vortal internetowy
artykuły
Powrót do listy artykułów
Temat artykułu: NAT w Windows 9x/Me
Tekst napisał pitt2k dnia 08-01-2004
Wiele osób posiada własną sieć lokalną, czy to w domu, czy w biurze i nagle, gdy nadszedł ten upragniony moment przyłączenia się do globalnych zasobów sieci, ich oczom ukazał się problem - jak sprawić, by wszystkie komputery zrzeszone dotąd w sieci lokalnej miały pełen, pełnoprawny dostęp do jej zasobów przez jedno wyjście na świat, czy to przez właśnie zakupiony trakt do osiedla, czy łącze SDI, czy też wspólny modem non-stop łączący jeden komputer z sieci wewnętrznej ze światem zewnętrznym.
Kiedy mamy do dyspozycji serwer z systemem Linuks lub Unix, problem ten nie jest zazwyczaj aż tak wielki, inaczej jednak przedstawia się sprawa, gdy dysponujemy jedynie wiedzą i zasobami wiążącymi nas z rodziną produktów firmy Microsoft, czy to będzie stary, poczciwy, wciąż niezawodny Windows 95 osr2, czy też Windows 98 a nawet Windows NT/2000.
Niniejsza instrukcja przedstawia w dość ogólny sposób jedno z rozwiązań tego problemu - pokazuje, jak prosto i szybko, postawić serwer połączony przez SDI do Internetu, udostępniając jednocześnie pełne korzystanie z jego możliwości przez komputery połączone z nim w sieci lokalnej.
Krok I - Założenia przykładu
Aby użytkownicy mogli w pełni wykorzystywać usługi, jakie posiada w swym dostępie serwer, na serwerze należy zainstalować odpowiednią aplikację udostępniającą te usługi komputerom z sieci wewnętrznej, a następnie skonfigurować klientów sieci tak, by mogli z tych usług w pełni korzystać.
Krok III - Konfiguracja serwera
Jest to najdłuższy i najtrudniejszy etap owego przykładu. Warto na wstępie zaznaczyć, że ów przykład jest tylko jednym z wielu możliwych scenariuszy, które można by napisać. Ten opiera się o instalację na serwerze programu WINROUTE 4.0, który to umożliwia dzielenie się swoim dostępem do Internetu z komputerami znajdującymi się z nim w jednej sieci lokalnej (LAN - Local Area Network).
a) Konfiguracja LAN i WAN serwera
jak również przypisany adres serwera DNS, do którego zwraca się w pierwszej kolejności szukania żądanego przez nas adresu.
Uwaga !!! Adres najbliższego serwera DNS, z którym jesteśmy związani możemy sprawdzić za pomocą komendy winipcfg wpisując ją w pole START/URUCHOM, otrzymując niniejsze informacje:
Dla połączenia z Internetem (PPP Adapter), oraz...
Dla karty sieciowej.
dla którego adres IP jest przypisany przez operatora usługi dostępowej...
(niewypełnione pola pomijać)
a bramką wyjściową jest właśnie numer IP przydzielany nam przez operatora usługi i ...
ma również przypisany numer IP serwera DNS.
Kiedy mamy już tak przygotowany serwer, możemy spokojnie oddać się konfiguracji oprogramowania, które uczyni owe ustawienia użytecznymi dla naszych potrzeb.
b) Konfiguracja programu WINROUTE 4.0
Jak zapewne zauważyliście, pominąłem zupełnie proces instalacji, a to dlatego, gdyż nie wydaje mi się on zbytnio skomplikowany, a wszelkie ważne rzeczy mają dopiero miejsce podczas konfiguracji jego ustawień.
Zacznijmy więc od głównego ekranu...
Wiem, wygląda groźnie, ale nie o strach tu chodzi a o działanie tego, co zaplanowaliśmy.
Pierwszą rzeczą, jaką należało by zrobić, to powiązanie urządzeń komunikacyjnych (karta sieciowa i modem) by przekazywały między sobą zgłoszenia z obu sieci: wewnętrznej do zewnętrznej i na odwrót.
Należy zatem wyznaczyć urządzenia, które będą pośredniczyły między siecią wewnętrzną (LAN) a zewnętrzną (WAN):
Gdzie, karta sieciowa serwera to:
A modem (w tym przypadku terminal SDI) to:
Gdzie uzupełniamy poniższe okna tak, by program sam nawiązywał połączenie z Internetem poprzez skonfigurowane wcześniej połączenie Dial-Up Networking:
Wykorzystując usługę RAS (Remote Access Service)
Gdy program już wie, jakich urządzeń komunikacyjnych będzie używał, wystarczy już tylko mu podać jeszcze w jaki sposób.
Warto podać zatem składniki sieci wewnętrznej w celu poprawnej autoryzacji komputerów. W tym celu określamy grupę roboczą, w jakiej pracują nasze komputery, oraz ich adresy IP. Da nam to w przyszłości możliwość sprecyzowania, czy chcemy, aby wszyscy użytkownicy domeny/grupy roboczej mogli korzystać z dostępu do Internetu, czy też chcemy wydzielić poszczególne adresy IP mogące wysyłać swoje zgłoszenia na zewnątrz sieci LAN:
Dodając poszczególne numery IP do wcześniej stworzonej Grupy Roboczej precyzujemy, które z nich będą miały dostęp a które nie:
Następnie należy ustalić, które zgłoszenia mają być przekazywane i z jakim adresem zgłoszenia. Pamiętajmy, że chodzi o to, aby komputery zza serwera reprezentowały się adresem IP, jaki posiada sam serwer. Do tego służy opcja NAT:
Jak już wspomniałem wcześniej przekazywanie zgłoszeń możemy sprecyzować na kilka sposobów:
1. ANY HOST --> ANY HOST
Ten rodzaj przekazywania działa w ten sposób, że jakikolwiek komputer z sieci LAN wyśle zgłoszenie do jakiegokolwiek adresu IP z WAN, zostanie on przedstawiony z numerem IP operatora usługi dostępowej, jaki posiada nasz serwer -> bramka sieci.
2. IP/Maska sieci --> ANY HOST
Ten sposób konfiguracji pozwala określić, które komputery o jakich adresach IP będą mogły reprezentować się sieci zewnętrznej adresem IP serwera korzystając z zasobów Internetu.
3. NETWORK GROUP --> ANY HOST
W tym przypadku możemy określić całą grupę roboczą, z której zakresu komputery będą miały reprezentacje numeru IP serwera i dostęp do sieci WAN.
Jeżeli chodzi o przekazywanie zgłoszeń zostaje już tylko formalność. Należy już tylko określić, które urządzenia na serwerze mają przekazywać zgłoszenia między sobą tak, aby pośredniczyć między siecią wewnętrzna a zewnętrzną. Służy do tego opcja PACKET FILTER:
Rys 1.
Rys 2.
Rys 3.
Właściwą część konfiguracyjną mamy już za sobą.
Konfiguracja bardziej zaawansowanych usług:
Oczywiście zapewne chcielibyśmy aby komputery z sieci miały dostępne oprócz mirca i ftp takie usługi jak www i mail poprzez Internet Explorer i Outlook Express a może nawet co niektórzy pokusili by się o postawienie własnego serwera FTP. Aby stało się to możliwe należy dla www i mail uruchomić opcję Proxy Server przydzielając port (np. 3128), który następnie będzie wpisany w odpowiednie programy użytkowników jako port wyjściowy na świat. Jeżeli chcemy natomiast postawić swój własny serwer FTP, musimy ponadto zmapować kolejny port (np. 21), który będzie bramką wejściową dla użytkowników z zewnątrz.
Rys 1. - Port Serwera Proxy... pamiętajmy, że w odpowiedniej przeglądarce będziemy musieli podać jego lokalizację w sieci - w tym przypadku będzie to: 128.0.0.3 port 3128
Rys 2.
Rys 3.
Rys 4.
Rys 5. - mapowanie portów na serwerze.
Port 21 udostępnia usługę FTP dla komputerów z zewnątrz i dlatego ma adres łącza dostępowego, gdyż musi być widoczny z zewnątrz sieci.
Port 3129 jest wyjściem komputerów z wnętrza sieci na zewnątrz sieci i dlatego ma przypisany adres sieciowy IP LAN serwera.
Rys 6. - konfiguracja portu - przypisanie do IP
Rys 7. - jw.
I to by było na tyle z opcji konfiguracyjnych na serwerze. Czas teraz na ustawienia komputerów znajdujących się wewnątrz sieci. Mimo iż wcześniej podawałem przykład z dwoma komputerami, w opisie ograniczę się do jednego. Drugi należy skonfigurować analogicznie, zmieniając tylko adres IP hosta, na którym pracujemy.
Konfiguracja komputera uzytkownik1
Rys 1. - Komputer ma przypisane IP, które jest wyszczególnione w programie Winroute, jako dopuszczone do dostępu do Internetu .
Rys 2 i 3. - Domyślną bramką dla tego komputera jest IP serwera (128.0.0.3), gdyż to on właśnie ma bezpośrednie połączenie ze światem. Ponadto ma on wpisany adres serwera DNS, który wcześniej sprawdzaliśmy za pomocą programu Winipcfg. Nie zapomnijmy też umieścić nazwy swojego komputera w polu HOST oraz jego przynależności do grupy roboczej - w tym przypadku OBJ31.
Przystosowanie programów Internet Explorer i Outlook Express do korzystania z bramki ustawionej na serwerze odbywa się poprzez wpisanie w odpowiednie pole dotyczące lokalizacji Proxy Server adresu IP i portu serwera udostępniającego nam wyjście na świat:
Oczywiście jest to adres IP naszego serwera.
Teraz powinno już wszystko śmigać, powodzenia.
Temat artykułu: NAT w Windows 9x/Me
Tekst napisał pitt2k dnia 08-01-2004
Wiele osób posiada własną sieć lokalną, czy to w domu, czy w biurze i nagle, gdy nadszedł ten upragniony moment przyłączenia się do globalnych zasobów sieci, ich oczom ukazał się problem - jak sprawić, by wszystkie komputery zrzeszone dotąd w sieci lokalnej miały pełen, pełnoprawny dostęp do jej zasobów przez jedno wyjście na świat, czy to przez właśnie zakupiony trakt do osiedla, czy łącze SDI, czy też wspólny modem non-stop łączący jeden komputer z sieci wewnętrznej ze światem zewnętrznym.
Kiedy mamy do dyspozycji serwer z systemem Linuks lub Unix, problem ten nie jest zazwyczaj aż tak wielki, inaczej jednak przedstawia się sprawa, gdy dysponujemy jedynie wiedzą i zasobami wiążącymi nas z rodziną produktów firmy Microsoft, czy to będzie stary, poczciwy, wciąż niezawodny Windows 95 osr2, czy też Windows 98 a nawet Windows NT/2000.
Niniejsza instrukcja przedstawia w dość ogólny sposób jedno z rozwiązań tego problemu - pokazuje, jak prosto i szybko, postawić serwer połączony przez SDI do Internetu, udostępniając jednocześnie pełne korzystanie z jego możliwości przez komputery połączone z nim w sieci lokalnej.
Krok I - Założenia przykładu
- sieć wewnętrzna już istnieje i prawidłowo funkcjonuje
za pomocą przypisanych do jej komputerów adresów IP i usług Microsoft
Networks.
- w tej sieci lokalnej istnieje komputer wyposażony w
modem lub łącze stałe, za pomocą których komunikuje się ze
światem.
- przykład przedstawia organizację sieci lokalnej o
przykładowych adresach IP komputerów:
128.0.0.1 - stacja robocza (użytkownik 1)
128.0.0.2 - stacja robocza (użytkownik 2)
128.0.0.3 - serwer z zainstalowanym systemem operacyjnym z rodziny Microsoft, np.: Windows 95 osr2 oraz stałym dostępem do Internetu poprzez łącze SDI (może być oczywiście każde inne) poprzez numer IP 213.76.225.143 (przykładowy, inny dla każdego połączenia, lecz stały dla tego typu łącza, przydzielany przez operatora u którego wykupiliśmy usługę stałego dostępu).
Aby użytkownicy mogli w pełni wykorzystywać usługi, jakie posiada w swym dostępie serwer, na serwerze należy zainstalować odpowiednią aplikację udostępniającą te usługi komputerom z sieci wewnętrznej, a następnie skonfigurować klientów sieci tak, by mogli z tych usług w pełni korzystać.
Krok III - Konfiguracja serwera
Jest to najdłuższy i najtrudniejszy etap owego przykładu. Warto na wstępie zaznaczyć, że ów przykład jest tylko jednym z wielu możliwych scenariuszy, które można by napisać. Ten opiera się o instalację na serwerze programu WINROUTE 4.0, który to umożliwia dzielenie się swoim dostępem do Internetu z komputerami znajdującymi się z nim w jednej sieci lokalnej (LAN - Local Area Network).
a) Konfiguracja LAN i WAN serwera
- serwer posiada stały adres IP w sieci lokalnej 128.0.0.3 oraz wszystkie wymagane usługi by w tej sieci pracować:
- własną nazwę (SDI), grupę roboczą wspólną dla całej sieci (np. OBJ31) i jakikolwiek opis, dzięki któremu będziemy go rozpoznawać w sieci,
- każdy komputer posiada własną metodę autoryzacji w sieci, jako, że jest to sieć peer-to-peer hasła przechowywane są lokalnie, a nie na kontrolerze domeny,
- serwer posiada również dostęp do Internetu za pomocą łącza modemowego lub innego, jak SDI o adresie IP przydzielanym przez TPSA - np. 213.76.225.143
jak również przypisany adres serwera DNS, do którego zwraca się w pierwszej kolejności szukania żądanego przez nas adresu.
Uwaga !!! Adres najbliższego serwera DNS, z którym jesteśmy związani możemy sprawdzić za pomocą komendy winipcfg wpisując ją w pole START/URUCHOM, otrzymując niniejsze informacje:
Dla połączenia z Internetem (PPP Adapter), oraz...
Dla karty sieciowej.
- oraz połączenie Dial-up Networking, za pomocą którego łączy się z siecią zewnętrzną:
dla którego adres IP jest przypisany przez operatora usługi dostępowej...
(niewypełnione pola pomijać)
a bramką wyjściową jest właśnie numer IP przydzielany nam przez operatora usługi i ...
ma również przypisany numer IP serwera DNS.
- pamiętajmy też o tym, że wciąż pracujemy na tych samych usługach zarówno dla połączeń realizowanych przez kartę sieciową serwera jak również dla tych łączących serwer ze światem (dial-up networking) PPP Adapter, SDI.
Kiedy mamy już tak przygotowany serwer, możemy spokojnie oddać się konfiguracji oprogramowania, które uczyni owe ustawienia użytecznymi dla naszych potrzeb.
b) Konfiguracja programu WINROUTE 4.0
Jak zapewne zauważyliście, pominąłem zupełnie proces instalacji, a to dlatego, gdyż nie wydaje mi się on zbytnio skomplikowany, a wszelkie ważne rzeczy mają dopiero miejsce podczas konfiguracji jego ustawień.
Zacznijmy więc od głównego ekranu...
Wiem, wygląda groźnie, ale nie o strach tu chodzi a o działanie tego, co zaplanowaliśmy.
Pierwszą rzeczą, jaką należało by zrobić, to powiązanie urządzeń komunikacyjnych (karta sieciowa i modem) by przekazywały między sobą zgłoszenia z obu sieci: wewnętrznej do zewnętrznej i na odwrót.
Należy zatem wyznaczyć urządzenia, które będą pośredniczyły między siecią wewnętrzną (LAN) a zewnętrzną (WAN):
Gdzie, karta sieciowa serwera to:
A modem (w tym przypadku terminal SDI) to:
Gdzie uzupełniamy poniższe okna tak, by program sam nawiązywał połączenie z Internetem poprzez skonfigurowane wcześniej połączenie Dial-Up Networking:
Wykorzystując usługę RAS (Remote Access Service)
Gdy program już wie, jakich urządzeń komunikacyjnych będzie używał, wystarczy już tylko mu podać jeszcze w jaki sposób.
Warto podać zatem składniki sieci wewnętrznej w celu poprawnej autoryzacji komputerów. W tym celu określamy grupę roboczą, w jakiej pracują nasze komputery, oraz ich adresy IP. Da nam to w przyszłości możliwość sprecyzowania, czy chcemy, aby wszyscy użytkownicy domeny/grupy roboczej mogli korzystać z dostępu do Internetu, czy też chcemy wydzielić poszczególne adresy IP mogące wysyłać swoje zgłoszenia na zewnątrz sieci LAN:
Dodając poszczególne numery IP do wcześniej stworzonej Grupy Roboczej precyzujemy, które z nich będą miały dostęp a które nie:
Następnie należy ustalić, które zgłoszenia mają być przekazywane i z jakim adresem zgłoszenia. Pamiętajmy, że chodzi o to, aby komputery zza serwera reprezentowały się adresem IP, jaki posiada sam serwer. Do tego służy opcja NAT:
Jak już wspomniałem wcześniej przekazywanie zgłoszeń możemy sprecyzować na kilka sposobów:
1. ANY HOST --> ANY HOST
Ten rodzaj przekazywania działa w ten sposób, że jakikolwiek komputer z sieci LAN wyśle zgłoszenie do jakiegokolwiek adresu IP z WAN, zostanie on przedstawiony z numerem IP operatora usługi dostępowej, jaki posiada nasz serwer -> bramka sieci.
2. IP/Maska sieci --> ANY HOST
Ten sposób konfiguracji pozwala określić, które komputery o jakich adresach IP będą mogły reprezentować się sieci zewnętrznej adresem IP serwera korzystając z zasobów Internetu.
3. NETWORK GROUP --> ANY HOST
W tym przypadku możemy określić całą grupę roboczą, z której zakresu komputery będą miały reprezentacje numeru IP serwera i dostęp do sieci WAN.
Jeżeli chodzi o przekazywanie zgłoszeń zostaje już tylko formalność. Należy już tylko określić, które urządzenia na serwerze mają przekazywać zgłoszenia między sobą tak, aby pośredniczyć między siecią wewnętrzna a zewnętrzną. Służy do tego opcja PACKET FILTER:
Rys 1.
Rys 2.
Rys 3.
Właściwą część konfiguracyjną mamy już za sobą.
Konfiguracja bardziej zaawansowanych usług:
Oczywiście zapewne chcielibyśmy aby komputery z sieci miały dostępne oprócz mirca i ftp takie usługi jak www i mail poprzez Internet Explorer i Outlook Express a może nawet co niektórzy pokusili by się o postawienie własnego serwera FTP. Aby stało się to możliwe należy dla www i mail uruchomić opcję Proxy Server przydzielając port (np. 3128), który następnie będzie wpisany w odpowiednie programy użytkowników jako port wyjściowy na świat. Jeżeli chcemy natomiast postawić swój własny serwer FTP, musimy ponadto zmapować kolejny port (np. 21), który będzie bramką wejściową dla użytkowników z zewnątrz.
Rys 1. - Port Serwera Proxy... pamiętajmy, że w odpowiedniej przeglądarce będziemy musieli podać jego lokalizację w sieci - w tym przypadku będzie to: 128.0.0.3 port 3128
Rys 2.
Rys 3.
Rys 4.
Rys 5. - mapowanie portów na serwerze.
Port 21 udostępnia usługę FTP dla komputerów z zewnątrz i dlatego ma adres łącza dostępowego, gdyż musi być widoczny z zewnątrz sieci.
Port 3129 jest wyjściem komputerów z wnętrza sieci na zewnątrz sieci i dlatego ma przypisany adres sieciowy IP LAN serwera.
Rys 6. - konfiguracja portu - przypisanie do IP
Rys 7. - jw.
I to by było na tyle z opcji konfiguracyjnych na serwerze. Czas teraz na ustawienia komputerów znajdujących się wewnątrz sieci. Mimo iż wcześniej podawałem przykład z dwoma komputerami, w opisie ograniczę się do jednego. Drugi należy skonfigurować analogicznie, zmieniając tylko adres IP hosta, na którym pracujemy.
Konfiguracja komputera uzytkownik1
Rys 1. - Komputer ma przypisane IP, które jest wyszczególnione w programie Winroute, jako dopuszczone do dostępu do Internetu .
Rys 2 i 3. - Domyślną bramką dla tego komputera jest IP serwera (128.0.0.3), gdyż to on właśnie ma bezpośrednie połączenie ze światem. Ponadto ma on wpisany adres serwera DNS, który wcześniej sprawdzaliśmy za pomocą programu Winipcfg. Nie zapomnijmy też umieścić nazwy swojego komputera w polu HOST oraz jego przynależności do grupy roboczej - w tym przypadku OBJ31.
Przystosowanie programów Internet Explorer i Outlook Express do korzystania z bramki ustawionej na serwerze odbywa się poprzez wpisanie w odpowiednie pole dotyczące lokalizacji Proxy Server adresu IP i portu serwera udostępniającego nam wyjście na świat:
Oczywiście jest to adres IP naszego serwera.
Teraz powinno już wszystko śmigać, powodzenia.