O documento descreve a configuração de NAT (Network Address Translation) no Windows Server 2003, incluindo seus componentes, planejamento e etapas de configuração. O NAT traduz endereços IP privados para endereços públicos, permitindo que vários dispositivos compartilhem uma conexão de Internet.
NAT - Windows Server 2003 (Adição de nova conexão)
1. Microsoft Windows Server 2003
NAT - Network Address Translation
11/8/2013 Fagner S. de Lima - Redes de Computadores 1
2. Objetivos
Componentes do NAT;
Planejamento para instalação.
11/8/2013 Fagner S. de Lima - Redes de Computadores 2
3. Componentes do NAT
O serviço NAT é composto basicamente pelos seguintes elementos:
Componente de tradução de endereços: O NAT faz parte do servidor
RRAS, ou seja, para que se possa utilizar o servidor NAT com todas as
suas funcionalidades, deve-se ter um servidor com o RRAS instalado e
habilitado.
Componente de endereçamento: Atua como um servidor DHCP
simplificado, o qual é utilizado para concessão de endereços IP e outras
configurações de rede para os computadores da rede interna. Para que
possam utilizar o NAT, os clientes deve ser configurados para cliente
DHCP.
Componente de resolução de nomes: O servidor NAT também
desempenha o papel de um servidor DNS. Quando uma consulta de
resolução de nomes é enviada por um cliente interno, o servidor NAT
repassa esta consulta para um servidor DNS da Internet. Esta
funcionalidade é idêntica ao papel de DNS Proxy, fornecida pelo ICS.
11/8/2013 Fagner S. de Lima - Redes de Computadores 3
4. Importante!
Como o NAT inclui as funcionalidades de endereçamento (DHCP) e
resolução de nomes (DNS), haverá limitações de utilização de outros
serviços no servidor onde o NAT foi habilitado:
Não poderá ser executado o servidor DHCP ou o DHCP Relay Agent no
servidor NAT;
Não poderá executar o servidor DNS no servidor NAT.
11/8/2013 Fagner S. de Lima - Redes de Computadores 4
5. Planejamento
Antes da habilitação do NAT no servidor RRAS, deve-se levar alguns
fatores em consideração. Estes fatos ajudam a evitar problemas futuros e
necessidade de reconfiguração do serviço.
11/8/2013 Fagner S. de Lima - Redes de Computadores 5
6. Planejamento
1 - Utilize endereços privados para a rede interna
Esta recomendação é óbvia. Deve-se utilizar uma das faixas de endereços
privados citadas anteriormente para identificar os computadores da rede
interna.
Por padrão o NAT utiliza a faixa 192.168.0.0/24, mas é possível alterar
esta configuração.
Lembrando que o NAT funcionará também como um servidor DHCP,
devem ser configurados os escopos de endereços que serão fornecidos aos
clientes.
11/8/2013 Fagner S. de Lima - Redes de Computadores 6
7. Planejamento
2 - Usar um ou mais endereços IP públicos
Se a rede estiver utilizando apenas um IP público, fornecido pelo ISP, não
serão necessárias configurações adicionais. Porém, se houver dois ou mais
endereços públicos, deve-se configurar a interface externa do NAT (ligada
a Internet) com a faixa de endereços públicos fornecidos pelo ISP.
A faixa é informada no formato padrão (IP/máscara), podendo haver
situações em que nem todos os endereços fornecidos possam ser assim
representados. Neste tipo de situação pode haver a impossibilidade de
utilização de todos os endereços.
Uma solução para esse problema é apresentada a seguir:
11/8/2013 Fagner S. de Lima - Redes de Computadores 7
8. Planejamento
Se o número de endereços fornecido for uma potência de 2 (2, 4, 8, ...), é
mais provável que se consiga representar a faixa de endereços no formato
padrão.
Exemplo:
206.63.134.212, 206.63.134.213, 206.63.134.214 e 206.63.134.215.
Esta faixa pode ser representada assim:
206.63.134.212/255.255.255.252 ou
206.63.134.212/30
11/8/2013 Fagner S. de Lima - Redes de Computadores 8
9. Planejamento
Caso não seja possível a representação anterior, deve-se informar os
endereços públicos como uma série de faixas de endereços.
Exemplo:
206.58.149.213 206.58.149.218
206.58.149.222 206.58.149.240
11/8/2013 Fagner S. de Lima - Redes de Computadores 9
10. Planejamento
3 - Permitir conexões da internet
Por padrão, o NAT permite que sejam feitas conexões da rede privada para
recursos da internet. Por exemplo, um cliente executando o seu browser e
requisitando uma página web, faz a conexão com um servidor web da
Internet. Quando os pacotes de resposta chegam ao NAT, eles serão
redirecionados ao cliente que originou a requisição.
Nesta situação a conexão é iniciada na rede interna, e não uma tentativa de
acesso vinda da Internet.
11/8/2013 Fagner S. de Lima - Redes de Computadores 10
11. Planejamento
Existe também a possibilidade da habilitação do acesso a um servidor da
rede interna, para usuários vindos da Internet. Por exemplo, pode-se
configurar um servidor IIS na rede interna que irá hospedar o site da
empresa. Neste caso o NAT deverá ser configurado para que usuários
vindos da Internet possam estabelecer conexão com o servidor da rede
interna.
Por padrão, este tipo de conexão é bloqueado pelo NAT, pois os pacotes
que chegarão a ele não representarão respostas de requisições internas. O
administrador da rede deverá configurar o NAT para aceitar estas
configurações.
11/8/2013 Fagner S. de Lima - Redes de Computadores 11
12. Planejamento
Para permitir que usuários da Internet acessem os recursos da rede
interna, deve-se seguir os passos indicados:
O servidor da rede interna que será acessado através da internet
deverá ser configurado com um IP fixo (fornecido pelo NAT, para uso da
rede interna) e com um IP do gateway e do servidor DNS (IP da
interface interna do servidor NAT).
Excluir o IP do servidor da rede interna da faixa de endereços que o
NAT irá disponibilizar dinamicamente para os demais clientes da rede
interna.
Configurar uma porta especial no NAT. Ela irá fazer o mapeamento
estático de um endereço público e uma porta, para um endereço
privado e uma porta. Esta técnica realiza o mapeamento das
requisições vindas da Internet para um endereço específico na rede
interna.
11/8/2013 Fagner S. de Lima - Redes de Computadores 12
13. Planejamento
4 - Configurando aplicações e serviços
Determinadas aplicações tornam necessárias a utilização de determinadas
portas de comunicação, e normalmente o NAT faz o bloqueio de algumas
delas. Para isso, deve-se configurar o NAT para a habilitação destas portas,
para que tais aplicativos possam ser executados corretamente, senão eles
terão seus pacotes bloqueados.
11/8/2013 Fagner S. de Lima - Redes de Computadores 13
14. Planejamento
5 - Conexões VPN iniciadas a partir da rede interna
Vale ressaltar que no Windows 2000 Server não era possível a criação de
conexões VPN L2TP/IPSec, mas esta limitação foi superada com a criação
do Windows Server 2003.
11/8/2013 Fagner S. de Lima - Redes de Computadores 14
15. Microsoft Windows Server 2003
NAT - Network Address Translation
Configuração do Servidor
11/8/2013 Fagner S. de Lima - Redes de Computadores 15
16. Configuração do Servidor NAT
1. No menu Ferramentas Administrativas, clique em Roteamento e
acesso remoto.
11/8/2013 Fagner S. de Lima - Redes de Computadores 16
17. Configuração do Servidor NAT
2. Clicando com o botão direito do mouse sobre o nome do servidor,
selecione a opção Configurar e ativar roteamento e acesso remoto.
11/8/2013 Fagner S. de Lima - Redes de Computadores 17
18. Configuração do Servidor NAT
3. Clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 18
19. Configuração do Servidor NAT
4. Selecione a opção Conversão de Endereços de Rede (NAT) e clique em
Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 19
20. Configuração do Servidor NAT
5. Selecione a opção Criar uma nova interface de discagem por
demanda com a Internet e clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 20
21. Configuração do Servidor NAT
6. Selecione a interface que para a rede que deverá ter acesso a Internet e
clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 21
22. Configuração do Servidor NAT
7. Se tudo ocorrer da forma correta, esta janela de confirmação aparecerá.
Basta clicar em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 22
23. Configuração do Servidor NAT
8. Assistente de Interface de Discagem por demanda. Clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 23
24. Configuração do Servidor NAT
9. Defina um nome para a Interface de discagem e clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 24
25. Configuração do Servidor NAT
10. Selecione o Tipo de conexão (no caso de conexão banda larga, usa-se
PPPoE) e clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 25
26. Configuração do Servidor NAT
11. Defina um nome para o Serviço de conexão de banda larga (o nome
do ISP) e clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 26
27. Configuração do Servidor NAT
12. Selecione opções de transporte e segurança para a conexão (por padrão
seleciona-se apenas “Rotear pacotes IP nesta interface) e clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 27
28. Configuração do Servidor NAT
13. Defina as credenciais de discagem que a interface usará ao se
conectar ao roteador remoto e clique em Avançar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 28
29. Configuração do Servidor NAT
14. Se tudo ocorrer da forma correta, esta janela de confirmação
aparecerá. Basta clicar em Concluir.
11/8/2013 Fagner S. de Lima - Redes de Computadores 29
30. Configuração do Servidor NAT
15. A próxima janela confirmará a configuração do RRAS, mostrando um
breve resumo das configurações aplicadas. Basta clicar em Concluir.
11/8/2013 Fagner S. de Lima - Redes de Computadores 30
31. Configuração do Servidor NAT
16. Selecionar Interfaces de rede, clicar com o botão direito do mouse sobre
o nome do roteador remoto, e selecionar a opção Definir credenciais.
11/8/2013 Fagner S. de Lima - Redes de Computadores 31
32. Configuração do Servidor NAT
17. Deve-se confirmar as mesmas credenciais de acesso que foram
inseridas anteriormente e clicar em OK.
11/8/2013 Fagner S. de Lima - Redes de Computadores 32
33. Configuração do Servidor NAT
18. Agora é só clicar com o botão direito do mouse sobre o Roteador
remoto e clicar em Conectar.
11/8/2013 Fagner S. de Lima - Redes de Computadores 33