Использование Windows Server 2008 R2 для публикации внутренних ресурсов

Введение

В настоящее время не часто можно услышать о Windows Routing and Remote Access Service (RRAS). Я помню 'старые добрые времена', когда мы использовали RRAS для всего ' LAN роутеров, исходящих NAT серверов и серверов обратной NAT. Больше я это не делаю, поскольку в течение последнего десятилетия использовала ISA или TMG брандмауэры, а эти брандмауэры гораздо более гибкие, чем RRAS.

Однако, в зависимости от ситуации, могут возникать случаи, когда нужно воспользоваться RRAS. Возможно, вам нужен быстрый и простой способ публикации службы во внутренней сети, и у вас нет времени на изучение того, как это сделать в брандмауэре. Да, это маловероятный сценарий. Более реалистичной причиной может быть сегодняшняя экономика: возможно, ваш бюджет очень ограничен и вы не можете позволить себе потратить дополнительные средства на продукты TMG. Или вы хотите протестировать настройки в виртуальной среде. Гораздо проще воспользоваться Windows RRAS в виртуальной среде, чем прибегать к другим вариантам, так почему же не воспользоваться этой возможностью?

Также, если вы еще мало знакомы с Windows, вы даже можете и не знать службе RRAS и о тех вещах, которые она может выполнять. Если вы впервые слышите о RRAS, то, думаю, вы будете приятно удивлены тем, на что она способна. К тому же она встроена в Windows Server 2008 R2, поэтому вам не нужно будет использовать другие программы.

В этой статье мы рассмотрим компонент обратной трансляции сетевых адресов (reverse NAT) в Windows Server 2008 R2 RRAS. Обратная NAT позволяет вам публиковать службы внутренней сети в интернете. Причина, по которой она называется обратной NAT, заключается в том, что клиентская сторона подключения находится в не транслируемой стороне (non-NAT) сервера RRAS. С обратной NAT мы сопоставляем IP адрес на внешнем интерфейсе сервера RRAS с IP адресом внутренней сети для взаимодействия по протоколу, который вы хотите разрешить.

Например, допустим, у вас есть веб-сервер в интрасети, который вы хотите сделать доступным для пользователей вне интрасети. Простым и грязным способом сделать это является настройка NAT сервера и использование обратной NAT. Нужно настроить NAT сервер на прием подключений на определенный IP адрес и номер порта (TCP или UDP; в случае с общим веб-сервером это обычно будет порт TCP 80) и затем направить эти подключения на веб-сервер на тот же порт (TCP порт 80). Вы даже можете выполнить то, что называется 'перенаправлением портов' и направить подключение на другой порт, а не на тот, на который было принято подключение. Например, вы публикуете свой веб-сервер, чтобы внешние пользователи использовали TCP порт 80 для подключения к NAT серверу, но веб-сервер принимает пересылаемые подключения на другой порт, например TCP порт 81. Это один из способов размещения нескольких веб-сайтов на одном веб-сервере.

В этом примере настройки Windows Server 2008 R2 RRAS обратной NAT, я буду использовать проект, которым занимается мой муж, Том Шиндер, со своим коллегой Джозефом Дэвисом в Microsoft. Этот проект называется 'Test Lab Series', и вы можете больше узнать о нем на блоге Тома. У всех тестовых сред есть одна общая черта – Базовая конфигурация ('Base Configuration'). Мы будем использовать базовую конфигурацию в этой статье, поскольку она обеспечивает отличную стандартную тестовую среду, на базе которой мы может создавать статьи и демонстрации.

Для начала нужно создать базовую конфигурацию, которую можно найти здесь.

После создания базовой конфигурации вы можете сделать снимок виртуальных машин, включенных в базовую конфигурацию. Это позволит вам вернуться к базовой конфигурации, чтобы начать новый цикл настроек и испытаний. Это очень удобно, жаль, что у нас этого не было в прошлом, поскольку это экономит массу времени при частых тестированиях.

После создания базовой конфигурации войдите на EDGE1 от имени CORP\User1. В окне задач начальной конфигурации Initial Configuration Talks нажмите Добавить роли (Add roles) , как показано на рисунке 1 ниже.

Рисунок 1 Рисунок 1

На странице Before You Begin, рисунок 2, нажмите Далее .

Рисунок 2 Рисунок 2

На странице выбора ролей сервера (Select Server Roles) , рисунок 3, поставьте галочку в поле Службы политики сети и доступа (Network Policy and Access Services) и нажмите Далее .

Рисунок 3 Рисунок 3

На странице Службы политики сети и доступа , рисунок 4, нажмите Далее .

Рисунок 4 Рисунок 4

На странице выбора служб ролей (Select Role Services) , рисунок 5, поставьте галочку для Служб маршрутизации и удаленного доступа (Routing and Remote Access Services) . Обратите внимание, что это автоматически отметит опции Служба удаленного доступа (Remote Access Service) и Маршрутизация (Routing) . Нажмите Далее .

Рисунок 5 Рисунок 5

На странице Подтверждение выбранных параметров установки (Confirm Installation Selections) , рисунок 6, нажмите Установить .

Рисунок 6 Рисунок 6

На странице Результаты установки (Installation Results) , рисунок 7, нажмите Закрыть .

Рисунок 7 Рисунок 7

Теперь, когда служба RRAS установлена, можно включить ее. По умолчанию RRAS не включена после установки. Во время процесса включения вы указываете мастеру RRAS, какие роли RRAS должна выполнять. Для начала нажмите Пуск , выберите Инструменты администрирования (Administrative Tools) и нажмите Маршрутизация и удаленный доступ , как показано на рисунке 8.

Рисунок 8 Рисунок 8

В консоли Маршрутизация и удаленный доступ , рисунок 9, нажмите правой клавишей на элементе EDGE1 (local) в левой панели консоли. Нажмите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access) .

Рисунок 9 Рисунок 9

Затем нажмите Далее на приветственной странице мастера Welcome to the Routing and Remote Access Server Setup Wizard, рисунок 10.

Рисунок 10 Рисунок 10

На странице Конфигурация (Configuration) , рисунок 11, у вас есть ряд опций. Некоторые позволяют вам настраивать сервер в качестве VPN сервера удаленного доступа или VPN сервера типа «сеть-сеть». В этом примере мы хотим настроить EDGE1 в качестве сервера обратной NAT. Для этого выбираем опцию Трансляция сетевых адресов (Network address translation (NAT)) и нажимаем Далее .

Рисунок 11 Рисунок 11

На странице NAT Internet Connection, рисунок 12, выбираем Использовать этот публичный интерфейс для подключения к интернету (Use this public interface to connect to the Internet) , а затем выбираем сетевой интерфейс Интернет (Internet) . Нажимаем Далее .

Рисунок 12 Рисунок 12

На заключительной странице мастера Completing the Routing and Remote Access Server Setup Wizard, рисунок 13, жмем Готово (Finish) .

Рисунок 13 Рисунок 13

В левой панели консоли разворачиваем узел EDGE1 (local)\IPv4 и нажимаем на узел NAT. В правой панели консоли нажимаем правой клавишей на интерфейсе Internet и выбираем свойства (Properties) , как оказано на рисунке 14.

Рисунок 14 Рисунок 14

В диалоге свойств Internet Properties переходим в закладку NAT, как показано на рисунке 15. В закладке NAT проверяем, что выбрана опция Публичный интерфейс, подключенный к интернету , а опция Включить трансляцию сетевых адресов на этом интерфейсе (Enable NAT on this interface) отмечена флажком.

Рисунок 15 Рисунок 15

В закладке Пул адресов (Address Pool) , рисунок 16, вы можете добавить все адреса, привязанные к внешнему интерфейсу. Поскольку к внешнему интерфейсу EDGE1 привязано два адреса, мы можем добавить оба этих адреса здесь. Нажмите кнопку Добавить (Add) . В диалоге Добавить пул адресов (Add Address Pool) вводим первый адрес пула в поле Начальный адрес (Start address) и последний адрес пула в поле Конечный адрес (End address) . Вводим маску подсети в поле Маска (Mask) . В нашем примере Начальный адрес будет 131.107.0.2, а Конечный адрес будет 131.107.0.3. Маска подсети будет 255.255.255.0. Нажимаем OK в диалоге добавления пула адресов.

Рисунок 16 Рисунок 16

Теперь добавленные адреса будут отображены в закладке Пул адресов , рисунок 17. Обратите внимание на кнопку Резервирование (Reservations) . Вы можете использовать эту кнопку для резервирования адреса на внешнем интерфейсе NAT сервера и пересылки всего трафика с этого адреса на сервер в интрасети. Это можно делать, если вам нужно разрешить весь трафик для сервера, а не трафик с определенных протоколов.

Рисунок 17 Рисунок 17

Переходим в закладку Службы и порты (Services and Ports) , рисунок 18, где нам представлен список протоколов, которые можно опубликовать через NAT сервер. Большинство из них представляют собой 'простые' протоколы, потому что им требуется одно первичное подключение. Если вы хотите использовать протокол, которому требуется несколько основных подключений, или которому требуется вторичные подключения к клиентам в интернете, вам потребуется редактор NAT. Сервер RRAS NAT включает ряд редакторов NAT для поддержки сложных протоколов. Одним из примеров является FTP NAT редактор.

Выбираем службу Web Server (HTTP) и отмечает ее галочкой.

Рисунок 18 Рисунок 18

В результате откроется диалог изменения службы (Edit Service) , показанный на рисунке 19. В поле Публичный адрес (Public address) выбираем На этом элементе пула адресов (On this address pool entry) и вводим 131.107.0.2 в текстовое поле. В текстовое поле Частный адрес (Private address) вводим IP адрес APP1, то есть 10.0.0.3. Нажимаем OK.

Рисунок 19 Рисунок 19

Нажимаем OK в диалоге Internet Properties, рисунок 20. На данном этапе сервер Windows Server 2008 R2 RRAS готов к приему подключения с узлов интернета на IP адрес 131.107.0.2 на порт TCP 80 и пересылку этих подключений на APP1 в интрасети, который слушает входящие веб-подключения по адресу 10.0.0.3 на порте TCP 80.

Рисунок 20 Рисунок 20

Теперь давайте все проверим! Перемещаем CLIENT1 в подсеть интернета (одна из трех подсетей в базовой конфигурации). Открываем Internet Explorer и в адресной строке указываем https://edge1.contoso.com. Это тот адрес, который вы настроили на DNS сервере INET1 в базовой конфигурации, который сопоставляется с IP адресом 131.107.0.2 на EDGE1. Нажимаем ENTER и… Стандартный сайт на APP1, рисунок 21. Все довольно просто, не так ли?

Рисунок 21 Рисунок 21

Переходим в узел NAT в левой панели консоли. В правой панели консоли нажимаем правой клавишей на Internet и выбираем Отображение сопоставлений (Show Mappings) . Здесь мы найдем интересную и полезную информацию о сопоставлениях, используемых на интерфейсе Internet для подключений прямой и обратной NAT. В правой панели вы также увидите статистику, например Всего сопоставлений, Транслированные входящие пакеты и т.п., как показано на рисунке 22.

Рисунок 22 Рисунок 22

Заключение

Служба RRAS может обеспечить вас быстрыми и грязными службами маршрутизации и удаленного доступа во многих ситуациях. Хотя служба RRAS NAT не является эквивалентом таких продвинутых межсетевых экранов, как TMG или ISA, она может быть полезной в ряде сценариев, особенно в тех, где нужно выполнить тестирование в виртуальной середе. Вы даже можете использовать ее в среде предприятия, но поскольку Windows Server 2008 R2 RRAS не включает функций расширенной проверки подключений и защиты от флуда, в отличие от брандмауэров ISA и TMG, я бы все же отдала предпочтение брандмауэру TMG. Но для тестирования служба RRAS подходит как нельзя лучше!

В этой статье мы рассмотрели возможности обратной NAT в RRAS. В следующей статье мы рассмотрим VPN возможности, которые Windows Server 2008 R2 дает вам в штатной комплектации.

 

Автор: Деб Шиндер (Deb Shinder)

Деб Шиндер (Deb Shinder)

Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb\@shinder.net или через web-сайт www.shinder.net.

Источник: https://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!