Windows - Internet kapcsolatmegosztás hálózati címfordítással (NAT) Windows 2000 Server-en

NAT 1. rész

A Windows munkaállomásai (Windows 2000 Professional, Windows XP Professional) képesek egyetlen Internet kapcsolatot megosztani a hálózat többi gépe számára - nagyon egyszerűen, egyetlen jelölőnégyzet bekapcsolásával. A Windows 2000 Server ennél lényegesen magasabb szinten, jobban konfigurálhatóan képes útválasztó protokollokkal ugyanezt megvalósítani. Szabályozható a kitárcsázási időpont, a jogosultságok, a célhálózat elérése, stb. Van viszont néhány buktató a beállítások során, amire oda kell figyelni. Kétrészes cikksorozatunkban a szolgáltatás megvalósítását lépésről-lépésre mutatjuk be, kitérve több hálózati környezetben történő megvalósításra is.
Az alábbi műveletek elvégzéséhez rendszergazdai jogosultságra van szükség. A Felügyeleti eszközök > Útválasztás és távelérés (Administrative Tools > Routing and Remote Access) MMC konzolját fogjuk használni, ami alapértelmezésben a Windows 2000 Server feltelepítésekor a merevlemezre kerül. Működése független attól, hogy a hálózatban működik-e Active Directory címtár.
Alapelvek
Egy Internet kapcsolat megosztásnál a fő probléma az IP címek érvényességében rejlik. Ha el akarunk helyezni egy szervert az Interneten, akkor először igényelnünk kell egy érvényes IP címet és hozzá tartozó domain nevet valamelyik ezzel foglalkozó szervezettől vagy szolgáltatótól. A kapott címet regisztrálni kell az Internet szolgáltatók DNS szerverében, hogy mások is megtaláljanak minket.
Egy belső hálózat esetében teljesen más a helyzet, ott szabadon gazdálkodhatunk a címekkel. A gépeknek tetszés szerint oszthatjuk ki őket, természetesen magának a címzési rendszernek a korlátjain belül. Ha egy ilyen géppel megyünk ki az Internetre a saját címével, akkor gyakorlatilag nem tudunk semmit csinálni, mert a többi gép nem "lát" minket.
A hálózati címfordításért (NAT - Network Address Translation) felelős protokoll feladata a két teljesen ellentétes elven működő hálózat összekapcsolása. A belső hálózatról - ahol az Interneten érvénytelen címek találhatók - elindul egy kérés kifelé a címfordító gépen keresztül. A NAT megjegyzi a kérő címét, de az Internet felé már a saját érvényes címével továbbítja a kérést. Miután visszaérkezik a választ (pl.: egy weboldal), kikeresi saját útválasztó táblázatából, hogy melyik belső géphez tartozik és továbbítja számára. Ebből következik, hogy a NAT-ot futtató gépnek szüksége van egy az Interneten érvényes IP címre. Ez nem jelenti, hogy domain nevet kell regisztrálnunk, elég egy kapcsolt vonali hozzáférés, ahol modemes betárcsázás után a szolgáltató dinamikusan osztja ki számunkra. Tehát a módszer lehetővé teszi tetszőleges számú gép Internet elérésének megvalósítását egyetlen bejegyzett IP címen keresztül. Tekintve, hogy az IP regisztráció pénzbe kerül, így minimálisra csökkenthetők a költségek. További előny, hogy egy helyen, központosítva szabályozható a teljes hálózat Internetes forgalma.
Az alábbiakban a legtipikusabb szerver szituációt nézzük meg: az Internetre modemmel, a belső hálózatra hálózati kártyával kapcsolódik a kiszolgáló.
Kiszolgáló oldali beállítás varázsló segítségével
Mielőtt nekilátnánk szükségünk lesz egy telepített, működő modemre. Külső eszköz esetén a rendszer elindítása előtt kapcsoljuk be.
Indítsuk el a Felügyeleti eszközök > Útválasztás és távelérés (Administrative Tools > Routing and Remote Access) konzolt. A farendszerben kattintsunk a helyi gépre az egér jobboldali gombjával. A megjelenő menüben pedig lépjünk a "Útválasztás és távelérés konfigurálása és engedélyezése" ("Configure and Enable Routing and Remote Access") pontra. Ha már egyszer valamilyen módon lett a szolgáltatás konfigurálva, akkor az "Útválasztás és távelérés letiltása" ("Disable Routing and Remote Access") menüvel le kell tiltanunk, de ekkor a korábbi beállítások elvesznek. A konfigurálás engedélyezése után egy varázsló indul el, nézzük sorban, hogy milyen oldalakkal találkozunk:
Az első bemutatkozó oldalról lépjünk tovább a következőre.
A második oldalon több előre elkészített konfiguráció közül lehet választani, nekünk az elsőre lesz szükségünk. Aktivizáljuk az "Internet-kapcsolat kiszolgálója" ("Internet connection server") rádiógombot.
Ezután két kapcsolat megosztási mód közül lehet választani. Az első jelenti a bevezetőben említett egyetlen jelölőnégyzet bekapcsolását az Internet kapcsolat beállításai között, amit szintén lehetővé teszi a megosztást, de csak korlátozott lehetőségekkel. Feladatunk megvalósításához a NAT útválasztás, azaz a második rádiógomb kell.
A következő oldalon egy listában felsorolásra kerülnek a varázsló által kiválasztott hálózati kapcsolatok. Itt azt kell kijelölni, amelyik az Internetes csatlakozást hozza létre az útválasztáshoz. Mivel ilyen még nincs, létre kell hoznunk egy újat. Aktivizáljuk az "Új igény szerint tárcsázó Internet-kapcsolat létrehozása" ("Create a new demand-dial Internet connection") rádiógombot. Mit jelent az igény szerinti tárcsázás? Ha valamelyik kliens kérése a helyi hálózatban nem oldható fel, akkor átkerül az alapértelmezett átjáróhoz, jelen esetben az útválasztóhoz. Ettől kezdve az útválasztó feladata eldönteni, hogy merre továbbítja. Igény szerinti tárcsázásnál felhívja az Internet szolgáltatót és átadja számára a kérést. Fontos, hogy az új kapcsolat csak az Internet kapcsolat megosztás szolgáltatásban lesz érvényes és a hálózati és telefonos kapcsolatokat tartalmazó mappában nem jelenik meg. Ezzel a varázsló befejezte működését, átveszi a helyét egy másik az igény szerint tárcsázó kapcsolat létrehozásához.
Haladjunk folyamatosan tovább a befejező és bemutatkozó ablakokon, közben elindul az útválasztás szolgáltatás. Az első érdemleges beállítás során nevet kell adnunk a tárcsázó kapcsolatnak (pl.: Internet).
Ezután a kapcsolat típusát kell megadni. Célunk eléréséhez nem virtuális magánhálózatot (VPN) kell konfigurálnunk, ezért válasszuk a "Csatlakozás modem, ISDN-adapter vagy más fizikai eszköz használatával" ("Connect using a modem, ISDN adapter, or other physical device") rádiógombot. Jelöljük ki a listában az Internet szolgáltatóhoz való csatlakozást végző eszközt, majd adjuk meg a szolgáltató telefonszámát (vagy számait).
Hálózati protokoll és biztonsági beállítások megadásával folytatódik a varázsló. Alapértelmezésben be van kapcsolva az "IP-csomagok ezen a kapcsolaton" ("Route IP packets on this interface") lehetőség. Ez maradhat is, de nagyon fontos, hogy a legtöbb Internet szolgáltató csak titkosítatlan jelszavakkal fogadja el a bejelentkezést. Így lehetőség nyílik Windows, Linux vagy régebbi Unix rendszerekből is csatlakozni, mert a hitelesítési adatok titkosítás nélküli átvitelét mindegyik támogatja. A varázsló alapértelmezésben viszont kihagyja ezt a lehetőséget, aminek az lesz a következménye, hogy tárcsázni képes lesz a kiszolgálónk, de bejelentkezni már nem. Megoldást a "Sima szöveges jelszó küldése, ha ez az egyetlen módja a kapcsolat felépítésének" ("Send a plain-text password if that is the only way to connect") jelölőnégyzet bekapcsolása jelenti. Ez az egyik apró buktató, ami miatt nem szokott megvalósulni a kapcsolatmegosztás.
A következő oldalon a bejelentkezéshez szükséges információkat kell megadni: felhasználói nevet és a jelszót kétszer (az elgépelések miatt). A "Tartomány" ("Domain") mező kitöltése a legtöbb szolgáltatónál nem kötelező, egyszerűen hagyjuk üresen.
Az alapszintű beállítások végére értünk. Cikksorozatunk következő részében megnézzük, hogy kell a klienseket és a DNS szolgáltatást konfigurálni a NAT életre keltéséhez.

NAT cikksorozat

Internet kapcsolatmegosztás hálózati címfordítással (NAT) Windows 2000 Server-en - NAT 1. rész

Hálózat címfordítás (NAT) beállítása és használata Windows 2000 Server-en - NAT 2. rész