nat средствами windows server 2008

[LEO]

кто-нибудь имел опыт настройки windows server 2008 (не r2) в качестве роутера (для того же флекса/элсайта, к примеру)?
интересуют именно встроенные службы.

подробности и скрины здесь: http://freeforum.flex.ru/index.php?topic=190408.0

вкратце: соединение по требованию подключается, локалка раздается, но инет остается недоступным.

[Crypt]

Видимо расшарили локалку, а не соединение.
З.Ы. Ссылку не посмотрел интернета нет.

[LEO]

Видимо расшарили локалку, а не соединение.
З.Ы. ваша ссылка не работает

оба интерфейса расшарил...

странно, что ссылка не работает, у меня она даже через веб-прокси открывается...
http://5.hidemyass.com/ip-1/encoded/Oi8vZnJlZWZvcnVtLmZsZXgucnUvaW5kZXgucGhwP3RvcGljPTE5MDQwOC4w&f=norefer

а картинка в цитате отображается?

[Crypt]

Я думаю проблема в маршрутизации. Сейчас с интернетом разберуть скрины ваши гляну.

[Crypt]

Не разберусь. Карты не доставляют Интернета до завтра не будет. Попробуйте расшарить только соединение, тогда должен появиться инет, может только сети не будет. Пока ничего больше посоветовать не могу.

[DafT]

в 2003 за маршрутизацию отвечала служба RAS, думаю и в 2008м должна присутствовать такаяжеж служба, проверь дополнительно устанавливаемые сервисы=)

[Crypt]

в 2003 за маршрутизацию отвечала служба RAS, думаю и в 2008м должна присутствовать такаяжеж служба, проверь дополнительно устанавливаемые сервисы=)

Так у него локалка раздается, служба то работает.

[LEO]

ок, сейчас сюда продублирую краткий анамнез и фотоотчет последней попытки) ну, в течение часа-двух, не прямо сейчас

смущает то, что получившаяся в итоге таблица маршрутизации содержит маршрут для всего через шлюз локалки с меньшей метрикой, чем маршрут для всего через VPN, а маршруты эти динамические.

[LEO]

итак, изначально:

с DNS и DHCP все получилось.
NAT только для локалки тоже вроде работал.

проблемы начинаются с попытками прикрутить VPN туда же.

брендмауэр я выключил.

создаю и настраиваю "интерфейс по требованию", l2tp.flex.ru доступен. Добавляю для этого интерфейса маршрут 0.0.0.0 mask 0.0.0.0 (либо его создает мастер), ставлю галочку "использовать для подключений по требованию", и после этого...
1. иногда вылетает консоль управления. Это при том, что я специально перед добавлением ролей поставил все предложенные обновления. И никаких программ еще не ставил.
2. перестает быть доступен l2tp.flex.ru, и, соответственно, подключение не подключается.

действовал как предлагается в статье http://interface31.ru/tech_it/2010/06/windows-server-nastrojka-nat-pri-ispolzovanii-vpn-ili-pppoe.html , пробовал использовать мастер и не использовать его.
можно поиграться с метрикой, добавить еще один статический маршрут 0.0.0.0 mask 0.0.0.0 до шлюза с меньшей метрикой, и подключение начинает работать, но инета нет. Если теперь вручную назначить ему прежнюю меньшую метрику, то все вроде как и начинает работать. Однако стоит перезагрузить сервак, или просто разорвать vpn - и все сначала.

настройки сетевух
HomeLan - внутренняя, исторически сложилось, диапазон адресов я выбрал для нее 172.17.1.*
FlexWan - соответственно локалка флекса

NAT настроено для следующего интерфейса Интернета: FlexVPN

Клиентам локальной сети будут назначаться IP-адреса из следующего диапазона: сетевой адрес 192.168.0.0, маска сети 255.255.0.0

Для работы NAT необходимы серверы DNS и DHCP. Подтвердите, что эти службы настроены правильно.

откуда эти адреса - я не знаю. и где их можно поменять - тоже.

донастраиваю параметры подключения по требованию и иду в статически маршруты ставить галку...
... и ставлю ее и указываю метрику 1. нажимаю ок и консоль вылетает. последний скрин появляется дважды.

[DafT]

помоем всежеж тебе нада заглянуть в ту службу о которой я говорил

P.S. если есть возможность поставь ISA сервер, там вообще все сведено до графического отображения необходимых тебе вещей

[LEO]

маршрут не удается изменить, подробное описание глюков пока пропущу.

участник того форума пишет:

Второе при настройке надо выбирать не просто нат, а VPN + NAT

Третье при работе мастера выбирать "Использовать общедоступный интерфейс" и в таблице выбрать твой внешний, подключенный к сети флекса, а не создавать интерфейс вызова по требованию.

Четвертое проверить в свойствах сервера стоит ли "Маршрутизатор - локальной сети и вызова по требованию"

Пятое интерфейс вызова по требованию создается в последствии через выпадающее меню, при щелчке на интерфейсах сети, выбрать "Создать интерфейс вызова по требованию..."

P.S. Никакого внутреннего интерфейса не должно быть в разделе нат!

я думал, что я думал, что NAT+VPN - не совсем то, что мне нужно, но решил попробовать.

на всякий случай удалил роль маршрутизатора и поставил заново.

нумерация по скринам.
1,2,3,4 - мастер.
сообщение мастера по завершению настройки:

Клиенты VPN подключаются к следующему общему интерфейсу: FlexWan

Клиентам RAS и VPN для адресации назначается следующая сеть: HomeLan.

При установке и проверке клиентских подключений используется: политики удаленного доступа для данного сервера.

Политика запросов на подключение с именем Политика службы маршрутизации и удаленного доступа (Майкрософт) будет создана в базе данных NPS. Политика включает проверку подлинности Windows и учет Windows.

NAT настроено для следующего интерфейса Интернета: FlexWan

Клиентам локальной сети будут назначаться IP-адреса из следующего диапазона:

сетевой адрес 172.17.1.0, маска сети 255.255.255.0

5. галочка стоит
6. создаю интерфейс вызова по требованию
7. создаю для него маршрут
8. консоль управления больше не вылетает, глюков с маршрутом нет

[LEO]

9. из раздела NAT удалил "внутренний" интерфейс, который запихнул туда мастер. Он там точно не нужен?
10. таблица маршрутизации

соединение подключается, локалка раздается, но инет остается недоступным.

[LEO]

помоем всежеж тебе нада заглянуть в ту службу о которой я говорил

P.S. если есть возможность поставь ISA сервер, там вообще все сведено до графического отображения необходимых тебе вещей

нужные службы устанавливает мастер добавления ролей.
служба точно работает. когда служба отключена, то оснастка "маршрутизация и удаленный доступ" (на скринах) отображает, что сервер не запущен и не позволяет ничего делать.

[Crypt]

9. из раздела NAT удалил "внутренний" интерфейс, который запихнул туда мастер. Он там точно не нужен?
10. таблица маршрутизации

соединение подключается, локалка раздается, но инет остается недоступным.

Он там нужен. Фишка в том что там содержаться все интерфейсы которые участвуют в маршрутизации. При выборе конкретного из этого списка вы увидите натятся ли исходящие с него пакеты. Попробуйте добавить туда соединение, и посмотреть его свойства из этой останастки.
По логике там у вас должно быть 3 интерфейса: Внутренний, ВнешнийЛокалка и ВПНСоединение. И на 2-х из них работать  исходящий НАТ (на локалке и ВПН). Для упрощения и теста я бы исключил оттуда Внешнюю локалку, и проверил бы работает ли с нетом.

[LEO]

там есть интерфейс, который так и называется "Внутренний", и есть интерфейс, внутренний по отношению к моей локальной сети с именем HomeLan.

Вы про какой из них говорите ?

[Crypt]

там есть интерфейс, который так и называется "Внутренний", и есть интерфейс, внутренний по отношению к моей локальной сети с именем HomeLan.

Вы про какой из них говорите ?

"Внутренний" для  меня это инерфейс на котором сидят домашние компы, и что находится на нем не должен видеть провайдер. Локалка провайдера по этой логике "внешняя".

[LEO]

ну все так.
от добавления\удаления в раздел NAT интерфейса с именем "внутренний" ничего не меняется.

по неизвестным для меня причинам при настройке маршрутизации через мастер (как описано в статье по первой ссылке) у меня вылетает консоль.

решил ручками. так тоже уже делал.
2 шага в мастере.
потом создаю и настраиваю интерфейс вызова по требованию.
 маршрут был прописан при создании интерфейса вызова по требованию, пингую яндекс, интерфейс успешно подключается, но результата все равно нет.
Теперь добавляю интерфейсы в группу NAT, там пока пусто.
HomeLan - частная сеть
FlexVPN (интерфейс вызова по требованию) - включить NAT

пингую яндекс, результата нет.
в разделе NAT в таблице для интерфейса FlexVPN столбцы "исходящих пакетов" по нулям.

добавляю в раздел NAT интерфейс FlexWan - включить NAT
для него циферки побежали, в интерфейсе инета - нули.

таблица маршрутов.
что до добавления внешней локалки в NAT, что после - локальный маршрут 0.0.0.0 mask 0.0.0.0 имеет меньшую метрику, чем аналогичный маршрут для VPN, хотя в разделе "статические маршруты" этот маршрут имеет метрику 1.

[LEO]

ну и как не сложно догадаться,
route change 0.0.0.0 mask 0.0.0.0 10.205.23.254 metric 25 if 10

решает проблему.
до перезагрузки, наверное.

хм, может быть дело в том, что адрес локалки провайдера назначается по DHCP ?
попробую прописать его ручками, может тогда маршрут до шлюза получит большую метрику...

upd:
бугагашеньки 
стоило лишь вручную вбить настройки, как маршрут до шлюза получил на порядок большую метрику 

[LEO]

P.S. если есть возможность поставь ISA сервер, там вообще все сведено до графического отображения необходимых тебе вещей

теперь встала задача ограничения скорости p2p соединений.
решил почитать про этот ISA сервер, в педивикии написано "Не совместим с Windows Server 2008 и Windows Server 2008 R2. Наследником ISA Server является Forefront Threat Management Gateway ."

[Crypt]

Можно попробовать сторонее приложение. Очень простое в настройке Керио, там и ограничение и пользователи все "ништяки". Но лично я маршрутизатор (если это только маршрутизатор) поднял бы на линухе.