Windows - Hálózat címfordítás (NAT) beállítása és használata Windows 2000 Server-en

NAT 2. rész

Jelen résszel befejezzük kétrészes cikksorozatunkat a hálózati címfordítással történő Internet kapcsolatmegosztásról. Az első részben a Windows 2000 Server konfigurálásának kezdeti lépéseit ismertük meg. Most bemutatjuk a lényeges beállítási lehetőségeket, hibaelhárítással egybekötve. Kitérünk a kliensek és a kiszolgáló konfigurálásának mikéntjére, abban az esetben, amikor helyi DNS kiszolgáló is található a hálózatban, illetve amikor külső segítséggel oldjuk meg a névfeloldást. Tapasztalataink azt támasztják alá, hogy a NAT megvalósítása sokszor gondot okoz, ezért igyekszünk mindenhol felhívni a figyelmet a lehetséges hibákra.
Az első részben ismertetett varázsló a főbb dolgokat beállította, de sajnos nem mindent. Mielőtt továbbmennénk a konfigurálásban, nézzünk meg néhány egyéb lehetőséget:
Internet kapcsolat létrehozása kézi csatlakozással
Elsőként győződjünk meg róla, hogy kézzel létrehozható-e a csatlakozás. Indítsuk el a Felügyeleti eszközök > Útválasztás és távelérés (Administrative Tools > Routing and Remote Access) konzolt. Kattintsunk az "Útválasztó-kapcsolatok" ("Routing Interfaces") tárolóra a faszerkezetben a gép neve alatt. A jobboldalon megjelennek a varázsló által bekonfigurált kapcsolatok. Köztük kell lenni az általunk megadott igény szerintinek ("Demand-dial") is. Kattintsunk rá a jobboldali egérgombbal és a megjelenő menüben válasszuk a "Csatlakozás" ("Connect") pontot. A modem elkezd tárcsázni és létrehozza a kapcsolatot. Ha be tud jelentkezni a szolgáltatóhoz, akkor kapcsolatban is marad, ha nem, akkor bontódik a vonal. Kézi bontáshoz használjuk a "Szétkapcsolás" ("Disconnect") menüt. Mi lehet az oka a sikertelen bejelentkezésnek? Például a rosszul megadott felhasználói név vagy jelszó.
Felhasználói név és jelszó utólagos módosítása
Kattintsunk ismét az igény szerinti ("Demand-dial") kapcsolatra a jobboldali egérgombbal és lépjünk a "Hitelesítési adatok beállítása" ("Set Credentials") menüre. Ugyanúgy megadhatjuk a felhasználói nevet, tartományt (általában nem kell megadni) és jelszót, mint a korábbi varázslóban. Az ablak megjelenése után a jelszót nem helyettesítik a szokásos * karakterek, de attól a rendszer még tárolja. Kicsit megtévesztő lehet, hogy üres mezők jelennek meg - ne foglalkozzunk vele.

A kapcsolat eszközének utólagos módosítása
Előfordulhat, hogy modemet cserélünk és az új eszköz más néven szerepel az operációs rendszerben. Például egy analóg modemről, ISDN-re való átálláskor. Ekkor felesleges újra konfigurálni a teljes útválasztást, elég csupán az igény szerinti kapcsolat eszközét módosítani. Még mindig ugyanazon a konzol objektumon kattintsunk a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre. A megjelenő ablak "Általános" ("General") oldalán található legördülő menüben jelöljük ki az új eszközt, amin szükség szerint a "Beállítás" ("Configure") gombbal módosíthatunk néhány értéket. A legördülő menü csak akkor jelenik meg, ha valóban több alkalmas eszközzel rendelkezünk.
Automatikus csatlakozási és vonalbontási beállítások
Az előbbi tulajdonságablak "Beállítások" ("Options") oldalán lehet elvégezni. A legritkább esetben megfelelő egy telefonos kapcsolatnál, ha a csatlakozás után nem történik vonalbontás. Figyelembe véve, hogy gyakorlatilag minden perc pénzbe kerül, erősen korlátozni kell a kliensek Interneten töltött idejét. Tegyük ezt úgy, hogy a szolgáltatás automatikusan bontsa a vonalat egy bizonyos üresjárati idő elteltével. A "Bontás előtti üresjárati idő" ("Idle time before hanging up") melletti legördülő menüben lehet beállítani az intervallumot, ami minimálisan 1 perc (alapértelmezésben 5 perc). Ha itt a "soha" ("never") értéket választjuk, vagy az "Állandó kapcsolat" ("Presistent connections") rádiógombot aktivizáljuk, akkor nem történik vonalbontás.
Kitárcsázási időpontok beállítása
A rendszer lehetővé teszi a különböző napszakokban eltérő telefonálási költségek figyelembe vételét is. Kattintsunk az igény szerinti tárcsázás kapcsolatára a jobboldali egérgombbal és válasszuk a "Kitárcsázási időpontok" ("Dial-out Hours") menüt. Megjelenik egy grafikus táblázat, ahol értelemszerűen beállíthatók különböző időintervallumok. A kiszolgáló csak ezeken belül létesít Internet kapcsolatot.
Az Internet elérésének korlátozása
Alapértelmezésben nincs korlátozva a célhálózat elérhetősége, ami annyit jelent, hogy a teljes Internet elérhető. Főleg magánhálózati kapcsolatokban - vagy ha csak az Interneten lévő céges gépek elérését akarjuk engedélyezni - vehetjük hasznát az IP szűrő beállításoknak. Kattintsunk ismét az igény szerinti kapcsolatra a jobboldali egérgombbal és lépjünk az "Igény szerinti tárcsázás IP-szűrői beállítása" ("Set IP Demand-dial Filters") menüre. Itt a "Hozzáadás" ("Add") gombbal lehet előírni, hogy mely forráshálózat, mely célhálózatot érheti el.
Újracsatlakozás szabálytalan kilépés esetén
Ha csatlakozás közben kikapcsoljuk a modemet vagy egyéb módon - az útválasztás szolgáltatást megkerülve - bontjuk a kapcsolatot, azt tapasztaljuk, hogy ha rögtön utána ismét megpróbálkozunk az Internet elérésével, a modem nem fog tárcsázni. Ez azért van, mert el kell telnie néhány percnek, amíg erről a szolgáltatás tudomást szerez és újra inicializálja az eszközt. Ilyen esetek főleg a kezdeti tesztelési - konfigurálási fázisban szoktak előfordulni. Sokkal gyorsabban életre tudjuk kelteni a kapcsolatmegosztást, ha újraindítjuk a teljes szolgáltatást: Kattintsunk a kiszolgáló nevére a jobboldali egérgombbal és válasszuk Az összes feladat > Újraindítás (All Tasks > Restart) menüt.
Időtúllépési problémák lassú kapcsolat felépítés esetén
Ha analóg modemmel csatlakozunk az Internet szolgáltató felé, akkor fordulhat elő a következő szituáció: A kliens lekér egy honlapot, a szerver elkezd tárcsázni és felépíti a kapcsolatot, bejelentkezik a távoli rendszerbe - ami 30-45 másodpercig is eltarthat. Ezalatt a kliens nem kap választ és az Explorer kiír egy hibaüzenetet, hiányolva a DNS kiszolgálót. Igazi megoldás nincs a problémára, azt tudjuk javasolni, hogy ilyenkor a kliens kattintson az Explorer frissítés gombjára vagy ismételje meg a kérést. ISDN vonalon, ahol gyorsan létrejön a csatlakozás és a hitelesítés, ez nem fordulhat elő.
Frissítés hiánya az Útválasztás és távelérés (Routing and Remote Access) konzolban.
Nagyon egyszerű, de a munka hevében mégis könnyű megfeledkezni róla:
Előfordulhat, hogy már létrejött a kapcsolat, de a konzolban semmi nem utal erre: nem aktív a szétkapcsolást végző menü, stb. Nyomjuk le az F5 billentyűt, ekkor frissül a megjelenítés és elérhetővé válnak a megfelelő funkciók.
Internetes kapcsolatmegosztás helyi DNS kiszolgáló nélkül
Ha a helyi hálózat gépszámánál fogva nem igényli egy önálló DNS kiszolgáló meglétét, akkor a névfeloldás egyéb alternatív módon, például NetBIOS használatával működik. Az Interneten viszont a DNS kiszolgálók biztosítják a nevek és IP címek közötti átjárhatóságot. Internet szolgáltatónk - akihez betárcsázunk - nyilván rendelkezik DNS szerverrel - használjuk az övét. Nyissuk meg a Windows 2000 Server-en a Vezérlőpult > Hálózati és telefonos kapcsolatok (Control Panel > Network and Dial-up Connections) mappát. Kattintsunk a jobboldali egérgombbal a helyi kapcsolatra, majd a "Tulajdonságok" ("Properties") menüre. Nyissuk meg a TCP/IP protokoll tulajdonságlapját és az elsődleges DNS kiszolgálónál állítsuk be az Internet kiszolgáló DNS kiszolgálójának IP címét. Ugyanígy megadhatjuk a másodlagos DNS kiszolgálót is, de ez már nem kötelező. Alapértelmezett átjárónak (Default gateway) pedig állítsuk be saját kiszolgálónkat (önmagára mutat).
A hálózat összes kliens gépén ugyanígy állítsuk be a DNS-t és rendkívül fontos, hogy a NAT-ot futtató gép IP címét adjuk meg alapértelmezett átjárónak (Default gateway). Ha a címek kiosztása DHCP-n keresztül történik, gondoskodjunk róla, hogy a kliensek a kézi beállítással megegyezően kapják a címeket.
Nézzünk egy példát a fentiekre:
  • Internet kapcsolatmegosztást végző gép IP címe: 192.168.0.1
  • Internet szolgáltatónk DNS szerverének IP címe: 200.1.1.1
Ekkor az Internet kapcsolatmegosztást végző gép és az összes kliens beállításai a következő lesznek:
  • elsődleges DNS kiszolgáló: 200.1.1.1
  • alapértelmezett átjáró: 192.168.0.1
Ha az egyik kliens valamely kérése nem oldható fel a helyi hálózatban, akkor az alapértelmezett átjáróhoz továbbítódik, amely DNS szervernek adja át (ami a szolgáltatónál van). Ezt érzékeli a NAT és betárcsázva létrehozza a kapcsolatot.
Internetes kapcsolatmegosztás helyi DNS kiszolgálóval
Ha helyileg üzemeltetünk DNS kiszolgálót, akkor mind a kliensek, mind a NAT-ot futtató kiszolgáló hozzá fordul egy kérés feloldása végett. Ahhoz, hogy a DNS kiszolgáló által nem feloldható kéréseket az Internet felé továbbítsa szükséges némi konfiguráció módosítás. Indítsuk el a Felügyeleti eszközök > DNS (Administrative Tools > DNS) konzolt. Bontsuk ki a faszerkezetet és nézzük meg, hogy van-e a "Címkeresési zónák" ("Forward Lookup Zones") között egy ponttal (.) jelölt zóna. Ha igen, az azt jelenti, hogy az adott kiszolgáló gyökér kiszolgáló, tehát ő áll a DNS hierarchia csúcsán és ha ő nem tud valamit feloldani akkor más sem. Ennek megfelelően nem is ad át kéréseket másnak. Ez a hozzáállás nekünk viszont nem felel meg, ezért töröljük a zónát. Most már megszűnt a DNS kiszolgáló legfelsőbbrendűsége, de még azt is meg kell adni, hogy hova továbbítsa az általa feloldani nem tudott kéréseket.
Kattintsunk a kiszolgáló nevére a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre, majd a "Továbbítók" ("Forwarders") oldalra. Kapcsoljuk be a "Továbbítók engedélyezése" ("Enable forwarders") jelölőnégyzetet, írjuk be az "IP-cím" ("IP address") mezőbe az Internet szolgáltatónk DNS szerverének címét, végül a "Hozzáadás" ("Add") gombbal vegyük fel a listába. Ha nem akarjuk megvárni, amíg a változtatások automatikusan érvényre jutnak, indítsuk újra a DNS kiszolgálót. Ehhez kattintsunk a konzolban a gép nevére, majd Az összes feladat > Újraindítás (All Tasks > Restart) menüre.

Nézzünk meg ismét egy konkrét példát a beállításokra:
  • Internet kapcsolatmegosztást végző gép IP címe: 192.168.0.1
  • Saját DNS szerverünk IP címe: 192.168.0.2
  • Internet szolgáltatónk DNS szerverének IP címe: 200.1.1.1 (A saját DNS kiszolgálónk "Továbbítók" ("Forwarders") listájában adtuk meg.)
Ekkor az Internet kapcsolatmegosztást végző gép és az összes kliens beállításai a következő lesznek:
  • elsődleges DNS kiszolgáló: 192.168.0.2
  • alapértelmezett átjáró: 192.168.0.1
Végül...
Ha még a fentiek ellenére sem működik a kapcsolatmegosztás, akkor nézzük meg, hogy az "Útválasztás és távelérés" ("Routing and Remote Access") konzol, IP-útválasztás > Statikus útválasztás (IP Routing > Static Routes) tárolójában be van-e jegyezve az igény szerint tárcsázó kapcsolatunk 0.0.0.0 cél IP címmel és alhálózati maszkkal. Ha nem, akkor valószínűleg nem a varázslót használtuk a kiszolgáló konfigurálására vagy később kitöröltük, ebben az esetben pótoljuk a hiányosságot.

NAT cikksorozat

Internet kapcsolatmegosztás hálózati címfordítással (NAT) Windows 2000 Server-en - NAT 1. rész

Hálózat címfordítás (NAT) beállítása és használata Windows 2000 Server-en - NAT 2. rész