Привет, недавно столкнулся с ситуацией — есть выделенный сервер, на сервер установлен Hyper-V, провайдер выдает один белый IP на сервер. Обратились ко мне с вопросом — как можно сделать так, что бы не покупая дополнительные адреса, на создаваемых на сервере виртуальных машинах работал интернет.
В случае, например с VirtualBox вопрос решается подключением виртуальной машины к сети с типом NAT, но как же быть с Hyper-V, в нем нельзя подключить виртуальный свитч к сети NAT.
Ответ очевиден — нужно подключить свитч к внутренней сети, и с него трафик натить через физический порт. Сделать это совсем не сложно.
Ниже я расскажу как можно настроить NAT на Windows Server 2016 через PowerShell, а так же как можно настроить NAT на более старых версиях ОС Windows, через RRAS (к слову и на Windows Server 2016, через RRAS то же можно делать).
Начнем с более предпочтительного и простого способа — через PowerShell, но он для Windows 2016 и Windows 10 (к слову эти же команды должны работать и на более старых версях Windows, при условии, что будет установлен PowerShell 5, но я не проверял, кто проверит, отпишитесь в комментариях).
#Добавляем виртуальный свитч New-VMSwitch -name NAT -SwitchType Internal #Добавляем NAT New-NetNat -Name LocalNat -InternalIPInterfaceAddressPrefix "10.0.0.0/24" #Назначем адрес виртуальному свитчу Get-NetAdapter "vEthernet (NAT)" | New-NetIPAddress ` -IPAddress 10.0.0.1 -AddressFamily IPv4 -PrefixLength 24 #Делаем проброс портов Add-NetNatStaticMapping -NatName NATnetwork -Protocol TCP ` -ExternalIPAddress 0.0.0.0 -InternalIPAddress 10.0.0.2 ` -InternalPort 22 -ExternalPort 50022 #Посмотреть текущие пробросы портов можной командой: Get-NetNatStaticMapping #Как и список сетей NAT Get-NetNat #Такими командами это хозяйство можно удалить Remove-NetNatStaticMapping -StaticMappingID 0 Remove-NetNat -Name LocalNat
Теперь опишу способ, как можно сделать NAT, который работает практически на всех версиях винды (на 2003, 2008, 2012 и 2016 соответсвенно), будем делать NAT через RRAS.
Сперва нужно поставить роль RAS, для этого заходим в диспетчер сервера, жмем управление и выбираем — добавить роли и компоненты.
В мастере добавления ролей, в ролях сервера, выбираем Удаленный доступ.
В службах ролей удаленного доступа, выбираем маршрутизация,
и добавляем необходимые компоненты.
После завершения установки, перезагружаем сервер, возвращаемся в диспетчер сервера и выбираем: средства — маршрутизация и удаленный доступ.
Щелкаем правой кнопкой по нашему серверу и выбираем — настроить маршрутизацию и удаленный доступ.
На втором шаге мастера настройки сервера маршрутизации и удаленного доступа, выбираем — преобразование сетевых адресов (NAT).
Дальше выбираем сетевой интерфейс, который подключен к интернету.
На этом настройка NAT на Windows Server 2016 закончена, вернемся в консоль управления RRAS, развернем наш сервер, перейдем в IPv4, и зайдем в преобразование сетевых адресов.
Здесь можно посмотреть свойства сетевых интерфейсов. Например для внутреннего свойства выглядят так:
А для внешнего так:
Здесь же можно сделать проброс портов, например, сделаю проброс ssh до виртуальной машины. Заходим в службы и порты и жмем добавить,
Здесь указываем понятное имя службы, входящий порт (порт по которому нужно ломиться на сервер), адрес сервера к которому пробрасываем порт, и порт сервера.
Всё порт проброшен. Можно пробовать подключиться.
Опубликовано
Доброго времени суток, уважаемые читатели. Сегодня у нас тема: «Настройка NAT в Windows server 2012-2016». Всё так же две ОС, в одной статье. Мы установим необходимую роль, и сделаем базовую настройку NAT.
Установка и базовая настройка маршрутизации NAT, в Windows Server 2012-2016
Предварительно, сделайте настройку всех Ваших сетевых адаптеров.
Установка роли «Удалённый доступ»
- Открываем диспетчер устройств, и заходим в «Добавить роли и компоненты».
- Жмём «Далее», на памятке мастера.
- В выборе типа установки, нас интересует «Установка ролей и компонентов».
- Жмём «Далее».
Выбор целевого сервера.
- Выбираем нужный сервер, или виртуальный жёсткий диск.
- Жмём «Далее».
Выбор ролей сервера.
- Выбираем «Удалённый доступ».
- Жмём «Далее».
Выбор компонентов.
- Если нужно, что то дополнительно, выбираем и жмём «Далее».
Информативное окно об удалённом доступе.
- Жмём «Далее».
Выбор служб ролей.
- Выбираем «Маршрутизация».
- Появляется окно, с компонентами необходимыми для маршрутизации.
- Жмём «Добавить компоненты».
- В окне выбора ролей, жмём «Далее».
- Информативное окно, о роли устанавливаемого веб сервера, который необходим для работы маршрутизации.
- Жмём «Далее».
- В окне выбора служб ролей жмём «Далее».
Подтверждение установки компонентов.
- Проверяем, если всё верно, жмём «Установить».
- Начинается процесс установки.
- Ждём завершения, и жмём «Закрыть».
Настройка маршрутизации и удалённого доступа
- В области уведомлений диспетчера сервера, находим раздел «Средства».
- Кликаем по нему, и заходим в раздел «Маршрутизация и удалённый доступ».
- В открывшейся консоли, кликаем правой кнопкой мышки на нашем сервере, и в выдающем меню жмём на «Настроить и включить маршрутизацию и удалённый доступ».
- Открывается окно мастера, жмём «Далее».
Конфигурация.
- Выбираем «Преобразование сетевых адресов NAT».
- Жмём «Далее».
Подключение к интернету на основе NAT.
- Выбираем первый вариант, а в списке интерфейсов, тот который имеет подключение к интернету.
- Жмём «Далее».
Службы преобразования имён и адресов.
- Так же, выбираем первый вариант «Включить базовые службы».
- Жмём «Далее».
Назначение диапазонов адресов.
- Система, исходя из подключения вашего сетевого адаптера, определяет диапазон адресов, которым будет обеспечена поддержка маршрутизации.
- Жмём «Далее».
- В последнем окне мастера, жмём «Готово».
- Начинается запуск необходимых служб.
- По окончании, в окне консоли, появляется сообщение, о том, что служба маршрутизации и удалённого доступа настроена на этом сервере.
Для проверки работы маршрутизации, можно на любом компьютере Вашей локальной сети, в качестве основного шлюза указать адрес сервера, на котором Вы запустили NAT. Компьютер получит доступ в интернет.
Сегодня мы рассмотрели тему: «Настройка NAT в Windows server 2012-2016». Добавили необходимую роль, установили нужные компоненты, и сделали базовую настройку.
Надеюсь статья была вам полезна. До встречи в новых статьях.
✍
С уважением, Андрей Бондаренко.
Видео на тему «Настройка NAT в Windows server 2012»:
Видео на тему «Настройка NAT в Windows server 2016»:
✧✧✧
Поблагодарить автора за полезную статью:
WMZ-кошелёк = Z667041230317
✧ Рубрика «Windows server»
✧ Комментарии: 6
Похожие записи
Introduction
In this article I’m setting up a 3 way router with Windows Server 2016, which will be performing LAN routing between two subnets and NAT for both subnets. This setup will replace the gateway I had in my Hyper-V virtual lab. So, basically, I needed to add a new subnet to my virtual lab (10.0.0.32/27) and I needed both subnets to communicate and both to have internet access. I could have done this by adding a router between both subnets, but for that I would need to add a new virtual machine, which would be consuming additional resources from my Hyper-V server. This way, I’ll have a solution that will grow with the virtual lab. In case I need to add a new subnet to the lab, I just have to add a new interface to the router and all subnets will be automatically routed between each other. Perfect!
My virtual lab
Please note that this is my virtual lab configuration. You will have to configure the router to match your own network config, but, if you are reading this, I assume you already know that. Also, DNS servers are not in place here. After configuring the router, your client PCs will need to have a DNS server configured – usually your internet router – so that they will be able to browse the internet. Again, if you are reading this article I assume you have a basic understanding how these things work.
Let’s start
First things first
You will need a machine with Windows Server 2016 installed, for which you can find a guide here, with three network cards attached to it, as per the diagram above.
Adding the Remote Access role
- Open “Server Manager”. Click on the start button and find “Server Manager”.
- Click on “Add roles and features”.
- Click “Next” until you reach the “Select server roles” window. Check the “Remote Access” box and click “Next”.
- Click “Next” until you reach the “Select role services” window.
- Select “Routing”
- Click on “Add Features”
- Note that “DirectAccess and VPN (RAS)” are selected by default. No need to make any changes. Press “Next”.
- Click on “Install” on the “Confirmation” window and wait for the role to be installed.
Configuring the Remote Access Role
- Press the “Start” button and find the “Routing and Remote Access” console. Open it.
- Right-click on the (local) server and select “Configure and Enable Routing and Remote Access”
- Press “Next” at the welcome window of the “Routing and Remote Access Server Setup Wizard”.
- On the “Configuration” window, select “Network address translation (NAT)” and press “Next”.
- Select the public interface that you are using to connect to the internet. Press “Next”.
- Select the interface that will have access to internet. Select the first interface and press “Next”. We’ll deal with the second interface later.
- Click on “Finish” to close the setup wizard. If a pop-up window comes up warning about firewall ports for VPN connections, you can safely ignore this warning as we are not setting up any VPN access. Just press “OK” and wait for the “Routing and Remote” access service to start.
Adding the second NAT interface
So, during the Routing and Remote Access setup wizard, we’ve configured NAT for one of the subnets, but if we want (and we do!) to provide internet access to another subnet, we must configure NAT for the second (n) interface.
- On the “Routing and Remote Access” console, under IPv4, right-click “NAT” and select “New Interface…”
- Select the interface for the second subnet and press “OK”.
- Select “Private interface connected to private network” and click “OK”
And this ends setting up the server. Now it’s time to test if all is working as it should!
Checking the configuration
In the “Routing and Remote Access” console, under IPv4, right-click “Static Routes” and choose “Show IP Routing Table…”. A new window, with the known routes to this computer, will pop-up. Analyzing that window (please always remember that this IP Routing table is regarding my setup, which is the one described in the diagram on the top of the page), you will see that we have:
1 – A gateway! All traffic that the router doesn’t know where to direct it, will direct it to the gateway.
2- Traffic for the network (subnet) 10.0.0.0 with a netmask of 255.255.255.224 (/27) will be directed to the interface S01, which is the interface connected to that subnet.
3- Traffic for the network 10.0.0.32 with a netmask of 255.255.255.224 will be directed to the interface S02, which is the interface connected to that subnet.
Testing the LAN Routing and NAT
NOTE: for all to work properly, ideally you should have a DHCP assigning IP addresses on each subnet and also a DNS server for your client computers to be able to resolve names and browse the internet.
Having said that, from one of the computer clients connected to S01, you should be able to ping S02. This is the IP config I have at one of my servers in S01. You’ll see that the gateway for this subnet is the IP of the router (10.0.0.30).
If you ping an IP address in the S02 subnet, this should be the result:
And if you try and browse the internet, voilá!
And the sames goes from a computer on subnet S02:
If you run into any issues, ie, not pinging from one subnet to the other, disable the router firewall and try again. That should do it. Or, instead of disabling the firewall completely, add – or enable – rules to allow traffic between both subnets. In my case, I disabled the firewall completely because this is a lab environment, with no direct connection to the internet.
As always, if you found this article useful, share it with your friends.
If you have any questions or suggestions, please leave your comment.
And… Thank you for reading!
If you’re looking for an easy remote access solution for your network and you’re using Windows Server, you may want to consider installing the Routing and Remote Access Role included in Windows Server. There are different types of VPNs that you can use, such as PPTP, L2TP and SSTP.
This article will assume that you have an Active Directory Domain already configured within your network to control remote access. If you are not using ADDS yet, check out this article to get it configured. Please keep in mind that you will also need to forward the appropriate ports through your outside firewall to allow clients to connect from the outside.
Have a SonicWALL UTM Device? Consider Using SSL VPN Instead: Article Here
Installing the Routing and Remote Access Role
1. Log into the server with administrative credentials
2. Open Server Manager 
3. On the Dashboard, locate and click Add roles and features
4. Click Next to skip the Before you begin page
5. Choose Role-based or feature-based installation and click Next
6. Make sure that the server you are installing on is selected from the pool. Click Next to continue.
7. Scroll through the list to locate Remote Access and select it. Click Next.
8. You will be greeted with a welcome page for the Remote Access Role. Click Next to continue.
9. Because we’re configuring this server for VPN connectivity, select DirectAccess and VPN (RAS) from the list, then when prompted, click Add Features in the pop up window. Click Next to continue.
10. The Wizard will now guide you through installing the Web Server Role (IIS) as the Remote Access Role has dependencies on IIS to function. Click Next to continue.
11. Leave the default options checked and click Next to continue.
12. Finally check the information provided and click Install to begin installing the Roles.
13. Once the installation is finished, click Close. Additional configuration will be required.
Configure the Remote Access Role
Now that the installation is completed, we will want to actually configure the role.
1. Log into the server with administrative credentials
2. Open Server Manager
3. In the top right you will see the Action Required flag 
, click the icon and click Open the Getting Started Wizard.
Note: When I clicked this in Windows Server 2016 Technical Preview 4, nothing happened. I will continue by opening the Remote Access Management Console.
4. If the getting started wizard does not show up for you, go to Start > All Apps > Windows Administrative Tools > Remote Access Management
5. In the Remote Access Management Console, click DirectAccess and VPN under Configuration, then click Run the Getting Started Wizard
6. In the Configure Remote Access Wizard, choose whether to deploy Direct Access, VPN, or Deploy both DirectAccess and VPN (recommended).
7. Choose the option that describes your network topology best. In most cases, this will be Behind an edge device (with a single network adapter). Then enter the outside host name or public IP Address that clients will use to connect to the server (for example, Remote.MyCompany.com)
8. Finally, click Finish
We’ve completed all of the initial steps to get the server configured. You will need to configure your clients to connect using the built in VPN client in Microsoft Windows. Be sure that you either configure the correct NPS policies to allow access from your clients, or manually allowing users to connect by changing the setting on the Dial In tab within the user object in Active Directory.
Tags: 20122016AccessConfigureDirectDirectAccessHowL2TPmanagerPPTPRemoteRoutingRRASServerSetupSSTPToVPNWindowsWizard
Мы продолжаем наши учебные пособия по Windows Server, рассмотрим в этом случае, как установить службу маршрутизации Windows Server 2016. Эта процедура дополняет настройку роли DHCP для нашего сервера, поскольку благодаря этому мы можем обеспечить подключение к Интернету компьютерам, подключенным к внутренней сети LAN.
Указатель содержания
Обычная работа в сетях LAN компаний и образовательных центров заключается именно в этом, чтобы подключить сервер с прямым доступом к Интернету посредством выделенной сетевой карты в этом отношении, а с другой стороны, чтобы подключить сеть LAN рабочий центр. Вот почему сегодня мы увидим, как создать мост с нашим сервером Windows Server 2016 для предоставления услуг NAT для нашей локальной сети и чтобы он мог выходить в Интернет через него.
Что такое служба NAT?
Прежде чем начать, мы должны быстро узнать некоторые концепции, чтобы лучше понять, что мы намерены делать. Выполнение процедуры понимания того, что мы действительно делаем, даст нам знания для решения возможных ошибок, которые могут произойти в будущем.
NAT или преобразование сетевых адресов, в переводе на испанский язык с сетевых адресов, состоит из процедуры, в которой устройство, обычно маршрутизатор или сервер с протоколом IP, может обмениваться пакетами данных между двумя сетями с разными IP-адресами или несовместимы друг с другом.
Процедура заключается в том, что DHCP-сервер назначает IP-адреса клиентам, которые подключены к нему в сети, в обычной ситуации наш DHCP-сервер будет нашим собственным маршрутизатором. Благодаря этому, когда мы подключаем к нему компьютер через Wi-Fi или Ethernet, он предоставляет нам IP-адрес определенного диапазона, обычно это будет 192.168.0.xxx или аналогичный. Каждому маршрутизатору в своем встроенном программном обеспечении назначен этот диапазон IP-адресов, который в любом случае мы можем настроить самостоятельно, получив доступ к его конфигурации.
Итак, когда наш DHCP-сервер (маршрутизатор) дает нам IP, чтобы мы могли с ним общаться, у него, в свою очередь, есть IP-адрес, который он получил из сети сетей, Интернет, который будет полностью отличаться от наш внутренний. Затем, с другой стороны, будет другой сервер, отвечающий за распределение этих IP-адресов через Интернет на маршрутизаторы, серверы и все, что с ним связано.
Смысл в том, чтобы соединить наш IP с внешним IP-адресом маршрутизатора. Для этого маршрутизатор должен включить процедуру преобразования сетевых адресов (NAT), посредством которой он отвечает за передачу пакетов с нашего внутреннего IP— адреса на свой внешний IP-адрес, чтобы они продолжали путь к месту назначения. То же самое произойдет, когда внешний узел предоставит нам запрошенную нами информацию, служба NAT отвечает за преобразование своего внешнего IP-адреса в наш внутренний IP-адрес и обеспечивает их доступ к нам.
Итак, почему мы хотим сервер NAT, если у нас есть маршрутизатор?
Ну, очень просто, представьте, что за маршрутизатором было 1000 компьютеров, соединенных в сеть коммутационным оборудованием, которое отвечало бы за распределение соединения. Никто в здравом уме не подключит последний из коммутаторов к маршрутизатору, чтобы вывести сеть LAN за границу, главным образом потому, что у простого маршрутизатора недостаточно средств для маршрутизации пакетов 1000 компьютеров, работающих одновременно.
Другая причина заключается в том, что, установив сервер, расположенный между локальной сетью и Интернетом (WAN), мы можем установить, например, доменные службы Active Directory, наш собственный DHCP-сервер или брандмауэр, который позволит нам иметь гораздо большую защиту от Интернет-атаки, если мы подключились с помощью простого маршрутизатора.
Короче говоря, мы собираемся разместить компьютер под управлением Windows Server 2016 между нашей внутренней сетью и Интернетом, чтобы он действовал как «маршрутизатор» между двумя сетями. Конечно, сервер также будет связан по очереди с нашим обычным и текущим маршрутизатором.
Подход схемы подключения
Для выполнения этой процедуры мы использовали виртуальный сервер через VirtualBox с двумя виртуальными сетевыми картами. Один из них используется в режиме моста для подключения сервера к Интернету, а другой — в режиме внутренней сети для имитации сети ЛВС, где компьютеры подключаются к серверу для получения IP-адресов через роль DHCP, ранее установленную на сервере.
Посетите этот учебник, чтобы установить DHCP-сервер в Windows Server 2016
В любом случае виртуальные машины, смонтированные на VirtualBox, смогут получить доступ к Интернету только в том случае, если сервер предоставляет службы маршрутизации. И это именно то, что мы будем проверять здесь.
Ситуация, в которой мы оказались бы, — это клиенты, подключенные к серверу с ролью DHCP, которая предоставляет IP-адреса, но невозможно подключиться к Интернету. Итак, начнем.
Мы собираемся приступить к установке службы маршрутизации в Windows Server 2016.
Как всегда, мы собираемся открыть Диспетчер серверов, и мы собираемся нажать на опцию « Управление ». Здесь мы выберем « Добавить роли и характеристики ».
Начнем с мастера, похожего на другие роли. Мы оставляем предустановленную опцию « Установка на основе характеристик или ролей ». Нажмите далее.
В следующем интересном окне нам нужно будет выбрать сервер, на который мы хотим установить роль. Поскольку у нас есть только один, потому что шаг будет трюизмом.
Следующее, что нам нужно сделать, это выбрать опцию « Удаленный доступ » из списка функций. Если мы посмотрим на правую сторону, появится много информации об этой функции. Что нас не интересует, так это именно функция маршрутизации с NAT, которая позволяет переносить наши компьютеры из домена в Интернет.
В новом окне выбора службы ролей нам нужно будет выбрать окно « Маршрутизация ». Автоматически мы откроем окно, где нам будет показан список всех функций, которые будут установлены при выборе этой опции.
Также отметим, что первый вариант будет выбран автоматически. Это связано с тем, что при установке маршрутизации нам также потребуются дополнительные функции на случай, если мы когда-нибудь захотим настроить сеть VPN на нашем сервере. Поэтому мы оставляем эти два поля отмеченными, в принципе прокси нас не интересует.
Далее мы проходим через другое окно выбора функций, где нам не нужно ничего трогать, поскольку интересная функция была в предыдущем.
Наконец, мы будем находиться в окне с описанием установки. Мы сможем установить флажок « Автоматически перезапускать сервер назначения ». Хотя мы уже предупреждаем, что у нас не будет необходимости перезагружаться, странная вещь — Windows.
Затем нажмите « Установить ».
Когда процедура закончится, у нас будет опция « Открыть мастер внедрения ». Мы будем нажимать там.
Да, мы закроем это непосредственно, потому что мы не хотим делать ни одну из трех вещей, которые появляются здесь. Хотя мы видим, что благодаря этому мы можем реализовать, например, VPN-сервер.
Конфигурация роли маршрутизации
Теперь пришло время настроить конфигурацию нашей маршрутизации так, чтобы сервер перенаправлял пакеты нашего клиентского оборудования на сетевую карту, подключенную к Интернету.
Для этого нажмите « Инструменты » в Диспетчере серверов. Надо выбрать « Маршрутизация и удаленный доступ »
В окне администрирования мы увидим, что в дереве состояния появляется красный значок, символ, который нам все еще необходим для правильной настройки.
Затем мы щелкаем правой кнопкой мыши по имени сервера и выбираем опцию « Настроить и включить маршрутизацию и удаленный доступ ».
На первом экране конфигурации нам нужно будет выбрать « Трансляция сетевых адресов (NAT) ».
Мы также могли бы выбрать опцию « Доступ к виртуальной частной сети (VPN) и NAT », которая сочетает в себе предыдущую опцию с возможностью создания VPN с доступом из-за рубежа. Каждый из которых вы выбираете тот, который вы хотите, мы выбрали, на данный момент, первый.
В следующем окне возможно, что когда мы перейдем к нему, абсолютно ничего не появится в текстовом поле. Это связано с довольно распространенной ошибкой, возникающей на Windows Server в первой конфигурации этой роли.
В случае, если мы не видим сетевых карт, помещенных в текстовое поле, мы выйдем из мастера и снова запустим настройку.
Когда появится соответствующая информация, нам нужно будет выбрать сетевую карту с доступом в Интернет. Если у нас есть сомнения, в случае, если у нас нет такого имени, как мы, мы перейдем к настройке адаптеров с помощью команды » ncpa.cpl » и проверим, какая сетевая карта подключена к Интернету.
Мы будем идентифицировать его, потому что он имеет в качестве шлюза IP-адрес маршрутизатора или устройства, отвечающего за подключение к внешней сети, например, брандмауэр.
Что ж, с этим мы настроим наш сервер маршрутизации. Мы увидим, что дерево было создано с различными разделами для IPv4 и IPv6, и мы увидим список сетевых адаптеров и других данных.
Проверьте, что мы можем получить доступ к Интернету
Теперь осталось проверить, можем ли мы получить доступ к Интернету с помощью клиента. Предполагается, что на этом этапе у всех нас будет настроена сетевая карта клиента в VirtualBox как « внутренняя ». Также предполагается, что у нас будет конфигурация распределения IP-адресов в динамическом режиме и что DHCP-сервер правильно назначил IP-адрес клиенту.
Если мы запустим компьютер, виртуальный или физический, с аналогичными характеристиками, мы увидим, что система немедленно указывает, что у нас уже есть доступ к Интернету.
Мы собираемся открыть веб-браузер, чтобы попытаться получить доступ к странице. Мы проверяем, что можем эффективно получить доступ к Интернету, и мы также видим, что роль DNS работает правильно и разрешает домены в соответствующих IP-адресах.
Как и в случае с DHCP-сервером, нам не нужно будет подключаться к домену или настраивать его на клиенте, чтобы иметь возможность подключаться через сервер с DHCP, DNS и службой маршрутизации. Нам нужно будет только подключиться к локальной сети, подключенной к соответствующей сетевой карте сервера.
Пока это все, что касается установки роли маршрутизации в Windows Server 2016.
Если вы пропустили какое-либо из наших руководств, чтобы завершить пакет Active Directory:
Мы надеемся, что вы смогли правильно настроить свою роль маршрутизации. Если у вас есть какие-либо проблемы, пожалуйста, сообщите нам. Мы вернемся с большим.