Настройка windows в качестве шлюза

Настройка компьютера под Windows в качестве шлюза позволяет использовать его для организации локальной сети и обеспечить доступ к интернету другим устройствам. Это может быть полезно, например, если у вас есть один интернет-подключение, но вы хотите использовать его не только на рабочем компьютере, но и на других устройствах, таких как ноутбуки, смартфоны или планшеты.

Для настройки компьютера в качестве шлюза, мы будем использовать встроенные возможности Windows, а именно функцию «Internet Connection Sharing» (ICS) или «Общий доступ к интернету». Делать это легко и просто, но перед тем как начать, убедитесь, что ваш компьютер подключен к интернету и имеет две сетевые карты, одна из которых будет использоваться для подключения к интернету, а вторая — для подключения к другим устройствам в локальной сети.

Прежде всего, перейдите в «Пуск» и выберите пункт «Настройка сети» или «Сетевые соединения». Затем найдите сетевую карту, которая подключена к интернету, нажмите правой кнопкой мыши на нее и выберите «Свойства». В открывшемся окне найдите вкладку «Общий доступ», поставьте галочку «Разрешить другим пользователям сети подключаться через этот компьютер к Интернету» и нажмите «ОК».

Важно отметить, что компьютер, настроенный как шлюз, будет выполнять функции маршрутизатора, поэтому у него должны быть достаточные ресурсы для обработки дополнительного трафика.

Первые шаги настройки

Перед началом настройки Windows в качестве шлюза необходимо выполнить ряд предварительных шагов. В этом разделе мы расскажем о необходимых действиях, которые следует предпринять перед началом настройки.

1. Убедитесь, что у вас установлена полная версия операционной системы Windows. Некоторые из руководств и инструкций могут не работать на других версиях операционной системы.

2. Установите все последние обновления для вашей операционной системы. Обновления содержат исправления ошибок, улучшения безопасности и новые функции, которые могут быть полезными при настройке Windows в качестве шлюза.

3. Проверьте наличие необходимого аппаратного обеспечения. Для настройки Windows в качестве шлюза вам потребуется компьютер с двумя сетевыми интерфейсами: один для подключения к интернету и один для подключения к локальной сети.

4. Убедитесь, что вы обладаете достаточными навыками в настройке сетевых соединений и операционной системы Windows. Перед началом настройки рекомендуется ознакомиться с документацией и руководствами по настройке сетевого оборудования.

Следуя этим простым шагам, вы будете готовы к началу настройки Windows в качестве шлюза. В следующем разделе мы расскажем, как выполнить основные настройки для создания шлюза.

Установка необходимых компонентов

Перед тем, как приступить к настройке Windows в качестве шлюза, необходимо установить несколько компонентов.

1. Драйверы сетевой карты: Установите драйверы для сетевой карты, которую будете использовать в качестве шлюза. Обычно драйверы предоставляются на диске вместе с сетевой картой или их можно загрузить с официального сайта производителя.

2. Драйверы Wi-Fi адаптера (для беспроводного шлюза): Если планируете настроить беспроводный шлюз, убедитесь, что у вас установлены актуальные драйверы для Wi-Fi адаптера. Драйверы также могут быть доступны на диске или на официальном сайте производителя.

3. Internet Connection Sharing (ICS): Этот компонент позволяет вам настраивать шлюз в Windows. Убедитесь, что ICS установлен на вашей системе. Вы можете проверить это, открыв «Центр управления сетями и общим доступом» и узнав, включена ли опция «Разрешить другим пользователям подключаться к Интернету через данное подключение» на вашем шлюзе.

Настройка сетевого подключения

Шаг 1: Откройте «Панель управления» и выберите «Центр управления сетями и общим доступом».

Шаг 2: В категории «Просмотр активных подключений» найдите интерфейс подключения, который вы хотите настроить в качестве шлюза.

Шаг 3: Щелкните правой кнопкой мыши на выбранном интерфейсе и выберите «Свойства» в контекстном меню.

Шаг 4: В открывшемся окне «Свойства [имя интерфейса]» выберите вкладку «Общие».

Шаг 5: Установите флажок рядом с «Разрешить другим пользователям сети подключаться через это подключение к Интернету».

Шаг 6: Нажмите кнопку «Настроить» рядом с «Доменное имя системы». Введите имя для вашего шлюза и нажмите «ОК».

Шаг 7: Вернитесь в окно «Свойства [имя интерфейса]» и выберите вкладку «Сеть».

Шаг 8: Выберите протокол TCP/IPv4 и нажмите кнопку «Свойства».

Шаг 9: В открывшемся окне «Свойства протокола TCP/IPv4» выберите опцию «Использовать следующий IP-адрес» и введите IP-адрес вашего шлюза.

Шаг 10: Введите IP-адрес предпочитаемого DNS-сервера и нажмите «ОК».

Шаг 11: Нажмите «ОК» в окне «Свойства [имя интерфейса]», чтобы сохранить изменения.

После выполнения этих шагов вы успешно настроили ваше сетевое подключение в качестве шлюза. Теперь другие устройства на вашей сети могут обращаться к Интернету через вашу Windows.

Создание и настройка внутренней сети

Для реализации шлюза на базе Windows необходимо создать внутреннюю сеть, которая будет соединять компьютеры в локальной сети с интерфейсом шлюза. Для этого выполните следующие шаги:

Шаг 1: Откройте «Панель управления» и выберите «Сеть и Интернет».

Шаг 2: Нажмите на «Сетевые подключения» и выберите «Создание и настройка сети дома или малого офиса».

Шаг 3: В появившемся окне выберите «Создание компьютерной сети дома или рабочей группы» и нажмите «Далее».

Шаг 4: В новом окне выберите «Домашняя сеть» и нажмите «Далее».

Шаг 5: Выберите один из компьютеров в сети, который будет играть роль шлюза, и введите имя для вашей сети. Нажмите «Далее».

Шаг 6: На следующем экране будет предложено ввести пароль для вашей сети. Введите желаемый пароль и нажмите «Далее».

Шаг 7: Дождитесь завершения процесса создания сети и нажмите «Закончить».

После создания внутренней сети, вам необходимо будет настроить параме

Настройка маршрутизации и фильтрации трафика

После того, как мы настроили Windows в качестве шлюза, необходимо выполнить дополнительные шаги для настройки маршрутизации и фильтрации трафика. В этом разделе мы рассмотрим основные настройки и команды, которые помогут вам выполнить эту задачу.

1. Настройка маршрутизации

Для начала необходимо настроить маршрутизацию на вашем сервере-шлюзе. Это позволит правильно направлять пакеты данных между различными подсетями.

Для настройки маршрутизации вам потребуется использовать команду route. Например, чтобы добавить маршрут к подсети 192.168.0.0 через интерфейс с IP-адресом 192.168.1.1, выполните следующую команду:

route add 192.168.0.0 mask 255.255.255.0 192.168.1.1

Выполните аналогичную команду для каждой подсети, к которой вы хотите установить маршрут.

2. Настройка фильтрации трафика

После настройки маршрутизации, рекомендуется настроить фильтрацию трафика для обеспечения безопасности вашей сети. Фильтрация трафика позволяет контролировать доступ к вашим ресурсам и защитить их от внешних угроз.

Для настройки фильтрации трафика вам потребуется использовать команду netsh. Например, чтобы разрешить только трафик из подсети 192.168.0.0/24, выполните следующую команду:

netsh advfirewall firewall add rule name="Allow LAN" dir=in action=allow remoteip=192.168.0.0/24

Выполните аналогичную команду для каждой подсети или IP-адреса, с которых вы хотите разрешить доступ.

Также, вы можете настроить фильтрацию по портам, протоколам или другим параметрам с помощью соответствующих команд netsh.

После настройки всех необходимых маршрутов и правил фильтрации, перезагрузите сервер-шлюз для применения изменений.

Теперь ваш Windows-сервер успешно настроен в качестве шлюза, и вы можете использовать его для управления и контроля трафика в вашей сети.

Настройка протоколов и служб

При настройке Windows в качестве шлюза необходимо убедиться, что все необходимые протоколы и службы настроены правильно.

• Типы протоколов: TCP/IP, IPX/SPX, NetBEUI.
• Службы: DHCP, DNS, NAT.

Для настройки протоколов и служб следуйте инструкциям ниже:

1. Откройте «Панель управления» и выберите «Сеть и интернет».
2. Выберите «Сетевые соединения» и найдите соединение, которое вы хотите использовать в качестве шлюза.
3. Щелкните правой кнопкой мыши на выбранном соединении и выберите «Свойства».
4. В открывшемся окне выберите вкладку «Протоколы» или «Службы» в зависимости от того, что вы хотите настроить.
5. Убедитесь, что все необходимые протоколы и службы установлены и настроены правильно.
6. Если какой-либо протокол или служба отсутствует, нажмите кнопку «Установка» или «Добавить» и следуйте инструкциям на экране для установки и настройки.

После настройки протоколов и служб необходимо сохранить изменения и перезагрузить компьютер, чтобы они вступили в силу.

Теперь ваша система Windows готова работать в качестве шлюза и обеспечивать связь между локальной сетью и внешней сетью.

Установка и настройка дополнительного ПО

Для полноценной работы шлюза на операционной системе Windows необходимо установить и настроить дополнительное программное обеспечение. Рассмотрим основные инструменты, которые понадобятся для этого.

• Маршрутизатор — программное обеспечение, которое обеспечивает маршрутизацию пакетов данных между сетями. Оно позволяет определить путь передачи данных и принять решение о пересылке пакетов.
• Брандмауэр — это защитное программное обеспечение, которое контролирует входящий и исходящий трафик, фильтрует пакеты данных и обеспечивает безопасность вашей сети.
• VPN-сервер — программное обеспечение, основанное на протоколе VPN (Virtual Private Network), которое позволяет создать безопасное соединение между удаленными сетями или устройствами.
• Прокси-сервер — это промежуточный сервер, который используется для пересылки запросов клиента к целевому серверу. Он может быть настроен для фильтрации трафика, ускорения загрузки страниц и улучшения безопасности.

Для установки и настройки дополнительного ПО на вашем шлюзе выполните следующие действия:

1. Выберите программное обеспечение, которое соответствует вашим требованиям и функциональности.
2. Скачайте установочные файлы выбранного ПО с официального сайта разработчика.
3. Установите выбранное ПО, следуя инструкциям на экране.
4. После установки запустите программу и выполните необходимые настройки.
5. Проверьте работу установленного ПО, отправив тестовые запросы и проанализировав логи.

При выборе и настройке дополнительного ПО следует учитывать требования каждой отдельной программы, а также совместимость с вашей операционной системой. Обратите внимание на актуальные версии ПО и возможность обновления программы для повышения безопасности и функциональности вашего шлюза.

Проверка и тестирование настроек

После настройки Windows в качестве шлюза необходимо выполнить проверку и тестирование настроек для убедиться в их правильности и работоспособности. Следующие шаги помогут вам провести данную проверку:

1. Подключитесь к локальной сети, используя другой компьютер или устройство.
2. Убедитесь, что устройство получает IP-адрес от шлюза.
3. Попробуйте открыть любой веб-браузер на подключенном устройстве и перейти на любой веб-сайт.
4. Убедитесь, что веб-сайт открывается без проблем.
5. Если у вас есть внешний доступ к интернету, попытайтесь подключиться извне, используя другую сеть или мобильное устройство.
6. Убедитесь, что устройство может получить доступ к интернету через шлюз.
7. Попробуйте открыть веб-сайты и другие интернет-ресурсы извне через шлюз.
8. Убедитесь, что доступ к интернету работает нормально.

Если на одном или нескольких этапах вы столкнулись с проблемами, необходимо повторить настройки и проверить их на все возможные ошибки. Также вы можете обратиться к документации или технической поддержке для получения дополнительной помощи.

Еще с 90ых годов, в операционных системах Windows присутствует возможность предоставления доступа к интернету другим компьютерам. Называется данное решение «Возможность совместного подключения к Интернету» (англ. Internet Connection Sharing или ICS), и было введено в Windows 98 SE. В данной статье мы не будем рассматривать столь старую операционную систему, и попробуем изучить её использование на более современных вариантах Windows — а именно Windows Vista, Windows 7, Windows 8 и Windows 10 — которые в этом плане имеют абсолютно одинаковые настройки.

Настройка шлюза

В данном разделе мы рассмотрим настройку компьютера, который будет выступать в роли шлюза «раздачи интернета». Единственное требование к этому компьютеру — наличие двух и более сетевых интерфейсов, один из которых должен быть иметь доступ к интернету, а другой — к локальной сети. Например:

• Первый интерфейс — VPN соединение, обеспечивающее доступ к интернету, второй интерфейс — подключение к локальной сети, без доступа к интернету;
• Первый интерфейс — Ethernet подключение к сети, с доступом в интернет, второй интерфейс — Ethernet подключение к локальной сети, без доступа к интернету.

Как видно из примеров выше, использовать одно и то же Ethernet подключение для получения и раздачи интернета не получится. Если в компьютере отсутствует вторая сетевая карта, то придется её купить, благо стоят они не дорого.

Давайте рассмотрим самый минимум настроек, который необходимо сделать для предоставления интернет-соединения компьютером-шлюзом.

1. Для включения раздачи интернета, нужно открыть список сетевых подключений — нажимаем поочередно клавиши Win + R и набираем там команду ncpa.cpl после чего нажимаем кнопку «ОК».
   
2. Откроются сетевые подключения, среди которых нужно найти то, которое имеет доступ к интернету — вычислив такое подключение, нажимаем на нем правой кнопкой мыши, и выбираем пункт контекстного меню «Свойства».
   
3. В окне свойств необходимо перейти на вкладку «Доступ» и отметить галочкой пункт «Разрешить другим пользователям сети управление общим доступом к подключению к Интернету». В поле «Подключение к домашней сети» нужно выбрать подключение к локальной сети, из которой планируется открыть доступ к интернету.

На этом базовая настройка компьютера-шлюза закончена. Дальше нужно перейти к компьютеру, которому нужен доступ в интернет, и настроить его.

Настройка клиента

Фактически, в роли клиента может выступить любое устройство, подключенное к локальной сети — но в данном примере мы рассмотрим компьютер под управлением операционной системы Windows. Для настройки возможности подключения к интернету со стороны компьютера-клиента, на нем необходимо выполнить следующие действия:

1. Открываем сетевые подключения, нажав поочередно клавиши Win + R, и введя там команду ncpa.cpl. Нажимаем ОК, после чего откроются Сетевые подключения.
   
2. Находим подключение к локальной сети, нажимаем на нем правой кнопкой мыши и выбираем пункт «Свойства».
   
3. В свойствах сети ищем пункт «IP версии 4 (TCP/IPv4), выбираем его, после чего нажимаем на кнопку «Свойства».
   
4. В свойствах данного протокола убеждаемся, что выбраны пункты «Получать IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически».
   

После этого, на данном компьютере должно появится соединение с интернетом, что легко проверить, к примеру через браузер.

Дополнительная настройка

Проброс портов

В Windows так же можно реализовать проброс портов, с интерфейса, который «смотрит в мир» на компьютеры внутри локальной сети — делается это в настройках сетевого интерфейса, с доступом в интернет. Для этого, открываем свойства данного подключения, и переходим на вкладку «Доступ». Там в самом низу будет находится кнопка «Настройка», которую необходимо нажать.

Откроется окно с настройками проброса портов. В нем будет присутствовать уже некоторое количество готовых вариантов, имена которых по каким-то причинам отображается в виде цифровых значений. Посмотреть, что за службы/порты скрываются за этими цифрами, можно открыв каждую из них, или же посмотреть на готовый список ниже:

• 1700 — FTP — порт TCP 21
• 1701 — Telnet — порт TCP 23
• 1702 — SMTP — порт TCP 25
• 1703 — POP3 — порт TCP 110
• 1704 — IMAP3 — порт 220
• 1705 — IMAP — порт 143
• 1706 — HTTP — порт 80
• 1707 — HTTPS — порт 443
• 1708 — RDP — порт 3389

Для добавления своего варианта нужно нажать кнопку «Добавить».

Заполняется окно с пробросом порта следующим образом:

• Описание службы — любое имя, которое поможет идентифицировать в дальнейшем, что за порт и зачем он был проброшен.
• Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба — IP адрес компьютера, на который нужно пробросить порт.
• Номер внешнего порта службы — порт, который доступен извне.
• Номер внутреннего порта службы — порт, на который нужно выполнить проброс — может отличаться от внешнего.
• Так же рядом присутствует выбор протокола — TCP или UDP.

Пример настройки проброса для игрового сервера Quake 3 можно увидеть на картинке ниже.

После нажатия на кнопку «ОК», данный порт появится в списке служб локальной сети, которым предоставлен доступ из интернета.

Использование статических адресов

Если Вам не по душе использование встроенного в Windows DHCP сервера, то Вы можете задать свои собственные уникальные сетевые адреса из диапазона 192.168.0.2 – 192.168.0.254 — к сожалению, сам DHCP сервер не отключить, и диапазон адресов не поменять. Сетевой маской будет 255.255.255.0, а сетевым шлюзом — 192.168.0.1. В качестве DNS-сервера так же следует прописать 192.168.0.1. Пример таких сетевых настроек можно увидеть на скриншоте ниже.

Возможные проблемы

В ряде случаев, возможно, что интернет не появится на стороне компьютера-клиента, не смотря на то, что все выше перечисленные настройки были сделаны правильно. В таком случае, следует проверить ряд настроек.

Отключить использование прокси-сервера.

1. Нажимаем клавиши Win + R, вводим команду inetcpl.cpl и нажимаем кнопку «ОК».
   
2. В открывшемся окне свойств интернета, нужно перейти на вкладку «Подключения» и в самом низу нажать на кнопку «Настройка сети».
   
3. В открывшихся настройках параметров локальной сети нужно убрать все галочки, в том числе с пункта «Автоматическое определение параметров», после чего закрыть все ранее открытые окна кнопками «ОК».

В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями, маршрутизатор на базе Windows Server вполне себе приемлемое решение.

Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:

Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.

Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс настройки практически не изменился.

В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access, в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install).

После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access.

В открывшемся окне выбираем пункт Network Address Translation (NAT).

На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера.

Далее будет предложено указать должен ли NAT роутер обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся.

На этом базовая настройка маршрутизации на Windows Server 2012 R2 завершена. Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).

Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).

Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными.

Примечание. Windows Server 2012 R2 поддерживает статическую маршрутизацию, протокол динамической маршрутизации RIPv2 и BGPv4. Поддержка OSPF была прекращена еще в Windows Server 2008.

В нашем случае на сервере осуществялется статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes, выберите пункт меню New static route и создайте новое статическое правило маршрутизации.

Примечание. Статический маршрут также можно добавить из командной строки с помощью команд Route или netsh.

Время на прочтение
10 мин

Количество просмотров 29K

В нескольких предыдущих постах, посвященных технологии виртуализации сети (Hyper-V Network Virtualization, HNV), я рассказал об архитектуре, настройках, а также новых возможностях HNV в Windows Server 2012 R2. Сегодня речь пойдет о, пожалуй, самой сложной теме – построении HNV-шлюза на базе Windows Server 2012 R2 для предоставления виртуализованным сетевым сегментам доступа во внешний мир. Будет много скриншотов.

В большинстве случаев виртуальным машинам (ВМ), развернутым в виртуализованных сетях, необходимо взаимодействие с внешним миром – для связи с другими объектами ЦОД-а, для выхода в Интернет, для доступа к корпоративной сети компании, которая расположила в ЦОД-е эти самые ВМ и пр. Применительно к технологии HNV внешним миром является все что угодно, находящееся за пределами виртуализованной сети. И прежде чем двигаться дальше, необходимо лишний раз определиться с терминологией, которая за два года существования HNV слегка видоизменилась.

Терминология

Итак, определяющим понятием HNV является сеть заказчика (Customer Network), обладающая уникальным идентификатором Routing Domain ID (RDID). Это и есть та самая виртуализованная сеть. Для Customer Network существует несколько синонимов, в зависимости от того, каким инструментом вы пользуетесь:

• в VMM это VM Network;
• в PowerShell это Routing Domain;
• во многих статьях и блогах это Tenant или Tenant Virtual Network.

Но все эти термины суть Customer Network. Каждая сеть заказчика состоит из одной или более виртуальных подсетей (Virtual Subnet), и у каждой виртуальной подсети есть свой уникальный 24-битный идентификатор VSID. Маршрутизация пакетов между ВМ, принадлежащими одной сети заказчика, осуществляется автоматически, независимо от того, расположены ли эти машины в одной виртуальной подсети или в разных, на одном физическом хосте, или на разных. А вот если нужна связь с внешним миром, то есть необходимо передать пакеты за пределы Customer Network, то должен быть настроен HNV-шлюз (HNV Gateway, HNVGW).

Варианты реализации шлюза

HNV-шлюз может представлять собой либо готовое аппаратное решение, либо хост на базе Windows Server 2012 R2. На текущий момент на рынке доступны три аппаратных решения:

• от nAppliance
• от Iron Networks
• от F5

В этом посте я сосредоточусь на создании HNV-шлюза на базе Windows Server 2012 R2, при этом управление HNV в моей демонстрационной сети, в том числе настройка шлюза, будет осуществляться с помощью System Center 2012 R2 Virtual Machine Manager (VMM). Используя далее сокращение VMM, я предполагаю именно версию R2, если явно не указано иное.

Напомню, что строго говоря, HNV – это технология Windows Server 2012 и выше, и она может быть настроена без VMM, просто с помощью командлетов PowerShell. Привожу ссылки на примеры соответствующих скриптов без использования и с использованием HNV-шлюза. Но в реальных сценариях для управления HNV применяется VMM, который берет на себя роль централизованного хранения и распространения политик HNV.

Архитектура шлюза

Архитектурно HNV-шлюз на базе Windows Server 2012 R2 представляет собою физический хост, на котором запущена одна или несколько ВМ, выполняющих маршрутизацию пакетов из виртуализованных сетей во внешний мир и обратно. Обращаю внимание, это именно

физический

хост. Реализовать HNV-шлюз просто в виде виртуалки не получится уже хотя бы потому, что для инкапсуляции пакетов (см. пост о концепции HNV) необходима роль Hyper-V, а вложенную виртуализацию Hyper-V не поддерживает.

Справедливости ради стоит отметить, что технически шлюз можно построить и на базе Windows Server 2012. Но при этом, во-первых, шлюз с Windows Server 2012 потребует запуска стольких ВМ, сколько у вас Customer Networks, и масштабирование такого решения затруднительно. Во-вторых, для управления таким шлюзом с помощью VMM необходимо будет написать провайдер для VMM. Использование же Windows Server 2012 R2 + System Center 2012 R2 Virtual Machine Manager – это практически готовый HNV-шлюз «из коробки». В Windows Server 2012 R2 реализован мультитенантный шлюз, позволяющий задействовать одну ВМ для маршрутизации трафика различных виртуализованных сетей, а в System Center 2012 R2 Virtual Machine Manager уже встроен провайдер для управления таким шлюзом.

Какие варианты работы HNV-шлюза существуют? Таковых два.

Private Cloud (Routing)

Первый вариант реализует маршрутизацию трафика из Customer Network в сеть ЦОД-а, причем маршрутизация может быть как прямой, так и c трансляцией адресов (NAT).

На рисунке изображена прямая маршрутизация, которая имеет смысл, если пространства CA-адресов разных тенантов (Customer Networks) не пересекаются и им нужен доступ в корпоративную сеть. Или, как на рисунке, есть только один тенант с несколькими подсетями. Для частного облака, когда тенанты, например, представляют собой виртуализованные сети различных департаментов крупного предприятия, вполне возможный вариант.

При использовании NAT каждому тенанту HNV-шлюз ставит в соответствие выделенный IP-адрес на своем внешнем интерфейсе, и все пакеты от виртуальных машин тенанта отправляются во внешний мир с этим выделенным IP в поле «IP-адрес отправителя».

Hybrid Cloud (Site to site VPN)

Второй вариант предполагает построение туннеля типа «сеть-сеть» от HNV-шлюза до необходимой точки, например, через Интернет до корпоративной сети заказчика.

Это как раз типовой хостерский сценарий, когда ВМ заказчика располагаются в ЦОД-е хостера и связываются через VPN с сетью заказчика. Технология HNV при этом позволяет заказчику сохранить настройки IP и не бояться за работоспособность софта внутри ВМ, а хостеру –расположить у себя виртуалки с нужными заказчику IP, изолируя эти виртуалки от других ВМ и не настраивая VLAN-ы.

Завершая архитектурный раздел поста, отмечу кратко в чем же заключается мультитенантность шлюза на базе Windows Server 2012 R2.

Представьте себе, что в ЦОД-е виртуализованы сети двух заказчиков, Contoso и Woodgrove, использующие абсолютно одинаковые CA-пространства: 10.0.0.0/24. Как «развести» пакеты этих заказчиков на HNV-шлюзе? Первое возможное решение – создать на шлюзе для каждого заказчика свою ВМ и указать ее в настройках соответствующей сети заказчика в качестве default gateway. Таким образом, пакеты, направленные во внешний мир из Contoso, всегда будут приходить на сетевой интерфейс одной ВМ шлюза, пакеты из Woodgrove – на интерфейс второй ВМ и т. д. Как упоминалось, шлюз на базе Windows Server 2012 именно такой подход и использовал бы.

В Windows Server 2012 R2 для маршрутизации появилась возможность использовать так называемые ячейки (compartments). В виртуальной машине для каждого тенанта создается некий объект «ячейка» (compartment), в которую включаются виртуальные сетевые интерфейсы, IP-адреса, таблица маршрутизации, ARP-таблица и пр. Элементы одной ячейки изолированы от элементов другой ячейки. Маршрутизация пакетов от Contoso, таким образом, осуществляется в рамках соответствующей ячейки и не пересекается, не влияет на маршрутизацию пакетов Woodgrove в другой ячейке, даже если записи в таблицах маршрутизации этих ячеек выглядят одинаково. Такой подход позволяет использовать одну ВМ для маршрутизации пакетов разных тенантов без каких-либо конфликтов.

Как видно на рис. выше, существует ячейка по умолчанию (default compartment), которая включает в себя сетевые настройки, задаваемые при создании ВМ, и две ячейки для тенантов, появившиеся в процессе настройки HNV-шлюза.

Создание шлюза

Подкрепившись теорией, перейдем непосредственно к созданию шлюза. Для простоты я рассмотрю вариант шлюза без кластеризации, хотя понятно, что в реальном ЦОД-е такой важный элемент виртуализации предполагает работу в режиме высокой доступности. Детальный документ о том, как сделать HNV-шлюз высокодоступным можно найти здесь.
Основные шаги по созданию шлюза включают в себя следующее:

• настройка логических сетей и сетей ВМ;
• настройка хоста для роли шлюза
• подготовка ВМ для шлюза
• добавление шлюза в VMM
• настройка шлюза для конкретных сетей ВМ

Давайте по порядку.

Настройка логических сетей и сетей ВМ

Этот пункт довольно подробно описан в одном из предыдущих постов, поэтому покажу лишь, как логические и виртуальные сети выглядят у меня в лабораторном свечном ЦОД-ике Contoso.

Для нашей задачи нужны три логические сети: внешний сегмент (Contoso_External_LN01), сеть для управления шлюзом (Contoso_Management_LN01) и сеть (Contoso_HNV_LN01), поверх которой собственно создаются виртуализованные сети. IP-пул сети Contoso_HNV_LN01 задает PA-пространство, а в свойствах этой сети обязательно должен быть помечен чекбокс, разрешающий использование технологии HNV.

Сети ВМ (VM Networks, они же сети заказчиков, они же Customer Networks) выглядят так:

Вы видите две сети ВМ для компаний Adatum и Fabrikam, использующие пересекающееся адресное пространство (10.30.1.0/24). В колонке Gateway Connection видно, что пока ни одна из сетей ВМ не использует шлюз.

Настройка хоста для роли шлюза

В общем-то любой хост с Windows Server 2012 R2, которым управляет VMM, можно настроить в качестве HNV-шлюза. По-хорошему, у этого хоста должно быть несколько физических сетевых интерфейсов, смотрящих в нужные сегменты (внешний, сегмент управления, сегмент HNV). Однако из архитектурной части поста следует, что собственно маршрутизацией пакетов в шлюзе занимается ВМ. Поэтому сколько физических сетевушек должно быть в хосте, выполняющем роль шлюза, определяется вопросами производительности, надежности (можно использовать тиминг, например) и, конечно, логикой того, как и куда вы хотите отправлять пакеты. Конкретно в моем стенде хост-шлюз содержит всего один физический сетевой интерфейс, мне этого пока вполне хватает для экспериментов.

Но в любом случае, в свойствах хоста, выбранного на роль шлюза, следует установить вот этот чекбокс

Он предотвратит запуск на шлюзе любых «рядовых» ВМ, предполагающих использование HNV. В реальной ситуации вы вообще вряд ли будете запускать на шлюзе еще что-то, кроме компонент самого шлюза.

Подготовка ВМ для шлюза

Теперь поговорим о той самой ВМ, которая будет осуществлять маршрутизацию пакетов с помощью compartments. Проще всего развернуть ее с помощью сервисного шаблона (service template). В этом случае можно сразу же сказать VMM, чтобы при развертывании ВМ в ней была поднята служба RRAS, чтобы для высокой доступности таких машин было поднято две на кластере и пр. Но, во-первых, мы договорились сделать все руками, чтобы лучше понять, что происходит, во-вторых, сервисные шаблоны не поддерживают ВМ второго поколения, которые разворачиваются, да и работают пошустрее.

Поэтому я создал шаблон ВМ второго поколения на базе VHDX с образом Windows Server 2012 R2. В этом процессе нет ничего необычного, покажу лишь сетевые настройки в шаблоне.

Вы видите три виртуальных сетевых адаптера (vNIC): один подключен ко внешней сети (см. рис.), второй к сети управления, третий можно в шаблоне оставить в состоянии Not Connected, а в процессе или сразу после развертывания ВМ, подключить его через виртуальный коммутатор (Hyper-V Extensible Switch) к сети, в которой используется HNV. Обычно при описании шлюза эту сеть называют Backend.

Разворачиваем теперь ВМ на основе этого шаблона на хост, который мы выбрали и настроили в качестве шлюза в предыдущем пункте. Обратите внимание на имя, которые вы дадите этой ВМ. Оно понадобится впоследствии при конфигурации шлюза.

После того, как ВМ развернута, зайдем в нее, подключим сетевой адаптер к Backend-сети, отключим Firewall и для удобства переименуем сетевые адаптеры так, чтобы имена отражали их предназначение, например

Теперь в ВМ (я назвал ее GatewayVM01) необходимо установить роль Remote Access. Делается это стандартно через Server Manager, Manage -> Add Roles and Features. Нажимаем Next, пока не дойдем до выбора роли, выбираем Remote Access, затем снова Next, пока не дойдем до Role Services, где помечаем две службы

Жмем до упора Next и Install. После завершения установки нажимаем Open the Getting Started Wizard

и в окне открывшегося мастера выбираем Deploy VPN only.

В итоге, откроется хорошо знакомая консоль RRAS, из которой видно, что служба пока не сконфигурирована.

Тем самым мы настроили хост и соответствующую ВМ, и теперь все готово, чтобы добавить эту «заготовку» в качестве HNV-шлюза в консоль VMM для последующей конфигурации.

Добавление шлюза в VMM

В консоли VMM переходим в раздел Fabric, нажимаем Add Resources и выбираем Network Service. На первой странице мастера даем шлюзу осмысленное имя и описание

Затем выбираем Microsoft в качестве производителя и Microsoft Windows Server Gateway в списке моделей

На странице Credentials необходимо выбрать Run As account для доступа к устройству. Эта запись должна иметь административные права на ВМ шлюза. В нашем случае ВМ не включалась в домен, поэтому указываем запись с паролем локального администратора. Если в VMM такой записи нет, ее тут же можно создать.

Самый, пожалуй, интересный параметр – строка подключения (Connection String), в которой с помощью трех параметров VMHost, GatewayVM и BackendSwitch необходимо указать имя хоста и ВМ «заготовки» и имя виртуального коммутатора на хосте, через который ВМ подключается к Backend-сети. Обратите внимание, что в строке подключения нет пробелов, разделителем служит точка с запятой (;).

Кроме трех перечисленных выше существует еще несколько параметров, описание которых можно найти здесь (см. п.16). В частности, DirectRoutingMode=True настроит шлюз на работу в режиме прямой маршрутизации.

При заданной выше строке подключения сертификаты не используются, поэтому на странице Certificates просто нажимаем Next.

На странице Provider нажимаем кнопку Test и убеждаемся, что все тесты проходят без ошибок.

На странице Host Group указываем, какие хостовые группы могут пользоваться данным шлюзом

Проверяем настройки на станице Summary, и если все правильно, жмем Finish.

Проверьте, что соответствующие задачи в разделе Jobs успешно завершены. Остается настроить сетевые интерфейсы только что созданного HNV-шлюза. В разделе Fabric -> Networking -> Network Service консоли VMM щелкните правой кнопкой мыши по шлюзу, выберите Properties и перейдите на закладку Connectivity. Здесь нужно включить Front End Connection и Back End Connection и выбрать правильные сетевые адаптеры ВМ и соответствующие сайты логических подсетей.

Вот теперь VMM знает, какие адаптеры ВМ шлюза для каких целей предназначены, и должным образом сконфигурирует службу RRAS внутри этой ВМ. Когда отработают job-ы, в консоли RRAS ВМ шлюза вы увидите, что служба запущена и работает как мультитенантный шлюз.

Дело за малым, настроить требуемые сети ВМ на использование созданного HNV-шлюза.

Настройка шлюза для конкретных сетей ВМ

В консоли VMM переходим в раздел VMs and Services, щелкаем VM Networks, выбираем нужную сеть ВМ и нажимаем кнопку Properties. Идем на закладку Connectivity и разрешаем использование HNV-шлюза этой сетью. Для сети Fabrikam, например, включаем NAT

VMM автоматически выделит из IP-пула логической сети, ассоциированной с внешним интерфейсом HNV-шлюза, адрес, в который будут транслироваться адреса отправителей всех пакетов из сети Fabrikam. Но вы можете вручную выбрать IP из пула, указав его в поле IP address

Закрыв окно свойств, в нижней части консоли VMM можно увидеть, какой конкретно внешний адрес используется для данной сети ВМ

Аналогично поступаем для сети Adatum и всех других виртуализованных сетей, которым нужен внешний доступ с поддержкой NAT.

Теперь давайте посмотрим, как настраивается подключение ко внешнему миру через VPN, то есть реализуем сценарий Hybrid Cloud (Site to site VPN). При этом я предполагаю, что VPN-устройство в корпоративной сети уже настроено, использует протокол IKEv2 и аутентификацию на основе Preshared Key, что типично для туннелей «сеть-сеть», и его внешний IP нам известен.

В свойствах той же сети ВМ Fabrikam на уже знакомой закладке Connectivity помечаем самый верхний чекбокс

При этом в окне свойств сети ВМ появляется новая закладка VPN Connections, где нужно кнопкой Add добавить VPN-подключение, указать его имя и IP-адрес VPN-устройства, до которого строится туннель

В разделе Authentication указываем подготовленную запись Run As account с прописанным Preshared Key,

и в разделе Routes прописываем нужные маршруты, например

Как вы могли обратить внимание, для динамического обновления маршрутов реализована поддержка BGP.

Можно посмотреть на расширенные настройки в Advanced, скажем поменять VPN-протокол или параметры шифрования, но если ничего этого не требуется, то жмем ОК. В нижней части консоли VMM для настроенной сети ВМ теперь будет отображаться что-то вроде

Как только из любой ВМ, запущенной в виртуализованной сети Fabrikam, попробуем сделать ping на адрес из подсети, указанной с настройках VPN-туннеля, например, 10.30.50.101, HNV-шлюз поднимет туннель и установит связь с заданным VPN-устройством, а через него с корпоративной сетью

Дело сделано!

Если информации из этого поста оказалось недостаточно, можете воспользоваться подробным пошаговым руководством для создания лабораторного стенда.

Остается открытым один вопрос, как собственно происходит маршрутизация пакетов при использовании HNV-шлюза, как это выглядит внутри шлюза? Но это уже уровень сложности 400 для особо искушенных. Хотя, если таковые найдутся, готов написать.

Надеюсь, материал был полезен.

Спасибо!

Введение

Windows 7 предоставляет возможность использовать ваш компьютер в качестве шлюза интернет-соединения. Это позволяет обеспечить доступ к Интернету для других устройств в вашей сети, используя ваш компьютер в качестве маршрутизатора. Настройка шлюза интернет-соединения в Windows 7 достаточно проста и осуществляется через несколько шагов.

Шаг 1: Проверка наличия необходимого оборудования

Перед тем, как настраивать ваш компьютер в качестве шлюза интернет-соединения, убедитесь, что у вас имеются необходимые устройства. Вам потребуется иметь следующее:

• Компьютер с операционной системой Windows 7
• Беспроводной адаптер, если вы хотите предоставить доступ к Интернету через Wi-Fi
• Кабель Ethernet, если вы хотите предоставить доступ к Интернету через проводное подключение

Шаг 2: Настройка параметров сетевых подключений

Чтобы использовать ваш компьютер в качестве шлюза интернет-соединения, необходимо настроить параметры сетевых подключений. Следуйте этим шагам:

1. Откройте панель управления Windows 7 и выберите раздел «Сеть и интернет».
2. Нажмите на «Центр управления сетями и общим доступом».
3. В левом меню выберите «Изменение параметров сети».
4. Правой кнопкой мыши щелкните на активное интернет-подключение (например, Ethernet или беспроводное подключение) и выберите «Свойства».
5. В открывшемся окне выберите вкладку «Общий доступ».
6. Активируйте опцию «Разрешить другим сетевым пользователям подключаться к Интернету через этот компьютер». Если у вас есть беспроводной адаптер, выберите его из раскрывающегося списка для «Домашняя сеть».

Шаг 3: Настройка параметров вашей домашней сети

Теперь необходимо настроить параметры вашей домашней сети, чтобы другие устройства могли получить доступ к Интернету через ваш компьютер. Сделайте следующее:

1. Вернитесь в «Центр управления сетями и общим доступом».
2. В левом меню выберите «Настроить новое подключение или сеть».
3. Выберите тип сети «Настроить подключение к Интернету».
4. В следующем окне выберите опцию «Беспроводная сеть (с устройством на основе проводного адаптера)» или «Проводное подключение (смоделированное, пропускающее через маршрутизатор)».
5. Следуйте инструкциям мастера настройки сети, чтобы установить параметры вашей домашней сети.

Шаг 4: Подключение других устройств к вашей домашней сети

После настройки компьютера в качестве шлюза интернет-соединения, вы можете подключать другие устройства к вашей домашней сети для доступа к Интернету. Вот как это сделать:

• Wi-Fi: Если вы настроили беспроводное подключение, включите Wi-Fi на своем устройстве и найдите вашу домашнюю сеть в списке доступных сетей. Подключитесь к сети, введя пароль, если это требуется.
• Проводное подключение: Если вы настроили проводное подключение, подключите кабель Ethernet от устройства к вашему компьютеру или маршрутизатору.

Заключение

Настройка Windows 7 в качестве шлюза интернет-соединения и обеспечение доступа к сети для других устройств является простым процессом, который позволяет использовать ваш компьютер в качестве маршрутизатора. Следуя указанным выше шагам, вы сможете настроить ваш компьютер для предоставления доступа к Интернету через Wi-Fi или проводное подключение.