RRAS на сервере с одним сетевым интерфейсом

Вопрос или проблема

У меня есть две сетевые зоны: “частная” и “публичная”. Публичные машины могут получать доступ к инфраструктурным услугам, таким как SMTP, Samba, HTTPS и т.д. Частные машины могут получать доступ только к публичным машинам.

Я хочу назначить одну публичную машину, чтобы она выполняла роль “шлюза” для “переадресации портов” для всех частных машин, чтобы получить доступ к этим внешним инфраструктурным услугам.

Как человек, работающий с UNIX, я настроил это за 10 минут на Linux с помощью iptables. Теперь мне нужно сделать это в Windows. Я попробовал следующее:

Cygwin netcat – работает отлично, что доказывает, что Защитник пропускает трафик, и флаги TCP в порядке. Но это был всего лишь тест, нам нужно решение, работающее в Windows, с постоянными правилами.

netsh – работает, как и ожидалось, в моей домашней лаборатории (win2016 сервер в качестве шлюза), но не работает на реальном сервере Win2022, предположительно, мне нужно отключить TCP v6, настроить v4tov4… В любом случае, это был всего лишь тест.

HyperV New-NetNat и Add-NetNatStaticMapping – не смог разобраться, как использовать их в моем случае. HyperV кажется избыточным, в любом случае, так как все машины являются ВМ ESX.

RRAS – снова, после прочтения 50 инструкций о том, как использовать его для других случаев (таких как удаленный доступ к внутренней инфраструктуре), я сомневаюсь, что это подходящий инструмент для меня. Тем не менее, я установил его. Добавил NAT… только для одного сетевого адаптера, так как у меня есть только один… Что дальше? Где я указываю порт, скажем, 25, и IP внешнего SMTP сервера?

Есть ли другой способ?

Ответ или решение

Настройка маршрутизатора RRAS на сервере с одной сетевой картой для порт-проброса

Ваша задача по организации доступа частных машин к внешним инфраструктурным службам через один публичный сервер с использованием RRAS (Routing and Remote Access Service) в Windows Server 2022 является довольно распространенной, и, несмотря на вашу удачную настройку на Linux, процесс может выглядеть непросто на Windows. Данная инструкция поможет вам пошагово настроить RRAS для вашего сценария.

1. Установка RRAS

Для начала, убедитесь, что служба RRAS установлена на вашем Windows Server 2022. Это можно сделать через панель управления:

  • Перейдите в "Server Manager".
  • Выберите "Add Roles and Features".
  • В мастере установки выберите "Remote Access" и продолжите процесс установки.

2. Настройка RRAS

После установки:

  1. Откройте "Routing and Remote Access" в консоли управления.
  2. Щелкните правой кнопкой мыши на вашем сервере в дереве консоли и выберите "Configure and Enable Routing and Remote Access".

3. Выбор типа маршрутизации

  • В мастере настройки выберите "Network Address Translation (NAT)".
  • Поскольку у вас одна сетевая карта, выберите "Only one network interface".

4. Настройка NAT

Теперь необходимо настроить NAT.

  1. Перейдите в "IP Routing" -> "NAT" в дереве консоли.
  2. Щелкните правой кнопкой мыши на "NAT" и выберите "New Interface".
  3. В появившемся окне выберите вашу сетевую карту, которая подключена к приватной сети и назначьте ее как "Private Interface".
  4. Следующий шаг – назначение вашей публичной карты. Обычно это делается автоматически, но убедитесь, что ваша внешняя сетевая карта (или ее IP-адрес) настроены правильно как "Public Interface".

5. Настройка проброса портов

На данном этапе необходимо настроить порт-проброс, чтобы частные машины могли получать доступ к внешним службам.

  1. Щелкните правой кнопкой мыши на интерфейсе NAT, который вы только что создали, и выберите "Add Static Mapping".
  2. Введите следующую информацию:
    • Internal IP Address: это IP-адрес внутреннего сервера, который вы хотите сделать доступным.
    • Internal Port: это порт, на который будет перенаправлен трафик (например, 25 для SMTP).
    • External Port: это внешний порт, который будет использоваться для доступа к службе (также 25 для SMTP).
    • Protocol: выберите TCP или UDP, в зависимости от службы, к которой вы подключаетесь.

6. Проверка правил брандмауэра Windows

Важно проверить, что брандмауэр Windows не блокирует ваш трафик. Для этого:

  1. Откройте настройки брандмауэра Windows и убедитесь, что добавлены правила для разрешения входящих соединений на порты, которые вы настроили в NAT.
  2. Также стоит проверить, что нет конфликтных правил, которые могут блокировать доступ.

7. Тестирование настройки

Теперь, когда вы настроили RRAS и NAT, протестируйте доступ из своей приватной сети к назначенному публичному порту. Используйте утилиты, такие как telnet или PowerShell для проверки соединения.

Test-NetConnection -ComputerName <ваш_публичный_IP> -Port 25

8. Альтернативные решения

Если вы столкнулись с проблемами или вам не требуется такая сложная конфигурация, рассмотрите использование PowerShell команд для настройки NAT:

  • Используйте команду New-NetNat для создания NAT.
  • Настройте проброс через Add-NetNatStaticMapping.

Заключение

Использование RRAS на одном NIC для реализации порт-проброса – это достаточно простой процесс, если следовать всем вышеуказанным шагам. Также, если вы продолжаете сталкиваться с проблемами, возможно, стоит рассмотреть другие инструменты или методы, такие как использование сторонних программ, например, pfSense или других решений для сетевой маршрутизации.

Удачи в реализации вашей настройки! Если у вас возникнут дополнительные вопросы или потребуется помощь – не стесняйтесь обращаться.

Оцените материал
Добавить комментарий

Капча загружается...