[Windows Server 2012 basics] Урок 10 - RRAS сервер, VPN, NAT, маршрутизация

Подписаться 31 тыс.

Просмотров 38 тыс.

50% 1

Всем привет! В этом уроке будем рассматривать RRAS сервер, который в Windows выполняет роль маршрутизатора, NAT устройства и VPN сервера!
00:00 - Возможности и функции RRAS
6:10 - Замечания по тестовому стенду trainithard
9:50 - Настройка RRAS
11:50 - Маршрутизация
15:00 - NAT
22:05 - VPN
Сайт - trainithard.ru/
Группа ВК: trainithard
Донат WMR R968467889622

Опубликовано:

5 авг 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 87

@rasulovr 7 лет назад

Спасибо,за очень профессиональное и внятное обучение. Удачи и ждём дальнейших видеоуроков.

@Vivavatnik 7 лет назад

Огромнейшее спасибо! давно хотел сделать впнку, пробовал - не получилось. с помощью вашего видео - все ок! Спасибо еще раз! Успехов, во всем!

@user-cs5ry2lc4z 7 лет назад

Хорош! Всё ясно и понятно =) Помогло ибо не знал по настройке. Сам пользуюсь тоже англоязычным сервером.

@user-hs6nx5qt7g 7 лет назад

Александр, огромное спасибо! Единственное понятное видео! Смог настроить

@TrainITHard 7 лет назад

Хаха! Помню когда учился, тоже очень много было непонятно, а материал был сверхсложный весь, т. к. знаний не было для его освоения))) Стараюсь давать материал, чтобы было максимально понятно таким людям, каким я тогда был))

@endspiel 8 лет назад

наконец-то

@DIM171000 5 лет назад

Осень круть спасибо

@nursultanorazbaev4734 4 года назад

Спасибо

@Saveaaa 8 лет назад

спасибо

@evgkol 8 лет назад

Когда продолжение, заждались!

@TrainITHard 8 лет назад

Сегодня выложу кусочек!) Пока пересмотрите урок про сертификаты, без этого будет трудно)

@alexrebell3306 4 года назад

есть возможность настроить доступ только в одну сторону с помощью RRAS?

@Max-Sparrow 5 лет назад

В моём случае по какой-то причине при VPN подключении упорно спрашивает логин/пароль раз за разом, словно я не вверно их ввожу, хотя пользователю доступ разрешён. Пробовал вводить как имя@сервер.local, так и просто имя. Затык вот такой произошёл, пока что пришлось отказаться от затеи реализации маршрутизации трафика vpn пользователей...

@sunvodoley 5 лет назад

Александр, спасибо за то, что делитесь знаниями. Возник вопрос, ответьте пожалуйста. После установки NAT на машине CORE, на других машинах - DC и DC2 пингуется 8.8.8.8, и tracert проходит как нужно. Но если зайти на DC и DC2 в браузер, то пишет, что DNS не доступен и нет доступа к интернету. На DC указан DNS 127.0.0.1, на DC2 указан DNS 192.168.100.2. Если изменить DNS на гугловский 8.8.8.8, то все ОК, интернет работает. Почему так? Ведь инет должен работать и с DNS который настроен на машине DC. Или я не правильно понимаю?

@TrainITHard 5 лет назад

DNS то тоже надо настроить, чтобы он переадресовывал запросы на 8.8.8.8 или на глобальные корневые сервера) сделайте forwarder на DNS

@user-rm1co1qc3r Год назад

Добрый день, если коменты активны, ответьте пожалуйста. Поставил сервер RRAS, ввёл в домен, подключается, назначает айпи, вижу локальные компьютеры. NSLOOKUP работает, но не могу зайти в сетевую шару. Просит данные пользователя. Принудительно поставил DNS сервера внутренние, не помогает. Сталкивались?

@sergeybondarenko6082 4 года назад

Отличные курсы, выкладывайте на Udemy.com

@amirjustice6935 5 лет назад

делаю все по инструкции, пакеты между подсетями не идут. Подсеть DCA 10.10.10.0 и DCB 10.20.20.0. Пинги от клиентов только до RRAS сервера(eth0 10.10.10.1, eth1 10.20.20.1, интернет 192.168.0.116).

@MrAliakseik 5 лет назад

Добрый, застрял на последнем моменте с vpn, не пингуется 192.168.1.200. на основном компе у меня тоже такая же подсеть. маска 24-ая везде. в чем может быть проблема? с основы тоже не пингуется 192.168.1.200? на основе ip адресс 192.168.1.71 на виртуалбох стоит настройка сети - сетевой мост моей сетевой карты

@user-td9fz2sl9o Год назад

Я извиняюсь, решили данную проблему ?

@evgkol 8 лет назад

Александр, у меня при установке RAS ещё и IIS захотел установится, а в уроке у тебя все ставилось без IIS?

@TrainITHard 8 лет назад

Возможно, что у меня уже был установлен IIS, так как перед записью урока я тренируюсь на этом же стенде :) В любом случае, если просит - ничего страшного, можете смело ставить!

@alexzakharchenko8993 6 лет назад

Спасибо за лекции, очень хорошо представлен материал, я такого нигде еще не встречал в свободном доступе. Вопрос по лекции - если мы задаем в неявном виде "enable broadcast name resolution" (allow ras to select adapter)- dhcp не отрабатывает, и машине, которая присоединилась по vpn данные не выдаются. Соответственно остальные dc не пингуются, выхода в интернет через роутер нет. Выходы которые я нашел - задать явно сеть с dhcp или, как у вас в лекции, задать пул адресов вручную. Иначе ip присвается вида 169.254. Почему так происходит? Спасибо.

@TrainITHard 6 лет назад

не подскажу, никогда не пробовал DHCP через RRAS VPN раздавать

@Max-Sparrow 5 лет назад

После этого ролика пошёл гуглить active directory users and computers и на эту тему есть ролик в котором в качестве вступления использован очень громкий и отвратительный писк, а у меня звук стоял на максимум после просмотра этого ролика )) смотрите не нарвитесь.

@eltigalek2851 5 лет назад

Александр, спасибо за Ваши уроки! Прошу уточнить детали по этому уроку: 1. Какие результаты команды "ipconfig /all" для Core, DC и виртуальной машины клиента с IP: 192.168.1.120/24 (36:28)? (не хватает информации по настройкам DNS-серверов на виртуальных машинах) 2. Шлюз 192.168.1.1 - это аналог Вашего роутера?

@TrainITHard 5 лет назад

DNS на DC смотрит. 192.168.1.1 - да это мой роутер. ipconfig нет уже давно, как и этого стенда))

@eltigalek2851 5 лет назад

Достаточно понятно. Спасибо за оперативность.

@nighttray774 6 лет назад

Такой вопрос по созданию VPN подключения, у вас на примере все понятно, указал ip RRAS сервера и все конектиться, а если создавать подключение из внешней сети, какой ip указывать? Внешний? Тогда он сам найдет в сети сервер? Ведь тот же адрес например 192.168.100.1 это адрес внутри сети, внешний комп не найдет ничего по этому ip

@TrainITHard 6 лет назад

Да, указывать внешний. Но нужно еще роутер настраивать, чтобы он пропускал VPN трафик, и транслировал внешний IP во внутренний (NAT).

@headdstrong983 3 года назад

Добрый день. Вопрос такой,и я думаю что неплохо бы уточнить этот момент.Если у нас RRAS в dmz сети.У нас VPN сервер как то должен фиксироваться в AD ?Соответственно,либо он должен быть в домене,либо необходимо пробрасывать какие то порты для связи.Когда настраиваешь RRAS сервер,а нем ra-vpn,служба предупреждает что так как нет связи с КД,админу необходимо самостоятельно занести этот сервер в AD.

@TrainITHard 3 года назад

Вроде бы к RRAS можно подкрутить WAP, или есть какой-то другой нативный прокси. В случае с VPN возможно через NPS proxy делается. Точно не помню - попробуйте поискать в этом направлении.

@user-jn9jr7gh5b 8 лет назад

Добрый день! Подскажите, пожалуйста, может вы сталкивались с таким..Есть ли какая-то возможность бесплатно организовать онлайн-лекцию через Интернет для 500+ пользователей с видео и звуком? Ограничение конференции скайп 25 человек, может есть какая-то площадка с регистрацией курсов или что-то подобное. Заранее благодарю.

@TrainITHard 8 лет назад

Привет, можно OBS поставить для стрима и стримить на youtube например просто.

@user-jn9jr7gh5b 8 лет назад

Совсем забыл про стриминг...Отлично, большое спасибо!

@sergey44544 6 лет назад

Застрял на аутентификации, вроде все методы перепробовал - ошибка 812. Ставлю галку "allow remote systems to connect without authentication" - всё ок, иначе 812. Ни у кого не было такого спецэффекта?

@ivanovivan4806 5 месяцев назад

всегда пользуйтесь русской виндой ибо замучаетесь переводить все эти настройки. афффтор находится под гнетом иноземщины.

@khudyakov Год назад

VPN не подключается. Просто сбрасывает подключение(

@AlexM_1996 5 лет назад

Извините за глупый вопрос, NAT как то зависит от DHCP? Я установил NAT, прописал правильные настройки на всех виртуалках, но интернет на других машинах в локалке так и не появился. Но как только я включаю DHCP сервер с такими же настройками, как прописывал вручную, все начинает работать.

@TrainITHard 5 лет назад

Нет не зависит. Но сеть включая DHCP уже должны быть настроены.

@user-bu2zb2fi9y 2 года назад

Здравствуйте. Не могли бы Вы подсказать решение одной задачки? Имеется сервер 2019 с тремя сетевухами. Одна смотрит в интернет, а 2 других - в локальный сети 1 и 2. Так вот, задача сделать так, что бы обе сети могли ходит в интернет и что бы 1-я сеть могла видеть 2-ю, и в то же время 2-я не могла видеть 1-ю. Самый простой вариант - это сделать так, что бы первая сеть была тоже за НАТом по отношении ко второй. Но как поднять 2-й нат в виндовс сервер - никак не найду. Был еще вариант использовать файервол встроенный, но что-то поверхностно просмотрев в эту сторону сложилось впечатление, что он не умеет обрабатывать роуты. Или я ошибаюсь?

@TrainITHard 2 года назад

Встроенный фаервол действительно не умеет. Возможно в RRAS получится сделать так в секции с NAT, но не поручусь.

@grey7593 2 года назад

Привет, эт все конечно классно, но как использовать vpn c отключённой галкой на вкладке ip settings, если отключаешь этот пункт "use default gateway on remote network" впн на стороне пользователя подрубается, но не видит ресурсов локальной сети 192.168.69. буду признателен если поможете.

@grey7593 2 года назад

Та же проблема, дайте пожалуйста решение.

@TrainITHard 2 года назад

не очень понял. если имеется в виду, что без этой галки нет доступа к локальным ресурсам - то 100% маршруты не прописали

@user-bp7ju1jv5x 8 лет назад

Добрый день, Александр! Очень всё хорошо объясняете, большое спасибо! Ответьте, пожалуйста, на такой вопрос: если есть наклейки и лицензия Microsoft Open License, в которой указан номер лицензии, то как определить ключ к Windows 7? Жесткие диски не восстановить, и ключ нигде не сохранен. Если можно, то сделайте, пожалуйста, урок по лицензированию Microsoft, хотя бы что-то основное. И еще раз спасибо за Ваш труд!

@TrainITHard 8 лет назад

Добрый день! Честно говоря не очень хорошо знаком с такими вопросами лицензирования, я думаю что можете в мс попробовать позвонить!

@user-bp7ju1jv5x 8 лет назад

Добрый день, Александр! Спасибо за ответ! Спасибо, что делитесь своим опытом, хорошие уроки.

@sergtaras434 8 лет назад

Александр, вы обновили свою рабочую станцию до windows 10? Да,нет,почему? Спасибо

@TrainITHard 8 лет назад

Нет, не обновлял. Мне нравится пуск 8-ки)) Недавно узнал что в 10 такое же можно сделать, поэтому планирую обновляться.

@evgkol 8 лет назад

так все же PPTP использовать в enterprise с точки зрения безопасности можно, если нет, то что тогда сейчас чаще всего используют?

@TrainITHard 8 лет назад

PPTP только на крайний случай. Я его настраивал для примера, так как настройка - проще некуда :) Можно использовать L2TP или OpenVPN например.

@aleks9169 6 лет назад

Чего то не увидел Ipsec вкладки в видео на сервере или он совмещён в L2TP, типа 2 в 1

@keldtog1651 2 года назад

Понимаю что занимаюсь нпкропостингом, но и 4-5 лет назад, в чем смысл RRAS сервера? Зачем маршрутизацию и VPN поднимать на винде? Есть ли преимущества?

@TrainITHard 2 года назад

достаточно просто и без доп. затрат. конечно в любом более-менее крупной компании такого вы не увидите

@evgeniitaiberi9357 5 лет назад

Здравствуйте! Установил на виртуалку Windows Server 2012 новую версию трафик Инспектор(прокси сервер, ip 10.1.0.8/24) для теста. Хочу прокинуть статический маршрут только хоста с ip адресом 10.1.21.62/21 шлюз 10.1.23.254(vlan 100) через 10.1.0.8/24. Как это маршрут прописать? Для подсети понятно. А вот для конкретного хоста? По умолчанию все ходят через прокси сервер 10.1.0.10/24 (тоже стоит трафик инспектор).

@TrainITHard 5 лет назад

Не знаю, что за софт, сам маршрут на уровне ОС для одного хоста прописать легко: route add -p 10.1.21.62 mask 255.255.255.255 10.1.0.8 metric 1

@evgeniitaiberi9357 5 лет назад

спасибо

@kana3027 Год назад

Подскажите пожалуйста для чего в схеме оставили внешний DNS, ведь уже есть внутренний?🤔

@TrainITHard Год назад

Разрешать внешние домены?)

@andreygrebenkin312 4 года назад

Подскажите пожалуйста, настроил впн соединение все работает, но в роутере пришлось открыть порт (1234) и как вы перебросил его на 3389. Смотрю в журнале безопасности каждые пару минут пытаются подключиться разные пользователи (админы, юзеры) таких пользователей у меня нет, ну и там написано отказ в аудите. Как это предотвратить думаю рано или поздно сломают.

@TrainITHard 4 года назад

Такое часто бывает, например на публичных сетях датацентров или крупных провайдеров - обычный перебор. Чтобы от этого избавиться нужно ограничить доступ к порту только для тех IP, откуда вы планируете на него заодить извне.

@andreygrebenkin312 4 года назад

@@TrainITHard Подскажите еще пожалуйста, так как я совсем не опытный пока еще пользователь. Схема такая: стоит сервер 2012 за роутом, к нему в локальной сети подключены 4 пользователя и работают через настроенную службу РДП (рабочие компы с 1с и работают с кассами, база на сервере). Сейчас мне надо подключить 2 пользователя с интернета через ВПН (для 1с условие находиться всем в одной локальной сети) . То есть мне нужно настроить Active Directory Domain Services и соответственно потом настроить ВПН? При этом что будет с локальными пользователями и настроенным моим рабочим столом, в уроке 5 вы говорите в домене не может быть локальных пользователей, спасибо!

@TrainITHard 4 года назад

@@andreygrebenkin312 можно и без домена VPN поднять

@mickbarrett7742 4 года назад

странно, что урок rras 10й, а не 3й или 4й, сейчас в 90% контор у которых большинство юзеров должны иметь доступ в интернет, как минимум было бы целесообразно настраивать nat после dhcp&dns

@andy4744 6 лет назад

Не пойму почему машина CORE с двумя интерфейсами 192.168.100.0/24 и 192.168.10.0/24 смотрит в один "тупой" неуправляемый свитч, то же самое и с DC и DC2, или для простоты заведомо предполагается, что свитч "умный" и на нем настроены VLANы? Типа сетка 192.168.100.0/24 в VLAN1, а 192.168.10.0/24 - в VLAN2? При маске /16 все ок, но с /24 то?

@TrainITHard 6 лет назад

В уроке мы рассматриваем маршрутизацию со стороны ОС. Для ОС сети ...100.0/24 и ...10.0/24 - разные, а значит пакеты для другой сети ОС будет направлять в роутер. Если сделать сеть /16, то ОС будет считать обе адресации принадлежащими одной сети и роутер задействован не будет в принципе. Соответсвенно, роль свича тут - просто доставлять пакеты, а разными адресациями мы регулируем, куда именно эти пакеты будут идти.

@user-qz8ie2ff4z 5 лет назад

Всегда пользуюсь русской виндой и еще не было проблем.Хотя с чего бы она была.

@user-ke5ih3qz5c 4 года назад

Спасибо, только громкость ужасная (((( первые уроки прекрасный звук был.

@AntonioBenderas 7 лет назад

*У меня NAT не работает( Клиенты сервер видят, а в интернет не ходят( Куда копать?*

@TrainITHard 7 лет назад

Попробуйте для начала самое простое - перенастроить RRAS. Проверьте какой шлюз на клиентах. Может не работает не NAT, а DNS? - вот вам несколько вопросов для первичного осмотра)

@mikhailb1011 4 года назад

а кто-нибудь подскажет как подключить телефон на андройд через этот ВПН?

@TrainITHard 4 года назад

Под PPTP вроде встроен клиент, для остального качать клиент какой-нибудь

@user-lz5or7zg9s 3 года назад

Очень полезны Ваши уроки, однако с этим не все ясно. Нет настроек шлюзов адаптеров сетей 10 и 100 на CORE.

@TrainITHard 3 года назад

Шлюз может быть только один - по сути это просто маршрут для сети 0.0.0.0/0. Туда отправляются все пакеты, для которых нет более приоритетных маршрутов. В данном случае шлюз должен быть выставлен на интерфейсе в интернет.

@romandobzhanskiy5619 5 лет назад

Сам сказал что PPTP старое несекьюрное дно, но на его пример сконфигурировал VPN

@magmaster4 5 лет назад

100500 встроенных языков, но все сидят на английском?В двух словах, какие проблемы может принести русская локализация?

@TrainITHard 5 лет назад

Иногда возникают специфичные проблемы - например с добавлением фантомной раскладки на RDS сервере. Все более-менее сложные проблемы гуглятся нормально только на английском. Ну и читать сложные гайды (большинство коих опять же на английском) и потом искать-переводить русские кнопочки тоже не очень удобно. Мне, к примеру, тупо сложно делать что-то новое на русской винде из-за этого.

@magmaster4 5 лет назад

@@TrainITHard во всех офисах встречал только русскоязычную. Может где то в глубинах дата центров яндекса и майл ру, да и то, там скорее линь.

@TrainITHard 5 лет назад

@@magmaster4 например, почти в любом представительстве крупной западной компании вы не увидите рус. винду. А рассматривать небольшие конторы для работы я не рекомендовал бы администратору - как правило, развитие в них очень быстро себя исчерпывает.

@magmaster4 5 лет назад

@@TrainITHard в боевом радиусе 500 км нет благодатных мест )