Do napisania tego tekstu zmusiły mnie dziesiątki (jak nie setki) listów dotyczących problemów związanych z udostępnianiem Internetu w sieci lub routingiem pomiędzy dwoma podsieciami. Moim skromnym zdaniem jednym z najlepszych programów oferujących obie wyżej wymienione funkcje jest WinRoute PRO 4.1 
(dla windowsów XP polecam ściągnąć najnowszą wersję ze strony producenta - patrz stopka dokumentu). Jego największą zaletą jest prostota instalacji i konfiguracji, szybkość działania oraz małe rozmiary (spakowany zajmuje 1,17MB). Wymagania sprzętowe też nie są wielkie (choć nie umywa się do linuxa). Wystarczy nam komputer klasy Pentium z zaprzęgniętymi 32 MB RAM-y pracujący pod kontrolą Windows 95/98/NT4.0/2000. Najlepsze jest to, że po instalacji programu możliwy jest bezproblemowy routing pomiędzy dowolnymi interfejsami bez ustawiania żadnych opcji. Program wystarczy włączyć i tyle.
Niestety nie ma róży bez kolców. Nie możliwa jest translacja adresów na poziomie znanym z routera, ponadto program przy wolnych łączach wprowadza znaczne opóźnienia. Początkujący użytkownicy mogą mieć problemy z zaporą ogniową, jest ona dość "spartańska" i wymaga całkowicie ręcznej konfiguracji. Pomimo tych drobnych uchybień, można go uznać za soft prawie idealny dla koleżeńskiej sieci LAN.
Pisząc o tzw. serwerach proxy nie sposób pominąć programu WinGate, w istocie jest on bardziej rozbudowany niż WinRoute. Jednak jego konfiguracja jest dość zawiła, i może sprawić wiele trudności nawet wprawionym userom. Ponadto co mi się w Wingate nie podobało to przymus instalacji klienta programu na każdym komputerze, czego nie znajdziecie w programie Tiny Software (teraz już Kerio).
Co oferuje nam WinRoute
- Prosty Router z możliwością translacji adresów sieciowych NAT
- Serwer Proxy oraz DNS Forwarder
- Serwer MAIL
- Serwer DHCP
- Mapowanie portów
- Prosty Firewall (Packet filter)
Początkujący użytkownicy zastanawiają się pewnie co to jest te udostępnianie Internetu oraz routing otóż
Udostępnianie Internetu jest to czynność polegająca na umożliwieniu komputerom znajdującym się w sieci lokalnej eksploracji zasobów Internetu i korzystania ze wszystkich jego usług, za pomocą jednego łącza Internetowego (stąd współdzielenie łącza). W naszym przypadku potrzebny jest do tego wydzielony komputer-serwer z zainstalowanym systemem operacyjnym, łączem internetowym (bez różnicy czy 36,6Kbit/s czy 10Mbit/s) oraz kartą sieciową. Adapter (sieciowy) podłączamy do sieci LAN w dowolnym miejscu, choć zaleca się umieszczenie serwera w "środku ciężkości" sieci, co chyba jest oczywiste. Na tak uposażonym kompie (i tylko na nim) instalujemy program WinRoute. Po odpowiednim skonfigurowaniu wszystkich komputerów w sieci, program po odebraniu ramki z innym adresem docelowym niż lokalny przesyła ją do Internetu itd... Soft wykonuje to po części jak prawdziwy router - za pomocą maskarady (NAT) (np. gry typu Q2) oraz stosując odpowiednie serwery Proxy i MAIL dla zwiększenia komfortu i wydajności pracy (choć używanie ich nie jest konieczne).
Routing w naszym uproszczonym przypadku jest to czynność polegająca na przesyłaniu ramek pomiędzy dwoma lub więcej kartami sieciowymi umieszczonymi w jednym komputerze. Dla nas oznacza to tyle że jeśli chcemy połączyć dwie sieci bez stosowania HUB-a (dla UTP) lub mostu (dla BNC) wystarczy włożyć do komputera 2 karty sieciowe, podłączyć do nich odpowiednie kabelki (podsieci) i zapuścić WinRoute - proste
Wiem że co bardziej uświadomieni ludzie śmieją się teraz z tego podziału ponieważ jest to prawie to samo (w przypadku RealIP jest to faktycznie to samo), ale takie nazwy się przyjęły i tak jest najprościej zrozumieć. Ci mniej uświadomieni niech poczytają dział [Podstawy/Zasada działania] i [Podstawy/Urządzenia]
Instalacja programu sprowadza się do uruchomienia serup-a, kliknięcia parę razy Next oraz restartu systemu. Po ponownym uruchomieniu komputera automatycznie startuje Engine Monitor przechwytując wszystkie pakiety dochodzące do karty sieciowej i kierując je do odpowiedniego urządzenia (w zależności czy ma być to Modem czy druga karta sieciowa). Dostęp do menu administracyjnego uzyskujemy poprzez podwójne kliknięcie ikonki WinRouta na systray'u (pasku zadań koło zegara).
Aby wyłączyć program należy raz kliknąć na ikonie WinRoute i wskazać
Stop WinRoute Engine. Ponowne uruchomienie (engine'a) następuje analogicznie po wskazaniu
Start ... Tak dla zupełnie zielonych, aby usługa z której mamy zamiar korzystać działała (np. udostępnianie Internetu) serwer i program winroute muszą być cały czas włączone :-).
Przejdźmy teraz do menu administracyjnego.
To tutaj dokonujemy wszystkich ustawień programu, oraz kontrolujmy jego pracę. Po włączeniu menu, powinno ukazać się okienko żądające podania hasła Admina. Narazie hasło jest nieaktywne więc wystarczy nacisnąć przycisk
OK. Aby je włączyć należy wybrać menu
Settgins/Accounts... W zakładce
Users widoczny jest użytkownik Admin. Wskazujemy przycisk
Edit. W nowo powstałym oknie ustawiamy hasło i upewniamy się że jest zaznaczona kropka przy
Full access to administration. Teraz wystarczy potwierdzić i Zastosuj. Brawo! Program jest właściwie już skonfigurowany i wszystko powinno działać (prócz może wewnętrznej poczty oraz DHCP ale to inna bajka), w sumie jak ktoś nie chce, to może do niego więcej nie wchodzić. Pozostaje nam jedynie odpowiednie skonfigurowanie sieci o czym poniżej.
Autorzy programu wzięli pod uwagę fakt iż wiele serwerów nie posiada własnego monitora. Program można konfigurować zdalnie z dowolnego komputera z sieci LAN. Aby użyć tej funkcji, należy skopiować plik WrAdmin.exe znajdujący się w kataloguX:\Program Files\WinRoute PRO\ serwera na komputer z którego macie zamiar zdalnie dokonywać ustawień. W celu połączenia uruchamiamy go, następnie w polu WinRoute Host wpisujemy IP serwera którym chcemy zarządzać i odpowiednio w kolejnych polach User'a - Admin i hasło podane wcześniej.
Możliwa jest także administracja z Internetu, tu należy zmapować port TCP/UDP 44333 na adres dowolnego interfejsu LAN serwera (menu Settings=>Advanced=>Port Mapping), więcej o tym w pomocy programu [WinRoute Administration/Administration from the Internet].
Dalsze kroki uzależnione są od tego czy WinRoute chcemy używać jako router służący do przesyłania pakietów pomiędzy dwoma podsieciami (kartami sieciowymi) czy też do udostępniania Internetu. Owym zagadnieniom są poświęcone dwa poniższe rozdziały. Oczywiście możliwe jest stosowanie WinRoute'a w obu przypadkach jednocześnie.
WinRoute przejmuje całkowicie kontrolę nad pracą w sieci serwera i nie lubi jak jakiś program mu w tym przeszkadza. Należy bezzwłocznie odinstalować soft o podobnym do WinRoute działaniu taki jak WinGate, Microsoft Internet Connection Sharing czy Norton Antivirus (port 110), gdyż mogą one zakłócić prawidłowe działanie serwera. Więcej o tym w pomoy programu [Get it Up.../Conflicting software]. Oczywiście nadal można korzystać z wszystkiego innego.
Konfiguracja serwera do pełnienia funkcji routera softwarowego nie jest skomplikowana. Program jest gotowy do przesyłania pakietów pomiędzy podsieciami tuż po uruchomieniu, nie wymagana jest żadna specjalna konfiguracja. Ważne jest tylko to aby adresy IP oraz bramki w naszej sieci LAN były poprawnie ustawione.
Przyjmijmy teoretyczną sytuację iż macie zamiar połączyć dwie sieci za pomocą jednego komputera z dwoma kartami sieciowymi. Zakładam też iż są one prawnie zainstalowane w komputerze wraz z protokołami oraz sieć jest już podłączona. Zajmijmy się teraz ustawieniami protokołu TCP/IP, jest to bardzo ważne.
Jednej z kart nazwijmy ją "
A" należy przypisać adres IP
192.168.1.1 drugiej karcie "
B" adres
192.168.2.1 Jak zapewne zauważyliście zmienia się trzeci oktet adresu IP. Powiedzmy że jest to "adres" podsieci. W karcie "A" przyjmuje on wartość "1", w "B" przypisano "2". Teraz wszystkie karty sieciowe z podsieci podłączonej do karty "A" powinny mieć adres
192.168.1.X gdzie X oznacza liczbę z zakresu 3-254. Analogicznie postępujemy w podsieci "B" nadając wszystkim kartom adres
192.168.2.X. Chyba nie muszę przypominać o tym że w sieci nie może być 2 maszyn o identycznych adresach IP. Dla osób ze słabą wyobraźnią załączam powyższy obrazek.
Teraz wypadało by jakoś powiadomić wszystkie komputery w sieci o istnieniu routera. Ustawień dokonujemy w
Panelu Sterowania/Sieć/Właściwości TCP/IP karty sieciowej każdej stacji roboczej w sieci. W zakładce
Brama trzeba dodać adres karty sieciowej obsługującej daną podsieć. Tak dla podsieci "A" jest to
192.168.1.1 (zob. rys. poniżej) i dla LAN-u "B" w każdym kompie o adresie 192.168.2.2-254 dodajemy bramkę
192.168.2.1. Na serwerze nie należy ustawiać żadnej bramy. Ponadto w żadnym razie nie wolno ustawiać niczego we właściwościach Dial-UP. W przypadku posiadania trzech i więcej kart sieciowych z kolejnymi podsieciami postępujemy analogicznie.
Oczywiście przypisywanie kolejnym komputerom adresu IP oraz bramy można zrobić automatycznie za pomocą serwera DHCP ale o tym później.
Jeśli wszystko przebiegło prawidłowo sieć powinna działać. W przypadku gdy tak nie jest sprawdzamy kolejno
- Czy winroute jest uruchomiony (nie powinno być czerwonego znaku zakazu wjazdu na systray'u)
- Czy karty sieciowe są prawidłowo skonfigurowane
- Czy oby na pewno nie ustawiliśmy Bramki na serwerze z WinRoute. W [Panelu Sterowania/Sieć/Właściwości Protokół TCP/IP->karty sieciowe/Brama] wszystkie pola powinny być puste.
- Czy nie jest uaktywniona translacja adresów na którejś z kart sieciowych w WinRoute. W tym celu klikamy na menu Settings=>Interface table i sprawdzamy kolejno wszystkie karty Ethernet. Opcja Preform NAT with the IP... we właściwościach powinna być wyłączona.
- Ustawienia IP oraz bramy na wszystkich komputerach.
Jeśli nie mamy zamiaru korzystać z innych funkcji programu wypadało by wyłączyć wszystkie niepotrzebne serwisy.
W tym celu uruchamiamy menu administracyjne. I kolejno klikamy na ikonkę
Proxy Server i odznaczamy kratkę
Proxy Server Enabled te same czynności wykonujemy w MAIL Server, DNS Forwarder i DHCP Server. Operacja ta nie jest konieczna aczkolwiek odciąży nieco serwer.
Niestety router nie przepuszcza ramek rozgłoszeniowych co wpływa na nieprawidłowe działanie Otoczenia sieciowego. Komputery z jednej strony sieci nie widzą stacji z drugiej. Problem ten rozwiązuje serwer Wins'ów, jednak WinRoute go nie zawiera. Kolejnym uniedogodnieniem jest brak obsługi przez router protokołów innych niż TCP/IP. Odpadają więc stare gry typu Q1 czy StarCraft z ludźmi z przeciwległej podsieci. Oczywiście tu też istnieje pewien kruczek, można zainstalować oprogramowanie tunelujące IPX na TCP typu Khan na stacjach roboczych a na komputerze z WinRoute serwer tej usługi.
Tak... to jest prawie proste. Jak zwykle na początku uruchamiamy program WinRoute i na tym właściwie kończy się jego konfiguracja.
W naszej przykładowej sytuacji serwer jest wyposażony w kartę sieciową oraz modem czy inne urządzenie do komunikacji z Internetem.
Zakładam iż sieć LAN oraz Internet działają. Serwerowi z WinRoute przydzielamy adres nie-routwoalny typu 192.168.x.x (np. 192.168.0.1) (rozumie się będzie to adres karty sieciowej podłączonej do sieci lokalnej LAN). W żadnym przypadku karcie sieciowej nie należy przypisywać bramek oraz DNS.
W WinRoute sprawdzacie czy na pewno jest włączony DNS Forwarder (jak sama nazwa wskazuje, przekazuje on zapytania DNS do internetu). W tym celu wskazujemy odpowiednią ikonę lub wybieramy polecenie z menu Settings -> DNS Forwarder i upewniamy się czy kratka przy Enable DNS Forwarding jest zaznaczona (powinno być jak na rys poniżej).
Nasz serwer staje się teraz dla wszystkich komputerów w sieci Bramką oraz serwerem DNS. Adresy IP poszczególnych komputerów należy wpisać ręcznie (w tym przykładzie nie wykorzystamy DHCP), i powinny się zawierać w zakresie 192.168.0.3-255 (jeśli za serwer przyjmiemy 192.168.0.1). Oczywiście adresy IP powinny być unikanowe oraz nie powtarzać się w sieci. Każda stacja robocza w sieci LAN (z wyjątkiem serwera) powinna mieć skonfigurowaną bramkę jako 192.168.0.1 (jak to zrobić opisałem powyżej w dziale Routing
-->[X]) oraz włączony DNS jako 192.168.0.1 (adres serwera z Winroute). Host można walnąć taki sam jak nazwa danego komputera w otoczeniu sieciowym
(zob. rys. poniżej). Nazwa hosta, podobnie jak nazwa komputera w otoczeniu sieciowym, nie może się powtarzać. Pole Domena może pozostać puste, chyba że posiadacie jakąś.
Apropo jeszcze stacji roboczych, przydało by się aby program pocztowy zawsze łączył się z kontami za pomocą sieci lokalnej. W Outlooku jest to w menu Narzędzia -> Konta zakładka poczta, właściwości danego konta , zakładka połączenia. W Internet Explorer też może się przydarzyć problem z automatycznym łączeniem. Należy to wyłączyć (Narzędzia/ Opcje I/ Połączenia/ nigdy nie wybieraj...)
Na koniec tradycyjnie już wyłączamy zbędne serwisy (Proxy Server, MAIL Server i DHCP Server).
W tak skonfigurowanej sieci powinny działać wszystkie usługi Internetowe oraz większość gier. Niemniej jednak powinniście jeszcze o kilku spawach wiedzieć.
Mianowicie w instrukcji zauważyłem zalecenie sprawdzenia przed całą zabawą interfejsów. Aby to zrobić klikamy na ikonę
Interface Table lub wybieramy to polecenie z menu
Settings.
Naszym oczom powinny się ukazać Ethernet interface oraz RAS interface
(jak na rys. powyżej). Słowa Ethernet chyba nie trzeba nikomu tłumaczyć a RAS oznacza ... Modem. Wybieramy Ethernet i klikamy
Properties... Opcja
Preform NAT with the IP... powinna być
wyłączona. Po zatwierdzeniu wchodzimy do właściwości RAS-a tu opcja
Preform NAT with the IP... powinna być włączona co umożliwi translację adresów. Jeśli korzystamy z Internetu za pomocą modemu kablowego (drugiej karty sieciowej) w nim także należy uaktywnić tę opcję, choć w tym przypadku autorzy nie gwarantują sukcesu. Można także zaznaczyć opcję
Exclude this computer from NAT jednak gdy internet na serweże działa poprawnie nie trzeba jej zmieniać.
Jeśli w usłudze dial-up mamy skonfigurowane więcej niż jedno połączenie, trzeba wybrać to z którego program ma korzystać. W tym celu należy wejść do właściwości RAS (nadal w Interface Table) i kliknąć na zakładkę RAS (zob. rys. poniżej).
W okienku
RAS Entry nastawiamy żądane połączenie z którego mamy zamiar dzwonić do Internetu. W polu connection określamy czy połączenie ma zostać zestawione gdy ktoś zacznie korzystać z Internetu
[On Demand] oraz czas rozłączania po bezczynności (ta opcja działa jakoś badziewnie) czy też ręcznie przez osobę obsługującą Serwer
[Manual], reszta jest w zasadzie nieważna.
W wyższych wersjach systemu Windows zdaża się iż Winroute działa jako service nawet po jego wyłączeniu, tak więc Internet nie będze działać gdy w sofcie jest skonfigurwany inny dialer niż ten aktywny.
Jeśli mamy przydzielone dla sieci routowalne (publiczne) adresy IP (lub pół na pół publiczne - routowalne typu 206.86.181.x i prywatne - nieroutowalne typu 192.168.1.x) należy przypisać adresy publiczne wybranym klientom i wykluczyć je z NAT. W tym celu wybieramy z menu Settings -> Advanced -> NAT i klikamy Add. Pozostałe czynności proszę wykonać jak na rys poniżej.
W polu
From: i
To: wpisujemy zakres adresów publicznych które będą wyłączone z NAT. Można oczywiście też dodać adresy prywatne które nie mają mieć dostępu do Internetu.
Wszystko to jest dokładnie opisane w pomocy [Configuration examples/Connecting multiple networks/Connecting public and private segments (DMZ)]
Na pewno część z was zauważyła iż używam na przemian słów NAT i maskarada. Jaka jest różnica między nimi? Dla początkującego urzytkownia żadna, jednak w przypadku gdy nasz operator telekunikacyjny przydzeli dla maszego łącza kilka adresów publicznych należy już dokonać indetyfikacji tych usłóg.
Maskarada potrafi obsłużyć tylko i wyłacznie jeden adres publiczny (maskować za jego pomocą sieć). NAT natomiast zezwala użyć kilku adresów publicznych do dzelenia łącza, tzn kilka komputerów będze ukryta za jednym IP zewnętrzym a kilka za drugim. Nie mniej jednak ta funkcja jest żatko wykożystywana. Zazwyczaj przypisuje się adresy kilku wybranym stacjom roboczym i wyklucza się je z NAT tak jak to opisałem w powyższym przykładzie. Dzięki temu komputery te będą mogły pełnić funkcję serwera wszystkich możliwych usług bez mapowania portów o czym nieco później.
Pisałem powyżej iż za pomocą tego programu można routować pakiety pomiędzy dwoma podsieciami a przy tym udostępniać Internet. W tym wypadku konfiguracja programu nie będzie się różnić niczym od tej opisanej w rozdziale "Udostępnianie Internetu" a konfiguracja Adresów IP powinna być analogiczna do tej w rozdziale "Routing" z tym iż w każdym komputerze prócz bramki należy wpisać adres serwera DNS (identyczny jak dla bramki)
Na tym etapie konfiguracja sieci i programu jest właściwie zakończona kolejne operacje mogą mieć na celu zwiększenie komfortu i bezpieczeństwa pracy, aczkolwiek nie są konieczne. Poniżej opiszę serwisy które domyślnie wyłączamy jednak mogą się czasem przydać. Dla zwiększenie komfortu pracy warto wykorzystać serwer proxy oraz DHCP, można także uaktywnić serwer pocztowy MAIL jednak moim zdaniem nie jest on specjalnie udany. Dla bezpieczeństwa wypadało by uaktywnić zaporę ogniową to zwaną Packet filter. W celu udostępnienia pewnych zasobów sieciowych w Internecie niezbędne jest mapowanie portów. Dzięki temu można stworzyć serwer WWW czy FTP wewnątrz sieci lub hostować gry
Cóż to jest ten serwer proxy. Najprościej mówiąc przechwytuje on wszystkie dane z Internetu i przechowuje na dysku. W ten sposób odwiedzając ponownie jakąś witrynę WWW ściągamy ją nie z Internetu lecz z serwera WinRoute, co oczywiście przebiega o wiele sprawniej. W wypadku wykrycia zmian na stronie nowe dane są pobierane ponownie. W dzisiejszych czasach przeglądarki takie jak IE czy NN tworzą samodzielnie katalog odwiedzonych stron dzięki czemu wchodząc setny raz na stronę www.wp.pl czy www.playboy.com :) nie ściągamy setny raz tych samych ilustracji tekstu itd. Ten fakt poddaje pod wątpliwość sens stosowania serwera proxy. Jednak zawsze istnieje prawdopodobieństwo iż jakiś inny użytkownik sieci wcześniej wszedł na daną stronę. Takie rozważania można snuć bez końca, jednak jestem zobowiązany napomknąć iż większość polskich LAN-ów posiada omawiany serwer.
Przejdźmy do konfiguracji. Tradycyjnie wchodzimy do menu admina, i klikamy na ikonkę Proxy Server lub wybieramy go z menu Settings. Aby uaktywnić serwer zaznaczmy kratkę Proxy Server Enabled w zakładce General. Dobrze jest też zapamiętać widniejący tam port (standardowo 3128), przyda się on później. Kolejnym krokiem jest ustawienie żądanej ilości pamięci Cache, czyli miejsca na dysku przeznaczonego dla serwera Proxy. W tym celu przełączamy się na zakładkę Cache, odszukujemy pole Cache size i wpisujemy tam żądaną wartość megabajtów. Oczywiście im więcej tym lepiej. Opcja Cache Enabled powinna pozostać włączona.
Jak ktoś lubi to może pobawić się w zabranianie dostępu do wybranych witryn w zakładce
Access (kłania się ten playboy.com) lub określić czas po jakim dane leżące sobie na serwie mają być kasowane w zakładce
Time-to-live. Jeśli chcemy korzystać jeszcze z zewnętrznego serwera proxy należy wpisać jego parametry w zakładce
Advenced. W każdym razie opcji jest trochę i można trochę zamotać.
Na tym etapie zakończymy konfigurację samego serwera i zajmiemy się stacjami roboczymi. We wszystkich komputerach które mają korzystać z naszego proxy należy wpisać jego adres i port. W tym celu włączamy Przeglądarkę WWW (opisuję tu Internet Explorer 5.0) i wybieramy z menu Narzędzia -> Opcje internetowe... (dostępne zresztą także w Panelu Sterowania). Włączamy zakładkę Połączenia a następnie opcję Ustawienia sieci LAN.
W nowopowstałym okienku należy zaznaczyć opcję
Używaj serwer Proxy dla sieci LAN i wpisać adres komputera z WinRoute oraz port serwera proxy (standardowo 3128). Można też zaznaczyć opcję
Nie używaj serwera ... lokalnych.
Teraz wystarczy poklikać
OK i wszystko jest gotowe do pracy.
DHCP - Dynamic Host Configuration Protocol, mówiąc po polsku protokół automatycznej (dynamicznej) konfiguracji hostów. Dzięki tej usłudze wszystkie niezbędne ustawienia sieciowe w komputerach znajdujących się sieci, tj. Bramka, DNS, Adres IP, są konfigurowane automatycznie przez serwer DHCP, tak jak to ma miejsce podczas ustalania połączenia modemowego z Internetem. Użytkownicy sieci są zwolnieni z ręcznego wklepywania bramek i pamiętania swoich adresów IP itd.
W praktyce wygląda to jeszcze prościej niż w teorii. Po starcie dowolnej stacji roboczej system szuka serwera DHCP, po jego odnalezieniu prosi o przydzielenie odpowiednich zasobów. Serwer sobie patrzy w jakiej podsieci znajduje się dana stacja robocza i przyporządkowuje jej odpowiedni adres IP oraz bramkę DNS WINS .. jeśli je skonfigurowaliśmy.
Przed podjęciem jakichkolwiek kroków powinniśmy się zastanowić co właściwie jest w sieci. Najlepiej rozrysować sobie na kartce wszystkie podsieci podłączone do serwera wraz z ich adresami IP oraz nazwami użytkowników. Przydać się także mogą adresy MAC kart sieciowych, pokazuje je między innymi program Winipcfg dostępny z polecenia Uruchom w Windozie (lokalnie) lub TCPNetView (zdalnie).
Po tych rozważaniach możemy się zająć właściwą konfiguracją. Dla naszych potrzeb przeanalizujemy sytuację opisaną w rozdziale "Routing", ilość komputerów zgodna jest tą przedstawioną na obrazku zamieszczonym na początku trzeciego rozdziału -->[x]. Dla ubarwienia przykładu nakażemy serwerowi Udostępniać łącze internetowe dodając konfigurację serwera DNS.
Aby uruchomić serwer DHCP należy w menu administracyjnym (programu winroute na serwerze) wybrać z menu Settings polecenie HDCP Server i uaktywnić opcję DHCP Server Enabled. Kolejnym krokiem jest poinformowanie serwer jakie adresy IP, bramki oraz serwery DNS ma przydzielać poszczególnym podsieciom. W tym celu klikamy przycisk New Shope. Naszym oczom powinno się ukazać okienko podobne do tego przedstawionego na rys. poniżej (oczywiście bez wartości, to jest już wypełnione). Wpisujemy przedział adresów przewidzianych dla podsieci 192.168.2.x (2-4), poniżej umieszczamy IP DNS-a oraz bramki (192.168.2.1). Te same czynności należy wykonać dla podsieci 192.168.1.x.
Właściwie na tym etapie można by skończyć konfigurację DHCP. Teraz jednak każdy user sieci LAN może skorzystać z naszego serwera czy tego chcemy czy nie, ponadto adresy IP komputerów będą się zmieniać jak w kalejdoskopie. Nam natomiast zależy aby każda stacja posiadała stały adres IP przydzielany na podstawie adresu MAC karty sieciowej. W tym celu przyciskamy
Add Lease... i przypisujemy kolejnym komputerom z kolejnych podsieci stały adres IP na podstawie MAC-a tak jak to przedstawia rys. poniżej.
Ważne jest to aby przydzielić odpowiednią stację do odpowiedniej podsieci, inaczej mogą nastąpić problemy z zalogowaniem. Kolejną istotną sprawą jest to aby ilość adresów IP przydzielonych przyciskiem "New Shope" zgadzała się z ilością komputerów "zarejestrowanych" przez identyfikację adresów MAC. Wtedy nikt inny nie będzie mógł się zalogować do serwera DHCP. Przez to jeśli przykładowy typiu zapłacił za korzystanie z Internetu za jeden komputer a podłączy sobie dwa, zdziwi się że coś mu nie zadziała. Oczywiście jeśli gość będzie wystarczająco sprytny ręcznie sobie wszystko wpisze, lecz my zablokujemy wszystkie adresy IP inne niż te przydzielane przez serwer DHCP i dopiero typ będzie miał lipę. Jak zablokować te adresy? Pisałem już o tym przy okazji wykluczania z maskarady adresów publicznych
-->[x]. Wystarczy wprowadzić tam zakresy adresów prywatnych nie przypisywanych przez serwer DHCP. Tak więc w naszym przypadku będą to 192.168.0.0 - 255, 192.168.1.0, 192.168.1.5 - 255, 192.168.2.0, 192.168.2.5 - 192.168.255.255. Co prawda nie jest to zabezpieczenie do końca pewne jednak w większości przypadków w zupełności wystarcza. Chyba lepszym i wydajniejszym sposobem będzie zablokowanie powyższych adresów za pomocą firewalla (tu Packet filter) jednak o tym później.
Po konfiguracji serwera przejdźmy do stacji roboczych. Na każdym kompie w sieci włączamy Panel Sterowania -> Sieć. Następnie wybieramy Protokuł TCP/IP ->Karta sieciowa, w zakładce Adres IP zaznaczamy opcję Automatycznie uzyskaj adres IP. Zawartość kolejnych zakładek (bramy i DNS) powinna być pusta.
Należy tylko pamiętać iż serwer DHCP nie skonfiguruje automatycznie serwera Proxy, oraz o tym iż w komputerze z WinRoute adresy należy przypisać ręcznie.
Na początek przypomnijmy sobie działanie maskarady. To dzięki niej serwer WinRoute potrafi udostępnić Internet korzystając tylko i wyłącznie ze swojego publicznego adresu IP (tego który jest przydzielany dla Modemu - RAS np.: 195.75.16.65). Jak doskonale wiecie w większości przypadków każda stacja robocza w LAN-ie posiada wewnętrzny adres IP (np.: 192.168.1.22) tak zwany prywatny. Tego typu adresy nie mają racji bytu w Internecie, przeznaczone są tylko i wyłącznie do użytku w wewnętrznej sieci LAN. Jeśli chcielibyśmy z takiego komputera oglądnąć np. dowolną stronę internetową, nasze ramki były by automatycznie odrzucane przez router (w naszym przypadku serwer z WinRoute). Po uaktywnieniu translacji adresów router, przekształca adres dowolnej stacji (192.168.1.22) na swój routowalny (195.75.16.65), przesyłając ramkę do Internetu za pomocą któregoś z dostępnych portów (np. 61001). Po odebraniu zapytania serwer WWW który był adresatem naszej transmisji wysyła potrzebne nam informacje do portu 61001. Komputer z WinRoute odczytuje port 61001 i pamiętając że przed chwilą za jego pomocą maskował stację 192.168.1.22 dostarcza jej żądane dane.
Rozbijmy teraz tą sytuację na czynniki pierwsze
- Na komputerze 192.168.1.22 uruchamiamy przeglądarkę WWW i wpisujemy tam adres www.194.196.16.43 (pomijam już całą zabawę z DNS)
- Nasz komputerek wysyła pakiety przez port 7586 (mógłby być inny to wszystko jedno) do komputera 194.196.16.43 z portem docelowym 80 - port na którym działa serwer WWW (wartość docelowa musi byś konkretna), pamiętając przy tym iż wewnętrzny adres routera (bramki) to 192.168.1.1
- Po odebraniu pakietów, router przekształca je na swój adres zewnętrzny 195.75.16.65 i wysyła z portu 61001 na adres serwera WWW 194.196.16.43:80 (:80 oznacza port docelowy)
- Po odebraniu tych informacji serwer WWW czyta sobie co od niego chcemy i wysyła pakiety z danymi zaadresowane tak 195.75.16.65:61001
- WinRoute odbiera dane z serwera WWW i patrzy sobie do tablicy. Jest tam zapisane iż port 61001 i adres 194.196.16.43 były powiązane z naszym komputerem 192.168.1.22
- Za pomocą interfejsu wewnętrznego Router przesyła upragnione dane do komputera
Uważny czytelnik zauważy iż właśnie dzięki portom komunikacyjnym router wie do kogo kierowana jest informacja.
Przeanalizujmy przypadek gdy w naszej sieci znajduje się wewnętrzny serwer WWW o adresie 192.168.1.3 ponadto serwery MAIL oraz FTP (192.168.1.3) i serwer Telnetu - 192.168.1.4. Zewnętrzny adres komputera z Winroute to 206.86.181.25. Cała ta sytuacja jest przedstawiana na rys. poniżej.
Aby oferowane przez nas usługi były dostępne w Internecie należy jakoś poinformować serwer Winroute o ich istnieniu. Skąd ma on przecież wiedzieć, że po wywołaniu portu 80 (WWW) ma on pobierać dane z serwera 192.168.1.3. Do tego właśnie zbożnego celu służy mapowanie portów. Po odpowiednim skonfigurowaniu programu przekazuje on wywołania konkretnych portów np. 80 do adekwatnych stacji w sieci LAN które je obsługują. Reasumując zawsze gdy to ktoś z Internetu korzysta z naszych usług lub wchodzi do naszej gry należy zmapować port (na którym serwis działa) na adres komputera będącego serwerem usługi lub hostem gry.
Okno w którym należy to wszystko wpisać uruchamiamy wybierając polecenie
Settings=>Advanced=>Port Mapping...=>Add... Po pojawieniu się monitu przedstawionego na ilustracji poniżej, konfigurujemy porty oraz stacje na które je mapujemy itd.
Oznaczenia używane w programie:
- Protocol: Protokół pod jakim działa usługa, jeśli nie wiecie jaki najlepiej podać TCP/UDP
- Listen IP: to zostawcie <Unspecifited> (dla dociekliwych - jest to adres IP interfejsu z którego może nastąpić wywołanie np. Modemu)
- Listen Port: Port (lub ich zakres) używany do obsługi danego serwisu
- Destination IP: Adres IP mapowanego komputera z sieci LAN na którym uruchomiona jest usługa/gra/program
- Destination Port: Port na jakim jest uruchomiona usługa (zazwyczaj ten sam co powyżej)
- Allow acces only from: Komputer(y) (znajdujące się w Internecie) uprawnione do korzystania z tej usługi. Należy najpierw je skonfigurować jako grupę w Settings->Advanced->Address Groups.... W przypadku mapowania portów mających na celu umożliwienie tworzenia gier przez danego użytkownika (np. w grze StarCraft) należy wpisać IP Serwera tej gry (tu Battle.Net'u). Podobnie powinniśmy postąpić gdy administrujemy czymś z Internetu. Jeśli nie rozumiecie o co z tym chodzi zostawcie nie zaznaczone.
Porady dla zupełnie zielonych
W żadnym razie nie trzeba mapować portów aby korzystać z usług w Internecie (przeglądanie WWW, poczta, granie w gry na serwerach Internetowych). Jest to potrzebne tylko i wyłącznie gdy wy macie zamiar pozwolić użytkownikom spoza waszego LAN-u na korzystanie z pewnych usług jakie oferujecie. Są to wyżej już wymienione serwery WWW, FTP, Mail, programy do zdalnego zarządzania z Internetu (Telnet, Winroute, PC Anywhere, SSH), gry tworzone przez was (Q2, StarCraft), programy do komunikacji typu NetMeeting itd....
Podczas uruchamiania usługi (np. FTP) na serwerze z WinRoute może się zdarzyć iż nie będzie ona widoczna w Internecie. Wynika to z tego iż serwer także jest maskowany. Aby ją udostępnić należy zmapować port na jakim ona działa (tu 21) na adres dowolnego interfejsu LAN serwera z Winroute.
W przypadku gdy uruchamiacie jakąś usługę (dajmy na to serwer gry Q2) i nie wiecie z jakich portów ona korzysta zawsze można posłużyć się monitorem portów typu NetNonitor . Mówiąc krótko jest to soft pokazujący jakie porty są nasłuchiwane oraz kto i za pomocą jakich portów się z nami łączy. Ów monitor rzecz jasna powinien być uruchomiony na serwerze z usługą którą mamy zamiar udostępnić w Internecie (w naszym przykładzie na komputerze z Q2), a nie na dowolnej innej stacji roboczej w sieci. Jako protokół można nastawiać TCP/UDP.
Obsługa jest następująca:
- Włączacie Internet (jeśli nie jest uruchomiony).
- W programie NetMonitor w okienku Options=>Configuration zaznaczacie Show listening ports.
- Wyłączacie wszelkie sieciowe programy następnie zapamiętujecie (zapisujecie na kartce) porty które widnieją w NetMonitorze.
- Teraz włączacie daną usługę/grę/program którą macie zamiar "mapować".
- W monitorze powinny powyskakiwać jakieś tam nowe porty (np. 8002) - i to są wałaśnie te których potrzebujemy do wpisania w Winroute.
- Jeśli nic nowego się nie pojawiło to oznacza że aby program zadziałał ktoś (np. kolega z LAN-u lub wy sami) musi się do niego połączyć tzn. użyć go. (choć ta sytuacja jest wysoce mało prawdopodobna)
Czasem zdarza się iż nawet po poprawnym zmapowaniu wskazanych portów usługa nadal nie działa. W takim przypadku należy w Winroucie wskazać nieco większy zakres portów niż wynikało to z programu NetMonitor. Dla naszego przykładu będzie to np. 8000 - 8010, niestety na pewno zmniejszy to bezpieczeństwo sieci.
Jeśli Netmonitor okazał się dla was za trudny - przypadek beznadziejny :) mam tu małe zestawienie
Usługa |
Port |
Protokół |
| FTP |
21 |
TCP |
| SMTP (poczta wychodząca) |
25 |
TCP |
| POP (poczta przychodząca) |
110 |
TCP |
| WWW |
80 |
TCP |
| Telnet |
23 |
TCP/UDP |
| Quake2 Server |
8002 |
UDP |
| Quake3 Server |
27960 |
UDP |
| Half-Life Server |
27012 |
TCP/UDP |
| Hostowanie gier na Battle.net |
6112 |
TCP/UDP |
| Hostowanie gier na NetCraft |
1100-1200 |
TCP/UDP |
| Mapowanie nie chce działać pomimo poprawnej konfiguracji |
1-65535 |
TCP/UDP |
Jeśli nie wiecie dlaczego nie możecie hostować w grach tak aby były widziane w Internecie lub nie macie pojęcia dlaczego nigdy nikt was nie wywoła w Netmitingu to właśnie tu jest pole do popisu dla mapowania portów.
Jeśli nic z tego mapowania nie zrozumiałeś ale masz serwer WWW na innym kompie niż ten z Winroute i modemem. Jego adres IP to dajmy na to 192.168.1.3. Nikt z Internetu nie może oglądać twoich stron.
Włącz menu administracyjne Winroute na serwerze z modemem. Następnie wybierz polecenie Settings=>Advanced=>Port Mapping...=>Add... i wpisz tam to co przedstawia obrazek powyżej ten z "Port Mapping | Edit Item" -->[x]. Teraz poklikaj ok. dzięki temu strony będą już widziane w I-necie.
|
Firewall i filtracja pakietów
|
Czy jest jeszcze osoba która nie wie co to jest firewall? Dla samej zasady powiem iż jest to program chroniący nasz serwer przed atakami niepożądanych osób z Internetu. Droga do samej sieci LAN zazwyczaj jest zablokowana przez maskaradę lecz serwer z WinRoute narażony jest na wszelakie ataki takie jak DoS, Trojany itd. Po uaktywnieniu zapory ogniowej (firewall'a) wszelkie próby włamania się lub zawieszenia serwera kończą się fiaskiem a wręcz odbijają się bez echa.
Winroute, jak można było się domyślić, posiada w pełni funkcjonalny zintegrowany Firewall. Aby uzyskać dostęp do okna konfiguracji wybieramy menu Settings=>Advanced=>Security Options...
Po pojawieniu się okna
Security Options, uaktywniamy opcje jak na rys. powyżej, pozwoli to na maksymalne zabezpieczenie serwera. Poniżej opisałem znaczenie kolejnych funkcji
- On incoming ICMP echo request - Za pomocą tej funkcji zabraniamy lub zezwalamy na używanie polecenie ping, route itd. w stosunku do naszego serwera.
- Zaznaczenie send ICMP echo reply zezwala na obsługę protokołu ICMP jednak naraża nas na ataki typu DoS.
- Zaznaczenie drop request (silent mode) nakazuje serwerowi odrzucać wszelkie zapytania ICMP chroniąc nas przed atakami typu Dos <Zalecane>.
- On incoming packet that has no entry in the NAT table - dzięki tej funkcji wszelkie wywołania serwera Winroute z Internetu nie widniejące w tablicy NAT zostają odrzucone. Dla przykładu, jeśli przed chwilą żądaliśmy wyświetlenia jakiejś strony internetowej to serwer WWW ma prawo nam ją przesłać ponieważ jego adres widnieje w tablicy NAT (my go wywoływaliśmy). W przypadku gdy jakiś Stiwen zapuści nam trojana i będzie próbował się z nim połączyć, serwer odrzuci jego żądania gdyż to on nas wywołuje i jego adres nie jest zapisany w tablicy NAT. Nie dotyczy to wywołań na portach które zostały zmapowane przez Port Mapping.
- Send denying packet jest opcją nieco delikatniejszą, po nieautoryzowanym wywołaniu zostaje wysłane ostrzeżenie.
- Zaznaczenie drop packet (silent mode) powoduje całkowite ignorowanie (odrzucanie) "wrogich" pakietów <Zalecane>.
- Incoming UDP packet - Opcja ta ma działanie podobne do poprzedniej z tą różnicą iż dotyczy protokołu UDP.
- Ca n pass through NAT with any source IP address powoduje przesyłanie pakietów nawet jeśli adresat nie widnieje w tablicy NAT
- Zaznaczenie can pass through NAT only if... spowoduje odżucenie wszystkich nieautoryzowanych pakietów UDP <Zalecane>.
- NAT Logging Options - W tym polu zaznaczamy funkcje zapamiętywania w logach programu nieudanych prób dostępu do naszego komputera.
Pisząc o zaporze ogniowej nie sposób pominąć tzw.
logów. Dzięki nim administrator ma dostęp do informacji o działaniu programu, ruchu podejrzanych pakietów oraz poczynaniach użytkowników. Dostęp do zapisanych tam danych uzyskujemy przez menu
Viev=>Logs lub za pomocą za pomocą 3-9 ikonki z menu. Dla nas największe znaczenie ma
Logs History tu bowiem zgromadzone są nie tylko informacje bieżące ale także te ze starszych połączeń. Logi wybiera się tu klikając prawym przyciskiem myszy na białym polu.
Dla nas oczywiście najistotniejszy jest
Security Log zawierający dane o próbach włamań do serwera.
Przejdźmy teraz do tzw. filtracji pakietów. Dzięki tej funkcji ramki wysyłane przez określonych użytkowników z Internetu lub sieci LAN mogą zostać odrzucone. Możliwe jest także zablokowanie obsługi niektórych portów lub połączeń pomiędzy poszczególnymi stacjami za pomocą wybranych protokołów. W naszym przypadku przydać się to może do zablokowania adresów IP z których często następują próby włamania do serwera lub aby ograniczyć dostęp do Internetu dla niektórych użytkowników sieci lokalnej, tak jak to jest przedstawione na przykładzie poniżej.
Ustawień filtracji dokonujemy w menu Settings -> Advanced -> Packet filter (zob. rys. niżej).
Okno konfiguracyjne podzielone jest na część
Incoming dotyczącą pakietów przychodzących do modemu lub adaptera sieciowego oraz
Outgoing dotyczące pakietów wysyłanych przez poszczególne interfejsy serwera. Po podwójnym klinięciu na dane urządzenie np. na kartę sieciową ukazuje się wykaz zastosowanych do niej zasad. Najważniejsze są polecenia umieszczone najwyżej, dyskwalifikując wspólną część poleceń zawartych na samym dole. Idąc za przykładem zamieszczonym na rysunku powyżej, na pierwszym miejscu jest komenda zezwalająca na odbiór przez kartę sieciową pakietów TCP z zakresu 192.168.1.1-15 na wszystkich portach bez względu na ich port i adres docelowy. Poniżej znajduje się komenda zabraniająca odbiór wszystkich pakietów TCP na wszystkich portach. Reasumując dzięki tej funkcji ograniczamy dostęp do serwera WinRoute (Internetu) tylko dala 15 komputerów z sieci LAN o adresach 192.168.1.1-15. Edycji lub dodawania nowych zasad dokonuje się za pomocą przycisków Add, Edit...,Remove.
Przyjrzyjmy się danym wprowadzonym do pierwszej dyrektywy dla Ethernet Adaptera (zob. rys. poniżej).
- Protocol - w tym polu podajemy jakiego protokołu mają dotyczyć ustawienia. Właściwie aby ograniczyć dostęp do Internetu wystarczy zablokować protokół TCP jednak dla bezpieczeństwa można zablokować wszystkie inne dodając kolejne reguły za pomocą przycisku Add w oknie packet filter.
- Source - W tym polu zaznaczamy adresy IP oraz porty (gdy występują) nadawców których reguła ma dotyczyć. W przypadku gdy ma dotyczyć wszystkich w oknie Type zaznaczamy Any Address
- Destination - W tym polu analogicznie podajemy adresatów do których pakiety mają dotrzeć, zazwyczaj nastawiamy tu Any Address
- Action - W tym polu zaznaczamy akcję jaką ma program wykonać w stosunku do opisanych pakietów. Zaznaczenie Premit zezwoli na komunikację opcje Drop i Deny odrzucą pakiety.
Oczywiście po pierwszym uruchomieniu programu w menu
packet filter nie będzie żadnych informacji.
Sens ustawiania czegokolwiek istnieje gdy:
kurcze wpisywało się coś do rejestru jak winroute nie chciał się łączyć ale co??
Artykuł który przeczytaliście nie miał na celu dokładnie opisać wszystkich funkcji programu lecz podać sposób postępowania w kilku popularnych zastosowaniach, efekcie część mało istotnych funkcji pominąłem. Jeśli mimo to czujecie pewien niedosyt radzę zasięgnąć do pomocy programu. Co prawda help nie jest napisany w naszym ojczystym języku lecz przedstawia wszystkie etapy konfiguracji oraz przykładowe sytuacje. Każdy osobnik znający podstawy angielskiego oraz słownictwo używane w Informatyce powinien się po niej poruszać bez problemu. Naprawdę polecam.
Jeśli pomimo dokładnego przestudiowania tekstu nie rozwiązał on wszystkich waszych problemów zawsze możecie przysłać do mnie list lub zapytać na forum. Ponadto nieumiejętność konfiguracji pewnych usług może wynikać z niedostatecznej wiedzy na temat sieci, szczególnie jeśli chodzi o mapowanie portów i firewall. Radzę więc dokładnie zapoznać się z działem [Podstawy].
Na sam koniec musze się pochwalić, jest to jak narazie jedyny opis programu WinRoute w Polsce, do wszystkiego musiałem dochodzić sam, a nie wszystko było takie oczywiste. W tekście pominąłem serwis MAIL, zabiorę się do niego dopiero po tym gdy uzyskam stały dostęp do Internetu.
Część ilustrtacji została zaciągnięta z pomocy programu
Najnowsza wersja - http://www.kerio.com/
Polski help - http://ethernet.internetdsl.pl/pliki_ch/faq-i/winroute_41.rar
