Оригинал статьи смотрите на www.ntgres.pssr.ru
Габов Евгений
В настоящем документе описаны необходимые действия по установке и настройке оборудования и программного обеспечения для организации шлюза в Интернет с помощью Windows NT 4.0 Server программного маршрутизатора Wingate 2.0e из локальной вычислительной сети. Уверены, что наш опыт поможет сохранить вам массу времени, которое вы потратите с большей пользой путешествия по Интернет. Если же вы обладаете лучшим опытом и знаниями и обнаружите в этом документе какие-либо неточности или ошибки, то, пожалуйста, сообщите об этом по адресу gabov@ntgres.pssr.ru.
Если у вас есть локальная вычислительная сеть (ЛВС), выделенный канал до провайдера и соответствующий модем, и вы хотите подключить к Интернет ваших пользователей, выставить свои сервера Web и Ftp в Интернет для широкого доступа, то в качестве шлюза в Интернет можно использовать компьютер с Windows NT 4.0 Server с подключенным к нему модемом, настроенным на работу по выделенному каналу, и с установленным на сервере Программным маршрутизатором Wingate 2.0e (одновременно выполняющим роль прокси-сервера). Ну а для непосредственной работы в Интернет можно использовать, например, Броузер MS Internet Explorer 3.02 или 4.01.
Для организации шлюза в Интернет с помощью Windows NT 4.0 Server выполните в указанной последовательности следующие Пункты:
Каждый компьютер в вашей ЛВС должен иметь свой уникальный IP-адрес. Эти адреса бывают двух типов "белые" и "серые".
Белый IP-адрес - это обычный адрес компьютера в Интернет. Компьютер с белым IP-адресом по протоколу TCP/IP доступен любому любому другому компьютеру, именно поэтому существует возможность несанкционированного доступа к нему из Интернет.
Серые IP-адреса зарезервированы для использования в Интрасетях. Гарантируется, что эти адреса остаются невидимыми для Интернет, поэтому использование серых IP-адресов внутри предприятия ограждает от неприятностей, связанных с попытками несанкционированного проникновения во внутренние сети извне. Серым адресам отдана, в частности, 256 сетей класса С 192.168.0.0 ... 192.168.255.255, имеющих маску 255.255.255.0.
Советуем выбрать для использования в вашей ЛВС одну из сеток серых IP-адресов, например, 192.168.28.0 ... 192.168.28.255 с маской сети 255.255.255.0. Присвойте каждому своему компьютеру, включая и компьютер-шлюз Windows NT 4.0 Server, уникальный IP-адрес из этой сетки. Рекомендуем использовать статические IP-адреса, т.е. постоянные адреса, закрепленные за конкретными компьютерами, что облегчит контроль за доступом кождого вашего сотрудника в Интернет. Только не используйте IP-адреса оканчивающиеся на 0 и 255, они используются как широковещательные адреса, обычно распознаваемые всеми компьютерами.
Не бойтесь, что при всех серых IP-адресах в вашей ЛВС вы не сможете выставить в Интернет свой Web или Ftp-сервер. Серые IP-адреса привязаны к сетевым картам компьютеров, а белый IP-адресом, который провайдер назначит вам, или который вы укажете сами при создании Соединения до провайдера (см. Пункт 6 настоящего документа), привязан к модему, т.е. к сервису RAS. Wingate 2.0e автоматически поддерживает маршрутизацию между сервисом RAS и Internet Infornation Server, поэтому ваш Web-узел будет доступен из Интернет с бюджетом Internet Server Anonymous Access. Для вашей безопасности не забудьте поменять имя пользователя и пароль этого бюджета.
Установите на компьютере выполняющем роль шлюза в Интернет Windows NT 4.0 Server в режиме простого файлового сервера. Это, во-первых, разгрузит сервер от забот по управлению доменом, во-вторых, значительно снизит возможные неприятности, связанные с возможным вторжением извне, в-третьих, развяжет вам руки в случае необходимости произвести перезагрузку сервера при установке программных продуктов или ошибках в работе системы.
В процессе стандартной инсталляции Windows NT 4.0 Server не забудьте установить протокол TCP/IP и задать IP-адрес, пользуясь рекомендациями Пункта 1 настоящего документа. Советуем разрешить и установку встроенного Web-узла (WWW, FTP, Gopher). В этом случае в процессе инсталляции будут установлены MS Internet Information Server (MS IIS) версии 2.0 и MS Internet Explorer (MS IE) версии 2.0, на период проверок и настроек шлюза ими вполне можно пользоваться.
Но после стандартной инсталляции Windows NT 4.0 Server настоятельно рекомендуем установить Service Pack 3 для сервера, при этом вы получите, в частности, MS IIS версии 3.0. Не лишним будет установить на MS IIS модуль активных страниц ASP .
Войдите через значок My Computer на рабочем столе в папку Control Panel и щелкните по значку Network. В открывшемся окна Network выберите страничку Protocols и нажмите на ней кнопку Add. В появившемся окне списка возможных протоколов Select Network Protocol укажите TCP/IP Protocol и нажмите кнопку ОК.
В результате список протоколов в окне Network пополнится строкой TCP/IP Protocol. Выделите эту строку и щелкните по кнопке Proporties. В открывшемся окне Свойства: Microsoft TCP/IP в поля IP Address и Subnet Mask введите серый IP-адрес вашего сервера и маску вашей сети, соответственно.
Окончательно последовательно нажимая кнопки ОК закройте все окна. После перезагрузки сервера установленный протокол и адрес начнут функционировать.
Войдите через значок My Computer на рабочем столе в папку Control Panel и щелкните по значку Network. Внутри открывшегося окна Network выберите страничку Services и нажмите на ней кнопку Add. В открывшемся окне со списков возможных сервисов Select Network Service выделите Remote Access Service и нажмите кнопку ОК. В результате в списке сервисов на страничке Services появится новый сервис Remote Access Service.
Если при установке сервиса RAS появится окно с запросом на установку модема, то можно отказаться от этого на данном этапе. Установка модема для выделенного канала описывается в Пункте 5 настоящего документа.
Окончательно последовательно нажимая кнопки ОК закройте все окна. После перезагрузки сервера установленный RAS начнет функционировать.
Выделенный канал может быть 2-х или 4-х проводным. В соответствии с этим следует выбирать модем. Но далеко не каждый модем может работать по выделенному каналу. Обладающие такой возможностью модемы, как правило, несколько дороже обычных. К тому же одни из них могут работать только по 2-х проводному, а другие - только по 4-х проводному выделенному каналу. Часто даже продавцы модемов не очень хорошо разбираются в таких особенностях, поэтому будьте внимательны при покупке модема. Лучше всего модем купить у провайдера или согласовать с ним тип покупаемого модема - это обеспечит вам помощь со стороны провайдера в установке, настройке модема и поддержке вашего соединения с Интернет в дальнейшем, да и у вас будет меньше хлопот.
После подключения модемов к выделенному каналу они автоматически соединяются между собой, необходимо только, чтобы один из них был в режиме "Запрос", а другой - в режиме "Ответ". Узнайте у провайдера режим его модема и установите свой модем в другой режим. Указанные режимы для разных модемов устанавливаются по-разному, поэтому следует обратиться к документации или за консультацией к провайдеру.
Windows NT 4.0 Server последний не может видеть модем, подключеный к его СОМ-порту модем в режиме выделенного канала. Для преодоления этого можно использовать драйвер MDMCBXNT.INF. Документация на драйвер находится внутри тела самого драйвера, ее можно просмотреть любым текстовым редактором. Скопируйте этот драйвер в известный вам каталог и начните процедуры установки модема на вашем сервере. Во время установки модема на определенном шаге вместо выбора модема из списка задайте установку с диска и укажите описанный выше выше драйвер. Все будет выглядеть так, как-будьто был установлен модем NT Direct Connection.
Войдите через значок My Computer на рабочем столе в папку Control Panel и щелкните по значку Modems. Внутри открывшегося окна Modems Properties нажмите кнопку Add. В новом окне Install New Modem поставьте галочку в поле Don't detect my modem и нажмите кнопку Next. В появившемся окне со списком модемов нажмите кнопку Have Disk, а затем в окне Install From Disk нажмите кнопку Browse и укажите файл драйвера, после чего нажмите кнопку ОК. В новом окне списка модемов в левом ряду выберите Virginia Tech, а в правом - NT Direct Connection и нажмите кнопку Next. Дальше укажите СОМ-порт, на который устанавливаете модем, и нажмите кнопку Next. Завершите процедуру установки драйвера нажатием кнопки Finish.
Осталось задать свойства нашего мифического модема. Для этого внутри открытого окна Modems Properties выделите строку NT Direct Connection и нажмите кнопку Properties, а затем в окне NT Direct Connection Properties установите в поле Maximum speed значение равное 115200 и нажмите кнопку ОК. Окончательно закройте окно Modems Properties нажав кнопку Close.
Войдите в папку My Computer и щелкните по значку Dial-Up Networking. Внутри открывшегося окна Dial-Up Networking нажмите кнопку New. Если у еще не было телефонной книги, то сначала подтвердите ее создание а в открывшемся окне наберите название имя вашего сервера в поле Name the new..., поставьте галочку в поле I know all about... и нажмите кнопку Готово.
Появится окно New Phonebook Entry.
Выберите страничку Basic. В поле Entry Name введите название нового соединения; в поле Phone number введите цифру 1 (цифра значения не имеет, но поле не должно быть пустым); в поле Dial using укажите модем NT Direct Connection.
Выберите страничку Security и поставьте точку в кнопке Accept any authentication including clear text.
Выберите страничку Server и уберите галочки в кнопках IPX/SPX compatible, NetBEUI и Enable PPP LCP extensions. В поле Dial-up server type должен быть указан протокол PPP: Windows NT, Windows 95 Plus, Internet.
Щелкните по кнопке TCP/IP Setting на страничке Server. В открывшемся окне PPP TCP/IP Settings поставьте точку в кнопке Specify name server addresses и введите в поле Primary DNS IP-адрес сервера доменных име провайдера. Точка в поле Server assigned IP address означает, что белый IP-адрес вашему узлу провайдер назначит сам. Такой вариант следует предпочесть, если у вас нет опыта работы с белыми адресами и сетевыми масками. Если же вы хотите самостоятельно управляться со всеми адресами, то поставьте точку в поле Specify an IP address и введите белый IP address выданный вам провайдером. Но в обоих случаях вы все-равно должны согласовать с провайдером способ назначения адреса. Нажмите все кнопки ОК и вернитесь к окну Dial-Up Networking.
В окне Dial-Up Networking нажмите кнопку More. В появившемся меню выбирете User preferences. Откроется окно дозвонки. Поставьте галочку в поле Redial on link failure, что заставит ваше Соединение автоматически восстановитьсвязь с провайдером в случае ее обрыва. Число попыток дозвона поставьте в поле Number of redial attempts, а число секунд между попытками - в поле Seconds between redial attempts. В первом поле мы поставили 1000, а во втором - 5. Нажмите кнопку ОК и вернитесь к окну Dial-Up Networking.
Теперь можете звонить - просто нажмите кнопку Dial.
Настройку броузера на сервере следует согласовать с провайдером. Если у него стоит прохи-сервер, то понадобиться настроить работу броузера через этот прохи-сервер.
Для этого, например, в броузере MS IE 3.02 rus необходимо зайти на страничку Подключение через меню Вид/Параметры. Поставить галочку в кнопке Подключение через прохи-сервер и ввести IP-адреса для Прокси-серверов HTTP, FTP, Secure, Gopher и Socks и соответствующие им порты. Сами адреса и порты необходимо получить у провайдера.
В нижней половине страницы находятся Исключения. Здесь нужно указать IP-адреса, для которых не надо использовать прохи-сервер. В первую очередь занесите сюда серые IP-адреса своей сети, например 192.168.28.*. Через точку с запятой можете внести адреса, которые укажет вам провайдер, например, адреса его домена pssr.e-burg.su. Не забудьте поставить здесь же галочку в кнопку Локальных адресов (intranet), это позволит обращаться к своим внутренним компьютерам не по IP-адресам, а по их сетевым именам.
Броузеры клиентов вашей сети будут работать через ваш прохи-сервер, функции которого выполняет программный маршрутизатор Wingate 2.0e. Поэтому на страничке Подключение надо указать в качестве IP-адреса прокси-серверов HTTP, FTP, Secure и Socks адрес вашего компьютера, на котором Wingate 2.0e установлен, а в качестве порта для HTTP, FTP, Secure указать 8081, а для Socks - 1080. Более подробно изложено в Пункте 8 настоящего документа. Все долно выглядеть как в таблице ниже.
Type | Address of proxy to use | : | Port |
HTTP: | wingate | : | 8081 |
Secure: | wingate | : | 8081 |
FTP: | wingate | : | 8081 |
Gopher: | : | ||
Socks: | wingate | : | 1080 |
На нашем FTP-сервере можно найти в каталоге "Internet/Wingate2" два файла:
wg2ent.exe (1.4 Mb) - инсталляция программного маршрутизатора Wingate 2.0e;
wg2reg.exe (154 k) - регистратор программного маршрутизатора Wingate 2.0e.
Просто запустите программу wg2ent.exe. Диалог инсталляции достаточно ясный, если хорошо представлять, что делается. Например, для нас сначала не все понятно. Мы советуем ничего не менять по ходу диалога в большинстве, просто нажимайте кнопку Next, а в конце кнопку Begin. Все изменения проще сделать уже после установки программы. Но в двух окнах чуть притормозите.
В окне DNS Setting в поле DNS Server введите IP-адрес DNS-сервера вышего провайдера.
В окне Wingate Client Utility в поле IP введите IP-адрес сетевой платы вашего компьютера, на котором вы устанавливаете Wingate. В поле Name можете оставить стоящее там по умолчанию имя wingate, по этому имени программы с компьютеров клиентов будут обращаться к маршрутизатору Wingate 2.0e.
После установки маршрутизатор готов к работе, а в основном меню задач создана папка Wingate 2.0. Воспользуйтесь ею для регистрации программы. Для этого:
Замечание. Wingate 2.0e устанавливается под NT как сервис Qbic Wingate Engine.
Wingate 2.0e - могучая машина. Вместе с ним приходит подробный Help на английском языке. Для серьезного пользователя это руководство к действию. А что же требуется знать нам, обычным пользователям, для которых Wingate 2.0e лишь одна из многих программ сопровождаемых в ходе работы?
Главное окно программы состоит из двух половинок. В левой половинке отражаются пользователи шныряющие через Wingate 2.0e в Интернет, видны страницы, которые они посещают и т.п. В правой - состояние и установки программы.
Для нормальной работы Wingate 2.0e необходимо, минимум, сделать настройку сервисов (Services), прописать имена пользователей (Users) и IP-адреса пользователей (Locations).
Шелкните мышкой по каждому из сервисов и в открывшихся окнах на первой страничке General поставьте галочку в кнопку Bind to specific interface, а в поле правее этой кнопки поставить IP-адрес сетевой карты компьютера, на котором вы поставили Wingate 2.0e.
Два сервиса WWW Proxy Server и FTP Proxy Server требуют дополнительной настройки.
Во-первых, на страничке General измените номера портов в поле справа от кнопки Accept connections on port. Для WWW установите порт 8081, а для FTP - 8021. Номера портов могут быть любыми, но больше 1023. Меньшие номера зарезервированы для целей, поэтому их лучше не использовать.
Во-вторых, на страничке Non-proxy Requests поставьте точку в кнопку Pipe requests through to predetermined server, в поле Server введите сетевое имя вашего компьютера с Wingate 2.0e, а в поле Port - для WWW поставьте число 80, а для FTP - 21. Это стандартные порты для вашего Web-сервера на этом компьютере. Настройки на этой страничке позволяют сделать ваш Web-сервер видимым из Интернет.
В-третьих, на страничке Connection поставьте точку в кнопку Through cascaded proxy cerver, а поля Server и Port занести IP-адреса (или доменные имена) соответствующих прохи-серверов провайдера и их порты. Эти настройки нужны, если провайдер использует прохи-сервера.
Wingate 2.0e не поддерживает список пользователей Windows Nt 4.0 server, а ведет свой. По умолчанию на Wingate 2.0e определены только пользователи Guest и Administrator. Это можно увидеть нажав значок Users в правой половинке основного окна.
Для ввода нового пользователя надо щелкнуть по значку Users, затем воспользоваться пунктами меню "Tools / New / User" для вывода на экран картоки пользователя.
Для ввода IP-адреса пользователя надо щелкнуть по значку Locations, затем воспользоваться пунктами меню "Tools / New / Location" для вывода на экран картоки пользователя.
Замечание. Без выделения значка Users, Groups, Locations и Services почему-то пункт меню New оказывается блокированным.
Рекомендуем обязательно прописать всех пользователей. В противном случае неизвестный пользователь будет считаться пользователем Guest, а больше одного такого Wingate 2.0e через себя не пускает.
ВАЖНО. После всех изменений в настройках Wingate 2.0e сохраните эти изменения через меню "File / Save changes".
В броузерах на клиентских компьютерах в вашей ЛВС после установки Wingate 2.0e в качестве прохи-серверов следует везде писать wingate или то название, которое вы дали при инсталляции. А порты указать, как в следующей таблице.
Type | Address of proxy to use | : | Port |
HTTP: | wingate | : | 8081 |
Secure: | wingate | : | 8081 |
FTP: | wingate | : | 8081 |
Gopher: | : | ||
Socks: | wingate | : | 1080 |
Windows NT 4.0 Server It's Cool !
В комплект поставки Windows NT 4.0 Server входит все необходимое для полноценной работы в Интернет:
Кроме всего этого сервер может выполнять роль простого маршрутизатора для раздачи Интернет по ЛВС. Правда, мы этого пока использовать не будем.
Маршрутизатор, включенный между модемом и ЛВС, предназначен для направления IP-пакетов из Интернет к определенным пользователям ЛВС и наоборот. С точки зрения пользователя маршрутизатор занимается раздачей Интернет по ЛВС.
Лучше всего подключать ЛВС к Интернет через аппаратный маршрутизатор, который представляет из себя специализированный компьютер и имеет порты подключения к нему ЛВС и модемов для удаленного доступа. Но маршрутизатор достаточно дорог и имеет специализированное программное обеспечение, требующее квалифицированного специалиста. Если у вас есть деньги - покупайте аппаратный маршрутизатор.
Для бедных пользователей и небольших ЛВС можно обойтись программным маршрутизатором. Установка, настройка и сопровождение такого маршрутизатора, как программы, по силам любому квалифицированному программисту. Программный маршрутизатор, как правило, включает в себя функции Прокси-сервера и защитные функции от внешнего несанкционированного вторжения в ЛВС извне, что также весьма удобно.
Из известных нам программ-маршрутизаторов хочется назвать Wingate 2.0е, MS Proxy 2.0, E-serv Proxy 2.0, которые есть на нашем файловом сервере. Первую из них Wingate 2.0e мы используем в настоящее время, о том как ее установить и настроить описывается в Пункте 8 настоящего документа. Две другие программы нам предстоит еще попробовать в работе.
Наиболее подходящими для работы в Интернет в настоящее время являются два Browser-а: MS Internet Explorer (Microsoft) и Netscape Navigator (Netscape) версий 3.0 и 4.0. При работе с Windows NT 4.0 использование первого из них наиболее естественно.
Со своей стороны можем порекомендовать еще один Browser - Opera версии 3.02, который можно найти на нашем файловом сервере. Хочется отметить его небольшие размеры (помещается на одной дискете 1.44 Mb) и поддержку многооконной работы, имеется также версия для Windows 3.1.