В этой статье мы подробно рассмотрим, как создать интернет-шлюз на базе Windows Server 2022, используя возможности Remote Desktop Gateway и роли сервера шлюза. Этот процесс позволяет настроить сервер для раздачи интернета в локальную сеть через два сетевых интерфейса: один для приема интернет-трафика, другой для его распределения. Это решение удобно для создания шлюзов в корпоративных и виртуальных сетях, обеспечивая централизованное управление доступом к сети.
Приобрести Windows Server 2022 можно у нас в магазине от 2790 ₽.
Скачать оригинальные дистрибутивы Windows Server 2022 можно в нашем каталоге.
Требования для настройки шлюза
Для того чтобы создать интернет-шлюз, вам потребуется сервер с двумя сетевыми интерфейсами:
— Откройте «Параметры сети и интернет» в правом нижем углу
— Перейдите в Ethernet > Настройка параметров адаптера
Здесь должно быть два сетевых интерфейса
— LAN-интерфейс для локальной сети (внутренней)
— WAN-интерфейс для подключения к интернету (внешней)
Также у нас есть два тестовых виртуальных компьютера, на которых мы будем проверять подключение к интернету.
Шаг 1: Проверка сетевых интерфейсов
1. На сервере должно быть два сетевых адаптера: один для внутренней сети (LAN-интерфейс), другой для внешней сети (WAN-интерфейс).
2. WAN-интерфейс получает интернет, а через LAN-интерфейс будет происходить его раздача.
Проверьте статус подключения на тестовых компьютерах.
— Нажмите «пуск» и в поиске введите «cmd»
— В командной строке введите ping 8.8.8.8 -t
В данный момент интернета на них нет.
Шаг 2: Установка роли «Удаленный доступ»
1. Откройте Диспетчер серверов и выберите Добавить роли и компоненты.
2. Нажмите Далее несколько раз, пока не дойдете до списка ролей.
3. В списке выберите Удаленный доступ и нажмите Далее несколько раз, пока не дойдете до Cлужбы ролей.
4. В окне компонентов выберите Маршрутизация и нажмите Добавить компоненты.
5. Нажмите Далее пока не дойдете до Подтверждение
6. После чего установите компоненты нажав на Установить.
7. После окончания установки нажмите «Закрыть»
Шаг 3: Настройка маршрутизации и удаленного доступа
1. После установки роли, в Диспетчере серверов появится оснастка Удаленный доступ.
2. Откройте оснастку и перейдите в раздел Средства.
3. В списке выберите Маршрутизация и удаленный доступ.
4. Щелкните правой кнопкой мыши на сервере и выберите Настроить и включить маршрутизацию и удаленный доступ.
5. В мастере настройки Нажмите Далее.
6. Выберите Преобразование сетевых адресов (NAT) и нажмите Далее.
7. Выберите WAN-интерфейс в качестве интерфейса для подключения к интернету.
8. Нажмите Готово для завершения настройки.
Шаг 4: Проверка подключения к интернету
1. После завершения настройки маршрутизации проверьте подключение к интернету на тестовых компьютерах. Теперь интернет должен появиться на обоих устройствах.
2. Выполните команду ping 8.8.8.8 -t на каждом компьютере, чтобы убедиться, что интернет-соединение установлено.
Заключение
Вы успешно настроили интернет-шлюз на базе Windows Server 2022 с использованием двух сетевых интерфейсов и функции маршрутизации. Теперь сервер может раздавать интернет во внутреннюю сеть через LAN-интерфейс. Такой способ настройки удобен для создания шлюзов в корпоративных или виртуальных сетях.
Лицензионный ключ активации Windows Server 2022 от
Сегодня мы рассмотрим вопрос организации общего доступа к интернет и автоматической настройки сети на платформе Windows. Несмотря на то, что это более дорогое решение, его применение будет оправдано когда необходима тесная интеграция с сетевой инфраструктурой развернутой на базе Windows Server.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
В качестве рабочей платформы мы использовали Windows Server 2008 R2, как наиболее актуальную на сегодняшний день платформу, однако все сказанное с небольшими поправками применимо и к предыдущим версиям Windows Server 2003 / 2008.
Первоначально необходимо настроить сетевые интерфейсы. В нашем случае интерфейс смотрящий в сеть провайдера получает настройки по DHCP, мы переименовали его в EXT. Внутренний интерфейс (LAN) имеет статический IP адрес 10.0.0.1 и маску 255.255.255.0.
Настройка NAT
Простейшим способом организовать общий доступ к интернет будет включение соответствующей опции в настройках сетевого подключения. Однако при всей простоте такой способ чрезвычайно негибок и приемлем только если никаких других задач маршрутизации перед сервером ставиться не будет. Лучше пойти более сложным, на первый взгляд, путем, зато получить в свои руки весьма мощный и гибкий инструмент, позволяющий решать гораздо более сложные сетевые задачи.
Начнем, как полагается, с добавления новой роли сервера: Служб политики сети и доступа.
В службах ролей отмечаем Службы маршрутизации и удаленного доступа, все остальное нас сейчас не интересует. После успешной установки роли можно будет переходить к настройкам маршрутизации.
В Ролях находим службу маршрутизации и через меню Действия выбираем Настроить и включить маршрутизацию и удаленный доступ. Настройка производится с помощью мастера, который пошагово проведет нас через все этапы настройки. В качестве конфигурации выбираем Преобразование сетевых адресов (NAT), любые другие возможности можно будет настроить позже вручную.
Здесь нужно указать интерфейс которым наш сервер подключен к интернету, при необходимости его можно создать (например при использовании PPPoE или VPN соединения).
Остальные настройки оставляем по умолчанию и после нажатия на кнопку готово произойдет запуск службы Маршрутизации и удаленного доступа, наш сервер готов обслуживать клиентов из внутренней сети. Проверить работоспособность можно указав клиентской машине IP адрес из диапазона внутренней сети и указав в качестве шлюза и DNS сервера адрес нашего сервера.
Настройка DHCP
Для автоматической настройки сетевых параметров на клиентских машинах, ну не бегать же от места к месту вручную прописывая IP адреса, следует добавить роль DHCP сервера.
Для этого выбираем Добавить роль в Диспетчере сервера и отмечаем необходимую нам опцию.
Теперь нам предстоит ответить на ряд несложных вопросов. В частности выбрать для каких внутренних сетей следует использовать DHCP, при необходимости можно настроить различные параметры для разных сетей. Потом последовательно указать параметры DNS и WINS серверов. Последний, при его отсутствии, можно не указывать. Если в вашей сети отсутствуют старые рабочие станции под управлением ОС отличных от Windows NT 5 и выше (2000 / XP / Vista / Seven), то необходимости в WINS сервере нет.
К добавлению DHCP-области нужно отнестись с повышенной внимательностью, ошибка здесь может привести к неработоспособности всей сети. Ничего сложного здесь нет, просто внимательно вводим все необходимые параметры сети, следя, чтобы выделяемый диапазон IP не перекрывал уже выделенный для других устройств и не забываем правильно указывать маску и шлюз.
Отдельно следует обратить внимание на такой параметр как срок аренды адреса. По истечении половины срока аренды клиент посылает серверу запрос на продление аренды. Если сервер недоступен, то запрос будет повторен через половину оставшегося срока. В проводных сетях, где компьютеры не перемещаются в пределах сети, можно выставлять достаточно большой срок аренды, при наличии большого количества мобильных пользователей (например публичная Wi-Fi точка в кафе) срок аренды можно ограничить несколькими часами, иначе не будет происходить своевременное освобождение арендованных адресов и в пуле может не оказаться свободных адресов.
Следующим шагом отказываемся от поддержки IPv6 и после установки роли DHCP сервер готов к работе без каких либо дополнительных настроек. Можно проверять работу клиентских машин.
Выданные IP адреса можно посмотреть в Арендованных адресах, относящихся к интересующей нас области. Здесь же можно настроить резервирование за определенным клиентом конкретного адреса (привязав по имени или MAC-адресу), при необходимости можно добавить или изменить параметры области. Фильтры позволяют создать разрешающие или запрещающие правила основываясь на MAC-адресах клиентов. Более полное рассмотрение всех возможностей DHCP-сервера Windows Server 2008 R2 выходит за рамки данной статьи и скорее всего мы посвятим им отдельный материал.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Подключение локальной сети к интернету
Возможность совместного подключения к Интернету (Internet Connection Sharing, ICS) позволяет средствами ОС Windows предоставить доступ клиентам небольшой сети к Интернету с использованием лишь одного Интернет-подключения. Впервые ICS появилось в линейке Windowsс версии 98 SE. В WindowsXP и WindowsVista ICS было усовершенствовано, его стало проще настраивать. Однако, это упрощение имеет и обратную сторону – теперь невозможно отключить DHCP-сервер, или изменить диапазон адресов, назначаемых DHCP-сервером.
Для использования ICS необходимо, чтобы соблюдался ряд условий. На компьютере, где будет «раздаваться» Интернет, необходимо наличие как минимум двух сетевых интерфейсов.
Для настройки параметров совместного доступа к сети Интернет необходимо иметь полномочия администратора. ICS будет недоступен, если в сети присутствуют контроллер домена, серверы DHCP и DNS или шлюз. Как правило, в небольших сетях эти ограничения не вызовут никаких проблем, по причине отсутствия вышеперечисленных устройств. Также следует отметить, что при установке VPN-соединения, остальные компьютеры сети не смогут получить доступ в Интернет, пока не закончится сеанс VPN-соединения. Самым же существенным недостатком ICS является то, что управляющий компьютер обязательно должен быть включен для того, чтобы остальные клиенты смогли подключиться к Интернету. Иногда это не столь существенно (например, при использовании модемного подключения или использования модема с USB-интерфейсом), но если такое условие является критичным, для совместного доступа следует использовать решения, основанные на применении маршрутизаторов. Включить возможность совместного доступа, как уже отмечалось, очень просто. WindowsXP Настройка управляющего компьютера Нажимаем кнопку «Пуск», выбираем панель управления, переходим в раздел «Сеть и подключения к Интернету». Щелкаем ссылку Сетевые подключения. Теперь необходимо выбрать сетевой адаптер, по которому «приходит» Интернет. Делаем на нем щелчок правой кнопкой мыши и в открывшемся меню выбираем команду Свойства. В открывшемся диалоговом окне переходим на закладку «Дополнительно». Устанавливаем флажок «Разрешить другим пользователям использовать подключение к Интернету».
Если вы хотите предоставить возможность пользователям сети управлять общим подключением – то есть включать/выключать общее соединение для всей сети – установите флажок «Разрешить другим пользователям управлять общим доступом». Если производится настройка коммутируемого (например, модемного) соединения, в списке параметров появится еще один флажок – «Устанавливать вызов по требованию».
При его включении любой пользователь сети сможет самостоятельно инициировать процесс автоматического подключения к Интернету в случае обращения к ресурсам Интернета. После установки необходимых параметров нажмите кнопку «ОК», расположенную внизу окна. Появится сообщение с предупреждением о смене IP-адреса сетевого интерфейса. Нажмите кнопку «Да». Если внутри локальной сети работают службы, к которым необходимо предоставить доступ из Интернета (например, в сети работает Web- или FTP-сервер, или пользователям внутренней сети нужны он-лайн игры), нажимаем кнопку «Параметры» в разделе «Общий доступ».
В списке служб представлены стандартные протоколы, использующие общепринятые порты. Если вам необходимо добавить собственную службу, нажмите кнопку «Добавить». Необходимо будет задать название службы, указать компьютер, на котором будет запущена эта служба, указать номера внешних и внутренних портов и тип протокола. Здесь нам придется немного забежать вперед. Обычная настройка ICS предполагает, что IP-адреса в локальной сети будут назначаться DHCP-сервером, запущенным на управляющем компьютере. Однако, это не всегда удобно. Если компьютеры-клиенты настроены на автоматическое получение IP-адресов, а компьютер, их назначающий, не включен, сеть окажется неработоспособной. Поэтому предпочтительней вариант назначения статических адресов, даже, несмотря на запущенный DHCP-сервер. В случае, если компьютеру со службой, к которой смогут обратиться пользователи Интернета, назначен статический адрес, в поле Имя можно указать его IP-адрес. После того, как будет разрешено совместное использования подключения к сети Интернет, на управляющем компьютере запустятся службы DHCP. Это позволит динамически назначать IP-адреса остальным клиентам домашней сети. При этом IP-адрес самого управляющего компьютера на сетевом интерфейсе, «смотрящем» в домашнюю сеть, автоматически получит статический адрес 192.168.0.1 с маской подсети 255.255.255.0. Если ранее другим компьютерам в домашней сети были вручную назначены статические IP-адреса, возможно, связь с ними будет потеряна. Не переживайте, дальнейшими настройками ICS мы восстановим работоспособность сети. Примечание. В сети есть неофициальные ссылки, что область адресов, назначаемых DHCP-сервером компьютера с запущенной службой ICS, определяется в разделе реестра HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters и при необходимости можно попробовать изменить этот диапазон. Однако работоспособность сети в этом случае никто не гарантирует. 
Настройка компьютеров-клиентов Теперь перейдем к настройке остальных компьютеров в сети. Для ее осуществления также необходимы полномочия администратора. В панели управления выберите раздел «Сетевые подключения». Щелкните правой кнопкой мыши на значке сетевого подключения и в открывшемся меню выберите команду «Свойства». На вкладке «Общие» выберите в разделе «Компоненты», используемые этим подключением пункт «Протокол Интернета (TCP/IP)» и нажмите кнопку «Свойства».
Откроется окно свойств. Если вы решили, что все адреса в домашней сети будут автоматически назначаться DHCP-сервером, переведите переключатели в положение автоматического получения настроек. Если же необходимо указать статические адреса клиентам сети, настройка будет несколько сложнее. Устанавливаем верхний переключатель в положение «Использовать следующий IP-адрес». В поле «IP-адрес» укажите любой из диапазона 192.168.0.2–192.168.0.254. Выбирать адреса в этом диапазоне можно в произвольном порядке, условие лишь одно – в пределах сети адреса должны быть уникальны для каждого компьютера. После ввода адреса маска подсети должна появиться автоматически. Если этого не произошло, введите вручную значение 255.255.255.0. В поле «Основной шлюз» указываем адрес управляющего компьютера — 192.168.0.1.
Нижний переключатель переводим в положение «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» также вводим адрес управляющего компьютера – 192.168.0.1. Далее нажимаем кнопку «Дополнительно», переходим на вкладку «DNS» и в поле «DNS-суффикс подключения» вводим MSHOME.NET (ICS WindowsXP всегда использует имя домена MSHOME.NET; например, для компьютера с именем COMP1 полное имя внутреннего клиента будет COMP1.MSHOME.NET).
В завершение настройки статических адресов можно изменить содержимое файла hosts. Это позволит ускорить разрешение имен клиентов сети, предотвратить отправление ненужных запросов DNS-серверам в Интернете и позволяет уменьшить трафик, вызываемый набором номера для подключений удаленного доступа. Для этого откройте файл hosts, находящийся в папке %SystemRoot%System32DriversEtc (обычно это C:WINDOWSsystem32driversetc) на управляющем компьютере с помощью любого текстового редактора. Переведите курсор на первую пустую строку после последней записи. Далее необходимо указать записи для всех клиентов, имеющих статические адреса в следующем формате:
IP-адрес полное имя компьютера
Обратите внимание, разделяться адрес и имя должны не пробелом, а клавишей табуляции (Tab). Полное имя компьютера можно узнать на одноименной вкладке апплета «Система», находящегося в панели управления, добавив к нему DNS-суффикс MSHOME.NET. Так, для компьютера с именем COMP1 полное имя будет COMP1.MSHOME.NET. После указания всех клиентов добавьте в файл hosts две пустых строки, дважды нажав клавишу ВВОД и сохраните изменения. Осталось настроить Internet Explorer на клиентах. Для этого заходим в панель управления, выбираем категорию «Сеть и подключения к Интернету», и переходим в «Свойства обозревателя».
Открываем вкладку «Подключения» и нажимаем кнопку «Установить». На открывшейся странице «Мастера новых подключений» нажимаем кнопку «Далее», затем указываем «Подключение к Интернету», еще раз нажимаем «Далее». Выбираем «Установить подключение вручную», жмем «Далее», указываем «Подключаться через постоянное высокоскоростное подключение», нажимаем «Далее» и «Готово». На этом настройки общего подключения к Интернету закончены. Источник:windowsfaq.ru
Добрый день!
Подскажите пожалуйста, для небольшого офиса планируется структура серверов на гипервизоре esxi, на нём
1. Windows Server AD DNS DHCP 10.10.10.1
2. Windows Server ROUTING, NAT 10.10.10.2
На втором сервере где роль nat, анонсировано 2 ethernet порта, один во внутреннюю сеть, второй WAN, интернет сервер видит без проблем.
В настройках dhcp распространяю выдачу ip адресов, указываю dns домен-контроллера (*.10.1) и основной шлюз (*.10.2)
Интернет у пользователей не работает, так как нет разрешения внешних узлов.
Вопрос в чём
1. Не хочется сервер DC выпускать в интернет, чтобы все роли поднять на нём, поэтому шлюз в интерфейсе и DNS не указаны
2. Как реализовать при пересыл DNS запросов внутри сети для разрешения внешних имён на клиентских ПК?
(попытался поднять на 2-м сервере dns с пересылом на 8.8.8.8) а на DC в DNS пересыл на *.10.2, работает очень медленно, пинги идут но сайты или вообще не открываются или оооочень медленно) и мне схема такая не нравится.
3. Чем ограничивать доступ к интернету, в ad заведена группа internet, туда включены пользователи кому можно выходить, но чем этот механизм реализовать, чтобы ПК и сервера без учётной записи с доступом не выходили в сеть?