначенный сервер.

  2. Зарегистрируйте сервер IAS в Active Directory.

  3. Настройте серверы RRAS в качестве клиентов IAS.

  4. Настройте серверы RRAS для использования RADIUS.

5.5.9.1. Установка IAS

Систему Windows Server 2003 можно настроить как сервер RADIUS, установив IAS. Установите IAS, выполнив следующие действия:

  1. Откройте «Установка и удаление программ» в Панели управления.

  2. В окне «Установка и удаление программ» щелкните «Установка и удаление компонентов Windows».

  3. Щелкните «Сетевые службы» и выберите «Свойства». Будьте осторожны, не снимайте флажок.

  4. Выберите Internet Authentication Service и нажмите OK.

  5. Нажмите Далее. Программа установки настраивает компоненты сервера.

  6. Нажмите Готово.

Вы управляете службой Интернет-аутентификации с помощью консоли службы Интернет-аутентификации, показанной на рис. 5-49, к которой можно получить доступ, щелкнув Пуск Программы Администрирование Служба Интернет-аутентификации.Когда вы запускаете консоль Internet Authentication Service на сервере IAS, консоль автоматически подключается к IAS на этом сервере. Вы не можете подключиться к другим серверам IAS.

Рисунок 5-49. Консоль службы проверки подлинности в Интернете.

5.5.9.2. Регистрация сервера RADIUS и настройка клиентов

Для завершения установки сервера RADIUS необходимо зарегистрировать сервер в Active Directory и сообщить RADIUS о серверах RRAS, которые пересылают информацию аутентификации и учета на серверы RADIUS в качестве клиентов.

Вы можете зарегистрировать сервер RADIUS в Active Directory, выполнив следующие действия:

  1. Откройте консоль службы проверки подлинности в Интернете.

  2. Щелкните правой кнопкой мыши узел службы проверки подлинности в Интернете.

  3. Выберите «Зарегистрировать сервер в Active Directory». Если это контроллер домена, он автоматически регистрируется в Active Directory.

Регистрация сервера в Active Directory делает его членом группы серверов RAS и IAS.Члены этой группы могут читать атрибуты удаленного доступа учетных записей пользователей.

Чтобы настроить серверы RRAS в качестве клиентов (что требуется для пересылки информации об аутентификации и учете), выполните следующие действия:

  1. Откройте консоль Internet Authentication Service.

  2. Щелкните правой кнопкой мыши узел «Клиенты RADIUS» и выберите «Новый клиент Radius».

  3. Введите имя хоста сервера RRAS в качестве понятного имени.

  4. Введите IP-адрес FQDN сервера RRAS.

  5. Нажмите Далее.

  6. Доступ к RADIUS Standard в качестве типа клиент-сервер.

  7. Введите и подтвердите общий секрет. Этот же общий секрет должен быть установлен на ваших серверах RRAS.

  8. Нажмите Готово.

После настройки пересылки аутентификации и учета служба маршрутизации и удаленного доступа на сервере RRAS пересылает запросы удаленного доступа на указанный сервер IAS. Сервер IAS, действующий как сервер RADIUS, управляет аутентификацией и учетом.

Вы также можете развернуть службу IAS как прокси-сервер RADIUS. В этой конфигурации служба маршрутизации и удаленного доступа на сервере RRAS перенаправляет запросы удаленного доступа на сервер IAS, который действует как прокси-сервер RADIUS для группы серверов RADIUS. Члены группы серверов RADIUS, в свою очередь, управляют аутентификацией и учетом. Запросы динамически балансируются с помощью сервера IAS, выступающего в качестве прокси-сервера RADIUS. Политики запросов на подключение могут быть определены на прокси-сервере RADIUS для сортировки запросов доступа и отправки их на конкретный сервер RADIUS.

5.5.9.3. Настройте свои серверы RRAS для использования RADIUS

После того, как вы установили IAS на свой выделенный сервер или серверы, вы можете сообщить другим серверам RRAS о серверах IAS, выполнив следующие шаги:

  1. Щелкните правой кнопкой мыши запись сервера в консоль «Маршрутизация и удаленный доступ» и выберите «Свойства».

  2. Щелкните вкладку Безопасность.

  3. Укажите, что RADIUS должен использоваться для аутентификации, выбрав RADIUS Authentication в качестве поставщика аутентификации.

  4. Нажмите «Настроить», чтобы указать сервер RADIUS, который будет использоваться для аутентификации. Добавьте серверы RADIUS в порядке приоритета. Порт UDP, через который можно устанавливать соединения, по умолчанию — порт 1812 UDP (на основе RFC 2138).

  5. Укажите, что RADIUS должен использоваться для учета, выбрав RADIUS Accounting в качестве поставщика учета.

  6. Нажмите «Настроить», чтобы указать сервер RADIUS, который будет использоваться для учета. Добавьте серверы RADIUS в порядке приоритета.Порт UDP, через который можно устанавливать соединения, по умолчанию — порт 1813 UDP (на основе RFC 2138).

  7. Нажмите ОК.

5.5.10. Устранение неполадок доступа пользователей к службам удаленного доступа

Устранение неполадок — критически важная часть работы любого администратора. Пользователи, подключающиеся к службам удаленного доступа, могут столкнуться с множеством различных типов проблем при подключении к сети или доступе к ресурсам. Если сервер RRAS настроен как маршрутизатор, правильная маршрутизация зависит от конфигурации.

5.5.10.1. Диагностика и решение проблем, связанных с установлением удаленного доступа через коммутируемое соединение

Клиенты удаленного доступа, которые подключаются через коммутируемое соединение, также могут использовать VPN. Если это так, вам следует устранить неполадки в самом коммутируемом соединении и, при необходимости, в соответствующей конфигурации VPN.

Для устранения неполадок удаленных подключений удаленного доступа используйте следующие методы с консолью маршрутизации и удаленного доступа:

  • На вкладке «Общие» диалогового окна «Свойства» сервера убедитесь, что сервер удаленного доступа включен.

  • На вкладке IP в диалоговом окне «Свойства» сервера убедитесь, что IP-маршрутизация включена, если клиенты должны иметь доступ к сети, и отключена, если клиенты должны иметь доступ только к серверу RRAS.

  • Если используются статические IP-адреса, проверьте правильность конфигурации пула адресов и наличие доступных IP-адресов.

  • Если используются динамические IP-адреса, проверьте конфигурацию DHCP-сервера. Область IP-адресов должна быть достаточно большой, чтобы сервер RRAS мог запрашивать блоки из 10 IP-адресов.

  • Используя узел «Порты», убедитесь, что сервер правильно настроил порты модема и что не все порты модема назначены.

  • Убедитесь, что у клиента, сервера RRAS и политики удаленного доступа настроен хотя бы один общий метод аутентификации и один общий метод шифрования.

  • Проверьте свойства удаленного доступа учетной записи пользователя в Active Directory — пользователи и компьютеры.

  • Убедитесь, что разрешения, учетные данные и политики доступа клиента и сервера настроены правильно.

  • Если для аутентификации используется RADIUS, убедитесь, что сервер RRAS является членом группы безопасности «Серверы RAS и IAS» в домене.

5.5.10.2. Диагностика и решение проблем, связанных с виртуальными частными сетями удаленного доступа

Виртуальные частные сети (VPN) используются с удаленным доступом в двух стандартных типах конфигураций. В первом типе клиенты удаленного доступа подключаются к серверу RRAS через VPN. Во втором типе серверы RRAS, настроенные как маршрутизаторы, подключаются к маршрутизаторам в других частных сетях с помощью VPN.

Для устранения неполадок VPN-подключений клиентов удаленного доступа используйте следующие методы с консолью маршрутизации и удаленного доступа:

  • На вкладке «Общие» диалогового окна «Свойства» сервера убедитесь, что сервер удаленного доступа включен.

  • Используя узел «Порты», убедитесь, что сервер правильно настроил порты и что не все порты назначены.

  • На вкладке «Безопасность» диалогового окна «Свойства» сервера убедитесь, что сервер использует соответствующий провайдер аутентификации и что для использования выбраны соответствующие методы аутентификации.

  • Убедитесь, что настройки профиля удаленного доступа верны и не конфликтуют со свойствами сервера. Щелкните правой кнопкой мыши политику удаленного доступа, выберите «Свойства» и нажмите кнопку «Изменить профиль».

  • Убедитесь, что у клиента, сервера RRAS и политики удаленного доступа настроен хотя бы один общий метод аутентификации и один общий метод шифрования.

  • Убедитесь, что сервер RRAS включен в группу безопасности серверов RAS и IAS в локальном домене.Это членство необходимо для правильной работы маршрутизации и удаленного доступа.

  • Проверьте базовую конфигурацию удаленного доступа, как описано в предыдущем разделе.

5.5.10.3. Диагностика и решение проблем, связанных с ресурсами за пределами сервера удаленного доступа

Если клиенты удаленного доступа могут подключаться к серверу RRAS, но не могут получить доступ к ресурсам в сети, вам необходимо проверить следующее для устранения неполадок:

  • На вкладке «Общие» диалогового окна «Свойства» сервера убедитесь, что маршрутизатор включен.

  • На вкладке «Общие» диалогового окна «Свойства» сервера убедитесь, что выбран параметр «ЛВС и маршрутизация по требованию».

  • На вкладке IP диалогового окна свойств сервера убедитесь, что выбран параметр «Включить IP-маршрутизацию».

  • Если используются статические IP-адреса, проверьте правильность настроек TCP / IP клиента.

  • Если используются динамические IP-адреса, убедитесь, что клиент получает правильные настройки TCP / IP от DHCP-сервера.

  • Если ваши клиенты удаленного доступа используют NetBIOS для разрешения имен, убедитесь, что на вкладке IP выбран параметр «Включить разрешение широковещательных имен».

5.5.11. Устранение неполадок Маршрутизация и удаленный доступ Маршрутизация

Компонент маршрутизации «Маршрутизация и удаленный доступ» может использовать маршрутизацию по требованию и конфигурации VPN между маршрутизаторами. Стандартные методы, которые вы можете использовать для устранения неполадок, зависят от того, с каким типом конфигурации вы работаете.

5.5.11.1. Устранение неполадок VPN-соединений между маршрутизаторами

Для устранения неполадок VPN-подключений между маршрутизаторами используйте следующие методы с консолью маршрутизации и удаленного доступа:

  • Для исходного и целевого маршрутизаторов проверьте на вкладке «Общие» сервера. Диалоговое окно свойств, в котором выбраны как Маршрутизатор, так и Маршрутизация по локальной сети и по требованию.

  • Для исходного и целевого маршрутизаторов убедитесь, что на вкладке IP в диалоговом окне «Свойства» сервера выбран параметр «Включить IP-маршрутизацию».

  • Для исходного и целевого маршрутизаторов убедитесь, что серверы правильно настроили порты PPTP или L2TP.

  • Для исходного и целевого маршрутизаторов убедитесь, что для интерфейса, используемого для маршрутизации, на вкладке «Общие» диалогового окна свойств соединения выбран параметр «Включить диспетчер IP-маршрутизатора», чтобы IP-трафик мог маршрутизироваться через соединение.

  • Для исходного и целевого маршрутизаторов убедитесь, что статические маршруты настроены соответствующим образом, чтобы разрешить трафик через соответствующий интерфейс.

  • Для исходного и целевого маршрутизаторов убедитесь, что разрешения, учетные данные и политики доступа настроены правильно.

5.5.11.2. Устранение проблем с маршрутизацией по требованию

При устранении проблем с маршрутизацией по требованию вы должны проверить оба конца соединения, то есть исходный и целевой серверы RRAS. Используйте следующие методы для устранения неполадок:

  • Убедитесь, что установлены службы маршрутизации и удаленного доступа.

  • Убедитесь, что на вкладке «Общие» диалогового окна «Свойства» сервера выбраны как Маршрутизатор, так и Маршрутизация по локальной сети и по требованию.

  • Убедитесь, что на вкладке «IP» диалогового окна «Свойства» сервера выбраны как «Включить IP-маршрутизацию», так и «Разрешить удаленный доступ IP-Bae и подключение по требованию».

  • Убедитесь, что интерфейсы вызова по требованию включены и правильно настроены.

  • Убедитесь, что статические маршруты настроены правильно и что в свойствах статического маршрута выбран параметр «Использовать этот маршрут для инициирования соединений вызова по требованию».

  • Убедитесь, что на вкладке «Безопасность» в настройках сетевых интерфейсов используется общая конфигурация.

  • Убедитесь, что на вкладке «Сеть» в настройках сетевых интерфейсов используется общий тип VPN.

  • Убедитесь, что серверы используют соответствующих поставщиков аутентификации и что для использования выбраны соответствующие методы аутентификации. На серверах должен быть хотя бы один общий метод аутентификации.

  • Убедитесь, что на серверах правильно настроены порты для вызова по требованию.

  • Убедитесь, что фильтры пакетов не блокируют маршрутизацию.

Построение Azure Site-to-Site VPN со службой маршрутизации и удаленного доступа

Давным-давно я построил Azure Point to Site VPN у себя дома, и тогда я подумал, что мне нужно купить аппаратное устройство для VPN типа site-to-site. Поскольку работа из дома и VPN в последнее время стали популярными темами, я действительно хочу снова попробовать создать VPN между сайтами у себя дома. Причина, по которой я этого хотел, я надеюсь расширить свой локальный контроллер домена до Azure, а затем установить сервер ADFS в Azure, чтобы я мог продолжить тестирование виртуального рабочего стола Windows с помощью единого входа.(Я знаю, вы задаетесь вопросом, почему я планирую использовать ADFS, поскольку многие клиенты все еще используют ADFS, я хочу попрактиковаться в миграции позже.)

Я использую Lenovo ThinkPad P1 в качестве хоста Hyper-V, кроме того, я построил свою тестовую лабораторию. В этом сообщении в блоге я использую только конфигурацию сети моего контроллера домена в качестве примера. В Lenovo ThinkPad P1 я не могу привязать его адаптер Wi-Fi к виртуальному коммутатору Hyper-V внешней сети. Если я это сделаю, скорость моей сети Wi-Fi P1 упадет на 99%, я могу создать только виртуальный коммутатор Hyper-V внутренней сети, а затем настроить NAT с помощью PowerShell или RRAS, моя настройка может быть немного сложнее, чем обычно.

Прежде чем вдаваться в подробности, я хочу поблагодарить Трэвиса Робертса, его видео на YouTube помогло мне настроить Azure Site-to-Site VPN.

Вот моя сетевая конфигурация для моей домашней лаборатории, вам не нужен DHCP или контроллер домена для межсайтовой VPN, я просто показываю, как была настроена моя домашняя тестовая лаборатория. У меня есть три внутренних сетевых виртуальных коммутатора, CrazyNet предназначен только для устройств с доступом в Интернет, поэтому он не может найти домен моей тестовой лаборатории. SubNet01 предназначен для внутреннего прыща.устройства локального домена. В этом посте я остановлюсь только на устройствах с выходом в Интернет «CrazyNet».

ВАЖНО : Прежде чем начать тестирование, убедитесь, что ваш домашний маршрутизатор поддерживает переадресацию портов, мой домашний Wi-Fi дает мне IP-адрес 193.0.0.2, я настроил переадресацию порта моего Wi-Fi-маршрутизатора на UDP-порт 500 и UDP 4500 на мой IP-адрес. Эти два порта необходимы для Azure Site-to-Site VPN. Например мой роутер:

Создать виртуальный коммутатор Hyper-V

Этот внутренний виртуальный коммутатор действует как шлюз для вашей внутренней / локальной сети. Затем вы можете подключить этот виртуальный коммутатор к своим виртуальным машинам и использовать этот IP-адрес виртуального коммутатора в качестве адреса шлюза.

  1. Создайте виртуальный коммутатор Hyper-V с внутренней сетью, я назвал его CrazyNet
  2. Настройте его IP как 10.0.2.10, маску поднета: 255.255.255.0. Оставьте шлюз по умолчанию и DNS пустыми.

Создать виртуальную сеть

  1. Выберите создать ресурс
  2. Начните вводить «виртуальная сеть», мы должны увидеть, что в качестве опции отображается виртуальная сеть.
  3. Выберите виртуальную сеть и создайте новую сеть
  4. Выберите подписку и выберите группу ресурсов.Или создайте новую группу ресурсов. Здесь я использую LabVNet01 в качестве имени моей виртуальной сети. Выберите регион исходя из вашего географического положения
  5. Перейдите на следующую страницу, чтобы настроить IP-адреса. Я использую 10.2.0.0/16 в качестве адресного пространства IPv4, и мне нужно создать новую подсеть. Для новой подсети я использую имя: по умолчанию , диапазон адресов подсети: 10.2.0.0/24
    ВАЖНО: это диапазон IP-адресов для вашей сети Azure, а не для вашей локальной сети, не перекрывайте диапазон IP-адресов.
  6. Мы можем оставить все остальные настройки по умолчанию, просто нажмите Review + create , затем создайте нашу новую виртуальную сеть.Это не займет много времени.

Создать шлюз виртуальной сети

  1. То же, что и выше, создайте новые ресурсы , затем выберите Virtual Network Gateway
  2. Я использую следующие данные
    Имя: LabVNetGW1
    Регион: (Европа) Северная Европа (вы можете выбрать другой регион)
    Тип шлюза: VPN
    Тип VPN: Маршрутный
    SKU: VpnGw1
    Поколение: Поколение1
    Виртуальная сеть: здесь выберите виртуальную сеть, которую мы только что создали, LabVNet01
    Диапазон адресов подсети шлюза : Ставлю сюда 10.2.255.0 / 27 , он автоматически создаст для меня подсеть шлюза в VirtualNetwork
    Общедоступный IP-адрес: создайте новый общедоступный IP-адрес, дайте имя по вызову LabVNetGW1PiP
  3. Мы можем оставить другие настройки по умолчанию, нажмите Review + создать. Это займет около 20-25 мин.

Установка и настройка службы маршрутизации и удаленного доступа

Пока мы ждем создания шлюза виртуальной сети, мы можем продолжить установку и настройку службы маршрутизации и удаленного доступа на моем хост-компьютере Hyper-V

Установить службу маршрутизации и удаленного доступа
  1. Установить роль удаленного доступа
  2. Выберите Routing , появится всплывающее окно «Мастер добавления ролей и компонентов», выберите «Добавить компоненты» , затем просто нажмите «Далее», затем установите.
  3. После установки службы маршрутизации и удаленного доступа откройте ее инструмент управления из Диспетчер сервера — Инструменты — Маршрутизация и удаленный доступ.
Создание соединения вызова по требованию
  1. Щелкните правой кнопкой мыши имя своего сервера, выберите «Настроить и включить маршрутизацию и удаленный доступ».
  2. Здесь мы выбираем «Безопасное соединение между двумя частными сетями»
  3. Выберите «Да» для соединений по требованию
  4. Здесь я использую «Автоматически» для назначения IP-адреса
  5. Завершение работы мастера
  6. После завершения работы мастера он должен автоматически запустить мастер интерфейса вызова по требованию.Если этого не произошло или вы хотите создать его снова, вы можете щелкнуть правой кнопкой мыши Сетевые интерфейсы, а затем создать новый интерфейс вызова по требованию. Я ввел имя своего интерфейса: Azure Site-to-Site VPN
  7. Тип подключения должен быть Подключение с использованием виртуальной частной сети (VPN)
  8. Выберите тип VPN IKEv2
  9. В адресе назначения нам нужно поместить наш Azure шлюз виртуальной сети общедоступный IP . Мы можем найти это после создания общедоступного IP-ресурса шлюза виртуальной сети на предыдущем шаге.

  10. Протоколы и безопасность будут использовать IP-пакеты маршрутов на этом интерфейсе
  11. Кажется, в Windows Server 2019 есть ошибка, статические маршруты не отображаются, даже если я настроил их на этом этапе, поэтому давайте просто пропустим его здесь и просто нажмите Далее.
  12. Здесь не нужны учетные данные пользователя, оставьте поле пустым и нажмите «Далее», мы можем завершить работу мастера
Создание статических маршрутов и NAT
  1. Создать новый статический маршрут
  2. В виртуальной сети Azure мы настроили адресное пространство IPv4 10.2.0.2 / 16, поэтому здесь мы указываем IP-адрес назначения 10.2.0.0, маска сети: 255.255.0.0. Измените метрику на меньшее число (более высокий приоритет)
    Вы можете использовать любые бесплатные онлайн-сервисы IP Calculator, чтобы рассчитать маску сети и диапазон IP для вас.
  3. Добавить еще один статический маршрут для CrazyNet

  4. Я хочу разрешить своему внутреннему коммутатору доступ к Интернету, поэтому я добавил свой сетевой интерфейс Wi-Fi к NAT.
Настроить общий ключ VPN-подключения Azure типа «сеть-сеть»
  1. Откройте свойства соединения с вызовом по требованию.
  2. Перейдите на вкладку «Безопасность», измените ее, используйте предварительный ключ для аутентификации.Например: YouAreSoAwesome.
    Этот ключ нам понадобится позже.

Создание шлюза локальной сети и подключения

  1. Создайте новый ресурс в Azure, выберите Шлюз локальной сети
  2. Я даю имя HomeLab . IP-адрес — это общедоступный IP-адрес вашей домашней сети , вы можете просто зайти в веб-браузер и выполнить поиск «What is my IP».
    Адресное пространство , это адресное пространство, которое вы хотите, чтобы ваша домашняя / локальная сеть могла взаимодействовать с вашей сетью Azure.Например, мой виртуальный коммутатор hypber-v SubNet01 — 10.0.8.10, я поставил свою область IP DHCP как 10.0.8.0/24, поэтому все виртуальные машины, подключенные к моему внутреннему домену, которые подключаются к SubNet01, получат IP-адрес внутри этой области, я хочу разрешить этим виртуальным машинам связываться с моей сетью Azure. Итак, в шлюз локальной сети я должен добавить свой локальный адрес 10.0.8.0/24

    . Вы также можете добавить дополнительное адресное пространство позже. В моем случае я добавил все свои подсети
  3. После создания шлюза локальной сети продолжайте создание новых подключений
  4. Дайте новое имя подключения HomeLabConnection , выберите свой виртуальный сетевой шлюз.Введите тот же общий ключ, который вы настроили для подключения по требованию. Выберите протокол IKE. IKEv2

Итак, после того, как мы выполнили все вышеперечисленные шаги, мы должны увидеть в группе ресурсов портала Azure эти четыре ресурса.

После того, как мы все настроили, мы должны увидеть, что соединение по требованию установлено. Если вы ничего не видите, просто откройте командную строку и проверьте связь с IP-адресом, который находится в диапазоне подсети вашей виртуальной сети Azure. В моем случае моя подсеть виртуальной сети Azure — 10.2.0.0 / 24, поэтому я просто пингую 10.2.0.1, и мы должны сразу увидеть изменение состояния подключения на подключение.

И мы должны увидеть, что на портале Azure статус HomeLabConnection изменен на Connected, это изменение статуса занимает несколько минут.

Теперь мы настроили VPN типа «сеть-сеть»!

По умолчанию виртуальная сеть Azure использует DNS-серверы, предоставленные Azure. Если вы создаете тестовую лабораторию, как я, и хотите, чтобы разрешение имен работало, вы можете изменить DNS-серверы на свой внутренний DNS.

Надеюсь, это поможет вам начать с настройки VPN типа «сеть-сеть» в Azure, не покупая поддерживаемое устройство. 🙂

(2701)

Маршрутизация и удаленный доступ — служба Windows 7

Маршрутизация и удаленный доступ — служба Windows 7

Предлагает услуги маршрутизации для предприятий в локальных и глобальных сетевых средах.

Эта служба также существует в Windows 10, 8, Vista и XP.

Тип запуска

Стартер Отключено Отключено
Домашний базовый Отключено Отключено
Home Premium Отключено Отключено
Профессиональный Отключено Отключено
Максимум Отключено Отключено
Предприятие Отключено Отключено

Свойства по умолчанию

  • SeChangeNotifyPrivilege
  • SeLoadDriverPrivilege
  • SeImpersonatePrivilege
  • SeAuditPrivilege
Отображаемое имя: Маршрутизация и удаленный доступ
Имя службы: RemoteAccess
Тип: общий ресурс
Путь:% WinDircho32% \ Systemexe -k netsvcs
Файл:% WinDir% \ System32 \ mprdim.dll
Контроль ошибок: нормальный
Объект: localSystem

Поведение по умолчанию

Служба маршрутизации и удаленного доступа работает как localSystem в общем процессе.Он использует исполняемый файл совместно с другими службами. Если не удается загрузить или инициализировать службу маршрутизации и удаленного доступа, ошибка записывается в журнал событий. Запуск Windows 7 должен продолжиться, но отображается окно сообщения, информирующее о том, что служба RemoteAccess не запустилась.

Зависимости

Маршрутизация и удаленный доступ не запускается, если следующие службы остановлены или отключены:

Восстановить тип запуска по умолчанию для маршрутизации и удаленного доступа

Автоматическое восстановление

1.Выберите выпуск Windows 7 и пакет обновления, а затем нажмите кнопку Загрузить ниже.

2. Сохраните файл RestoreRoutingandRemoteAccessWindows7.bat в любую папку на жестком диске.

3. Щелкните загруженный командный файл правой кнопкой мыши и выберите Запуск от имени администратора .

4. Перезагрузите компьютер, чтобы сохранить изменения.

Примечание. Убедитесь, что файл mprdim.dll существует в папке % WinDir% \ System32 .Если этот файл отсутствует, вы можете попробовать восстановить его с установочного носителя Windows 7.

Как установить VPN на Windows Server с помощью RRAS

Войдите на свой сервер через удаленный рабочий стол, на котором вы хотите установить VPN.

Откройте Server Manager и щелкните Добавить роли и компоненты.

Следуйте инструкциям мастера установки. Выберите « Установка на основе ролей или функций » Тип установки.

В поле выбора сервера отметьте « Выберите сервер из пула серверов ».Вы увидите свой сервер с именем компьютера в пуле серверов.

Выберите роль « Remote Access » в разделе «Роли сервера» и нажмите «Далее».

Нет необходимости выбирать что-либо в разделе «Функции» и нажимать «Далее».
В ролевых службах выберите DirectAccess и VPN , Маршрутизация служб

Появится всплывающее окно для добавления функций для выбранных служб ролей сервера. Нажмите кнопку «Добавить функции» и нажмите «Далее».

Нажимайте «Далее», пока не увидите страницу «Просмотр установки», а затем нажмите «Установить», когда будете готовы.

После завершения установки нажмите « Откройте мастер начала работы ».

Обычно мастер « Настроить удаленный доступ » открывается автоматически через некоторое время. Если он не открывается, мы можем открыть его через раздел «Диспетчер серверов» >> Нажмите «Удаленный доступ» >> Щелкните правой кнопкой мыши имя сервера >> Выберите «Управление удаленным доступом» >> Нажмите «Запустить мастер настройки удаленного доступа»

Теперь появится мастер « Настроить удаленный доступ ».Нажмите Развернуть только VPN .

Теперь мы увидим MMC маршрутизации и удаленного доступа. Щелкните правой кнопкой мыши имя своего сервера и выберите « Настроить и включить маршрутизацию и удаленный доступ ».

Теперь следуйте инструкциям мастера установки. Нажмите Далее в мастере приветствия.

В мастере настройки выберите «Доступ к виртуальной частной сети (VPN) и NAT » и нажмите «Далее».

Теперь мы получим ошибку, как показано ниже.

«На этом аппарате обнаружено менее двух сетевых интерфейсов. Для стандартной конфигурации VPN-сервера необходимо установить как минимум два сетевых интерфейса. Вместо этого используйте собственный путь конфигурации ».

Итак, я понял, что мы можем продолжить текущий выбор «Доступ к VPN и вариант NAT», только если у нас есть два сетевых интерфейса на сервере VPS. Чтобы получить два сетевых интерфейса, я добавил сетевой адаптер с обратной связью в Windows server 2012.Ниже приведены шаги.

Щелкните значок кнопки «Пуск» в Windows >> Щелкните правой кнопкой мыши значок «Мой компьютер» >> Щелкните «Свойства».

Щелкните «Диспетчер устройств» >> Выберите имя сервера >> Щелкните правой кнопкой мыши и выберите «Добавить устаревшее оборудование».

Нажмите Далее в Мастере добавления оборудования

Выберите «Установить оборудование, которое я вручную выбрал из списка» и нажмите «Далее».

Выберите «Сетевые адаптеры» и нажмите «Далее»

Выберите «Microsoft» >> «Microsoft KM-TEST Loopback Adapter» и нажмите «Далее».

Нажимайте «Далее», пока не завершите установку.

Теперь в диспетчере устройств, если мы развернем раздел «Сетевые адаптеры», мы увидим, что новый адаптер Microsoft KM-TEST Loopback появляется вместе с вашим сетевым адаптером по умолчанию.

Мы также можем увидеть недавно добавленный сетевой адаптер, открыв «Центр управления сетями и общим доступом» >> Нажмите «Изменить настройки адаптера».

Теперь отмените текущий Мастер настройки и включения маршрутизации и удаленного доступа »

из MMC маршрутизации и удаленного доступа.Снова щелкните правой кнопкой мыши имя вашего сервера и выберите « Настроить и включить маршрутизацию и удаленный доступ ».

выберите « Virtual Private Network (VPN) access and NAT » и нажмите Next.

В VPN-подключении выберите сетевой интерфейс , имеющий общедоступный IP-адрес с правильным подключением к Интернету , и нажмите «Далее».

В разделе «Назначение IP-адреса» выберите « Из указанного диапазона адресов » и нажмите «Далее».

В разделе «Назначение диапазона адресов» нажмите «Новый» и добавьте локальный IP-адрес диапазон (здесь убедитесь, что начальный IP-адрес совпадает с основным IP-адресом вашей внутренней сети). Это будет использоваться для выделения IP-адреса удаленным клиентам, которые подключаются к этому серверу VPN. После добавления диапазона IP-адресов нажмите «Далее», чтобы продолжить.

В разделе «Управление множественным сервером удаленного доступа» выберите « Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на соединение » и нажмите «Далее».

По завершении работы мастера щелкните Готово. Вам будет предложено сообщение для агента ретрансляции DHCP, просто нажмите ОК для этого сообщения.

Теперь установка VPN завершена, и нам нужно изменить правила для входящих подключений брандмауэра Windows, чтобы разрешить трафик VPN. Для этого нужно будет открыть следующие порты.

  • Для PPTP: 1723 TCP и протокол 47 GRE (также известный как PPTP Pass-through
  • Для L2TP через IPSEC: 1701 TCP и 500 UDP
  • Для SSTP: 443 TCP

Нам также необходимо разрешить порт RDP по умолчанию «3389» в службах NAT и порты .Для этого выполните указанные ниже шаги.

В той же MMC маршрутизации и удаленного доступа разверните сервер >> IPV4 >> NAT >> Щелкните правой кнопкой мыши внешнюю сеть, в которой настроен общедоступный IP-адрес >> перейдите к свойствам >> вкладка «Службы и порты» >> выберите «Удаленный рабочий стол»> > Укажите IP-адрес сервера в поле «Частный адрес». Нажмите кнопку ОК.

Теперь измените настройки учетной записи пользователя на сервере, которая будет использоваться для установления соединения VPN с клиентского / удаленного компьютера.

Перейдите в Инструменты администрирования >> Управление компьютером >> Локальные пользователи и группы >> Пользователи >> Щелкните правой кнопкой мыши пользователя (которого вы хотите настроить для VPN-подключения) и щелкните Свойства >> Перейдите на вкладку «Dial-in», выберите « Разрешить доступ » в опции «Разрешение доступа к сети» и нажмите «Применить».

Теперь VPN-сервер готов для клиентских / удаленных подключений. и давайте посмотрим, как настроить клиентский компьютер для подключения к VPN-серверу.

Настройка клиента.

Откройте Центр управления сетями и общим доступом на локальном ПК / ноутбуке. Щелкните « Set up a new Connection or Network ». Обратите внимание, что скриншоты сделаны на ПК с Windows 7.

Щелкните Подключиться к рабочему месту .

Щелкните Использовать мое подключение к Интернету ( VPN )

Введите IP-адрес VPN-сервера (основной / статический IP-адрес внешней сети, имеющий подключение к Интернету) и нажмите «Далее».

Введите данные для входа на VPN-сервер, пользователя, которого мы создали на VPN-сервере или существующего с включенным VPN-доступом, и нажмите «Подключиться».

Теперь вы можете видеть, что клиентская машина пытается подключиться к серверу VPN. Обычно соединения устанавливаются с использованием протокола PPTP. После успешного подключения вы увидите, что новый сетевой адаптер VPN создан в разделе «Сетевые адаптеры клиентского ПК».

Если вы щелкните правой кнопкой мыши сетевой адаптер VPN и выберите «Свойства», вы увидите множество вкладок с различными настройками.Ниже приведены настройки по умолчанию моего сетевого адаптера VPN для клиентского ПК.

Если у вас возникли проблемы с подключением к VPN со стороны клиента, см. Снимки экрана ниже.

Теперь давайте преобразуем нашу текущую установку VPN для поддержки SSTP SSL в Windows Server 2012 R2

Что замечательно в протоколах Secure Socket Tunneling Protocol (SSTP) SSL VPN, так это то, что они позволяют подключать клиентские машины к IP-адресу сервера через VPN и превращать их в полноценную часть сети.И все это делается через порт 443, обычно используемый порт, который часто включается в брандмауэрах на стороне клиента.

Нам нужен SSL-сертификат для VPN-подключения через SSTP. Мы можем либо приобрести сертификат SSL для доменного имени нашей компании, либо использовать самоподписанный сертификат.

В нашем случае мы используем самоподписанный сертификат. Выполните следующие шаги для создания самоподписанного сертификата. Откройте диспетчер IIS, установленный во время установки роли RRAS. >> Щелкните имя сервера >> Дважды щелкните Сертификат сервера.

Нажмите «Создать самоподписанный сертификат» >> Укажите понятное имя и нажмите «ОК». Теперь вы можете видеть, что сертификат создан для имени хоста VPN-сервера. В нашем случае имя хоста сервера — «СЕРВЕР».

Теперь давайте убедимся, что этот сгенерированный самоподписанный сертификат доступен в хранилище сертификатов локального компьютера, в разделе «Доверенные корневые центры сертификации».

Open run >> run certlm.msc >> В разделе доверенных корневых центров сертификации мы видим, что наш сертификат доступен.

Теперь нам нужно экспортировать этот сертификат в «раздел доверенных корневых центров сертификации» нашего клиентского ПК / ноутбука. Для этого щелкните правой кнопкой мыши сертификат сервера >> Все задачи, нажмите Экспорт. >> Выберите «Да, экспортировать закрытый ключ» >> Выберите формат обмена личной информацией >> Укажите пароль безопасности для сертификата >> Нажмите «Обзор», укажите имя файла и выберите место для сохранения >> Завершите экспорт.

Теперь загрузите этот сертификат .pfx с сервера на локальном клиентском компьютере, на котором вы пытаетесь подключиться к серверу VPN.

Теперь на клиентском ПК откройте окна, запустите >> запустите «mmc» >> выберите «сертификат», нажмите «добавить» >> выберите «учетная запись компьютера» >> выберите локальный компьютер, нажмите кнопку «Готово» и нажмите кнопку ОК.

Теперь в текущей консоли MMC разверните доверенные корневые центры сертификации >> На правой панели действий >> Нажмите «Дополнительные действия» >> Все задачи >> Нажмите «Импорт» >> Выберите загрузку.pfx файл сертификата SSL с помощью опции просмотра >> Укажите тот же пароль, который мы использовали для сертификата SSL во время экспорта сертификата SSL >> Нажмите «Далее» и завершите импорт.

Теперь RDP подключен к серверу VPN >> Из диспетчера серверов >> Нажмите «Удаленный доступ» >> Щелкните правой кнопкой мыши имя сервера >> Выберите «Управление удаленным доступом» >> Нажмите «Открыть управление RRAS» >> Появится всплывающее окно MMC маршрутизации и удаленного доступа. >> Щелкните правой кнопкой мыши имя сервера, выберите свойства >> На вкладке «Безопасность» выберите наш самоподписанный сертификат >> Нажмите кнопку ОК и подтвердите перезапуск службы «Маршрутизация и удаленный доступ».

На этом этапе VPN-сервер готов к VPN-подключению по протоколу SSTP.

Теперь предположим, что мы не импортировали сертификат, который мы экспортировали с сервера VPN, в раздел доверенных корневых центров сертификации клиентского ПК. При попытке подключения к VPN мы получим ошибку ниже.

Ошибка: цепочка сертификатов обработана, но завершена корневым сертификатом, которому не доверяет поставщик доверия. 0x800b0109

Ниже приведены изменения, которые необходимо внести в клиентский компьютер, настройки сетевого адаптера VPN для подключения через SSTP.Щелкните правой кнопкой мыши существующий сетевой адаптер VPN и выберите свойства.

В разделе General нам нужно заменить IP-адрес VPN-сервера на имя хоста VPN-сервера. В нашем случае имя хоста VPN-сервера —

.

«СЕРВЕР». Мы знаем, что имя хоста, например «СЕРВЕР», не является допустимым именем хоста и не разрешает IP-адрес сервера VPN. В таких случаях добавьте запись хоста в файл клиентского ПК C: \ Windows \ System32 \ Drivers \ etc \ hosts в IP-адрес сервера VPN.Таким образом, клиент попытается подключиться к самому VPN-серверу.

Предположим, что если мы не заменили IP-адрес VPN-сервера на имя хоста VPN-сервера, мы получим ошибку типа.

Описание ошибки: 0x800B010F: CN-имя сертификата не соответствует переданному значению.

Возможная причина: эта проблема может возникнуть, если имя хоста сервера, указанное в VPN-соединении, не совпадает с именем субъекта, указанным в сертификате SSL, который сервер отправляет на клиентский компьютер.

Возможное решение: убедитесь, что адрес сервера SSTP VPN введен в имя хоста для ex sstp.earthvpn.com, а не IP-адрес.

Это все. Теперь ваша клиентская машина будет иметь доступ в Интернет через VPN. Однако, если вы столкнетесь с какими-либо трудностями, напишите нам через нашу контактную форму.

Теперь, если вы хотите сбросить настройки конфигурации VPN, используйте параметр «Отключить маршрутизацию и удаленный доступ», который доступен в MMC маршрутизации и удаленного доступа.

Если у вас могут возникнуть проблемы с принтером и общим доступом к файлам, вы можете сделать следующее, чтобы решить эту проблему.

Вы можете использовать gpedit.msc для изменения настроек.

Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики диспетчера сетевого списка -> VPN-соединение

Измените тип местоположения на Частное

Наша настройка VPN позволяет клиентам иметь доступ в Интернет через сервер VPN во время соединения VPN.Во время VPN-подключения IP-адрес нашего интернет-провайдера будет отображаться как IP-адрес VPN-сервера, и его можно подтвердить, просто посетив URL-адрес, например http://whatismyip.org/

Если вы хотите подтвердить имя субъекта сертификата SSL, просто дважды щелкните сертификат SSL в разделе доверенных корневых центров сертификации.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *