Публикация сервисов внутренней сети для доступа из Интернета (пробос портов)

При настройке Traffic Inspector, на компьютере включается NAT - механизм, который обеспечивает «раздачу Интернета» на пользователей внутренней сети.

Одновременно, осложняется доступ из Интернета к компьютерам, расположенным за шлюзом Traffic Inspector во внутренней сети.

Настройку доступа к серверам часто называют «пробросом портов» или «публикацией внутренних сервисов для доступа из Интернет».

Продемонстрируем, как проброс портов настраивается в Traffic Inspector. Сервер во внутренней сети, на который будет осуществляться проброс, далее будем называть «целевой сервер». Мы будем публиковать веб-службу, выполняемую на целевом сервере. Веб-служба использует стандартный порт TCP/80.

Схема нашей демонстрационной сети следующая:

_images/scheme.png

Предварительная настройка

Существует ряд действий, которые полезно выполнить перед тем, как переходить к непосредственной публикации службы:

  1. Убедитесь, что у целевого сервера прописаны адекватные настройки TCP/IP (IP-адрес, маска, шлюз, DNS-серверы).
  2. Выключите на целевом сервере сетевой экран Windows или создайте правило сетевого экрана Windows, которое позволит подключаться на порт TCP/80.
  3. C целевого сервера, протестируйте достижимость шлюза Traffic Inspector:

Используйте команду:

ping IP_АДРЕС_LAN_АДАПТЕРА_TI -t
  1. Со шлюза Traffic Inspector, протестируйте достижимость целевого сервера:

Используйте команду:

ping IP_АДРЕС_ЦЕЛЕВОГО_СЕРВЕРА -t
  1. Осуществите тестовое подключение к веб-серверу, выполняющемуся на целевом сервере, с любой машины во внутренней сети, например, со шлюза Traffic Inspector.
  2. На шлюзе Traffic Inspector, временно выключите службу Traffic Inspector

Снимите флажок Блокировать внешнюю сеть при остановке службы в разделе [Корень консоли\Traffic Inspector []\Контекстное меню\Свойства\Сетевой драйвер] и затем выключите службу Traffic Inspector через оснастку services.msc. При такой настройке Traffic Inspector временно не будет учавствовать в обработке трафика.

С целевого сервера, выполните пинг на любой ресурс в Интернете.

ping 8.8.8.8 -t
ping ya.ru

Данными действиями мы проверяем, что механизм маршрутизации / NAT на шлюзе Traffic Inspector настроен и работает.

Если пинги не проходят, Вам нужно вернуться к разделам Подготовка операционной системы перед установкой Traffic Inspector и Работа с мастером настройки (Конфигуратор).

Если пинги проходят, то маршрутизация / NAT на шлюзе Traffic Inspector работают как надо. В таком случае, вновь включите службу Traffic Inspector через оснастку services.msc и переходите к настройке проброса.

Настройка проброса

Чтобы работал проброс, должны быть выполнены три основных требования:

  1. Для целевого сервера создана учетную запись и целевой сервер аутентифицирован в Traffic Inspector.
  2. Создано правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT).
  3. Создано разрешающее правило во внешнем сетевом экране программы Traffic Inspector.

Данные действия могут быть выполнены вручную или с помощью Мастера публикации служб.

Ручная настройка проброса

  1. Создайте правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT) на шлюзе Traffic Inspector.

Проброс в ICS настраивается в свойствах внешнего сетевого подключения (подключения, по которому «приходит Интернет»), вкладка Доступ, кнопка Настройка.

_images/ics.png

Проброс в RRAS настраивается в оснастке rrasmgmt.msc, в разделе дерева Преобразование сетевых адресов (NAT), в свойствах сетевого подключения WAN, на вкладке Службы и порты.

_images/rras.png

В правиле проброса нужно указать IP-адрес целевого сервера (в нашем примере, это адрес 192.168.137.17), и входящий и исходящий порт. Чаще всего, указывается одинаковый входящий и исходящий порт.

_images/portforward_rule_rras.png

Примечание

Нужно запомнить «входящий порт», так как именно этот порт нужно будет разрешить во внешнем сетевом экране Traffic Inspector и именно на него нужно будет подключаться со стороны Интернета после настройки проброса.

Примечание

На самом шлюзе Traffic Inspector никто не должен занимать («слушать») порт, выбранный вами как «внешний / публичный / входящий» в правиле проброса.

  1. Убедитесь, что целевой сервер авторизован в Traffic Inspector

Если для целевого сервера уже заведена учетная запись, то убедитесь, что целевой сервер авторизован в Traffic Inspector. Соответствующая информация отображается в Мониторе Работы, который доступен в [Корень консоли\Traffic Inspector []\Учет трафика\Монитор работы].

При необходимости, создайте учетную запись для целевого сервера с авторизацией по IP-адресу.

_images/auth_state.png

  1. Создайте разрещающее правило во внешнем сетевом экране Traffic Inspector.

Во внешнем сетевом экране Traffic Inspector необходимо открыт порт, который был указан как «внешний / публичный / входящий» в правиле проброса.

Правила внешнего сетевого экрана создаются в [Корень консоли\Traffic Inspector []\Правила\Правила внешнего сетевого экрана].

Подробнее, процесс открытия порта во внешнем сетевом экране описан в разделе Настройка сетевого экрана Traffic Inspector : Правила внешнего сетевого экрана.


Настройка проброса с помощью Мастера публикации служб

  1. В Traffic Inspector имеется встроенный мастер, который упрощает проброс портов. Мастер доступен в разделе [Корень консоли\Traffic Inspector []\Сервисы\Публикация служб].
_images/launch_wizard.png

  1. На вкладке Наименование задайте название правила публикации.
_images/rulename3.png

  1. На вкладке Параметры публикации задайте параметры публикации.

Укажите IP-адрес целевого сервера во внутренней сети. В нашем примере - это 192.168.137.17.

В выпадающем списке, выберете шаблон HTTP Server (TCP/80).

_images/portforward_settings_1.png

  1. На вкладке Дополнительные параметры задайте дополнительные параметры.

Мастер автоматически создаст новую учетную запись с аутентификацией по IP-адресу для целевого сервера, если установлен флаг Создать новое правило сетевого экрана.

Мастер автоматически создаст новую учетную запись с аутентификацией по IP-адресу для целевого сервера, если установлен флаг Создать нового пользователя.

_images/portforward_settings_2.png

Тестирование возможности подключения к опубликованной службе

Осуществите подключение со стороны Интернета к веб-серверу во внутренней сети.

При подключении, вы будете указывать IP-адрес WAN-интерфейса шлюза, как если бы вы хотели подключиться к самому шлюзу.

В качестве порта нужна указывать порт, настроенный как “входящий / публичный порт” в правиле проброса.

В процессе проброса, адрес назначения будет переписан на адрес целевого сервера.

Серверное ПО на целевом сервере должно ожидать подключения на порт, который задан как «исходящий порт» в правиле проброса.