При диагностике сети вы можете столкнуться с сообщением «шлюз, установленный по умолчанию, недоступен». Данная ошибка не является критической. Ее можно исправить несколькими способами: ручным указанием шлюза, изменением параметров электропитания или обновлением/откатом драйверов.

Что это за ошибка и когда встречается

На ноутбуках или ПК с беспроводным адаптером, подключенных через Wi-Fi, может пропасть . При этом на значке в нижней панели появится желтый восклицательный знак, а также надпись «Ограниченный доступ к сети».

Большинство пользователей запускает диагностику неполадок, которая выявляет проблему шлюза. Система может автоматически устранить ее, но это временное решение. Через определенное время вы повторно столкнетесь с подобным сообщением.

Шлюз представляет собой IP-адрес, на который направляются пакеты с компьютера к роутеру. Как правило, подобные параметры выставляются автоматически при активной DHCP. Но данная служба может сбоить, выставляя правильный шлюз. Итог – ваш ноутбук отправляет пакеты по неверному IP-адресу, не получая ответа от роутера. Причина также может крыться в неправильных настройках питания адаптера от сети.

Оптимальные методы решения проблемы

Существует ряд методов, способных полностью устранить ошибку «шлюз, установленный по умолчанию, недоступен». Нет гарантии, что один из вариантов поможет в 100% случаев, поэтому рекомендуется поочередно опробовать каждый из представленных методов.

Проблема со сторонними программами

В первую очередь, естественно, рекомендуем определить, не является ли источником проблемы сторонний софт. Сюда можно отнести такие программы, как торрент-клиент, антивирус, фаервол и другое ПО, которое активно взаимодействует с сетью. Методика диагностики включает следующие шаги:

1. Отключите/удалите подозреваемую программу.
2. Пользуйтесь Интернетом, при этом наблюдайте, пропадает ли доступ.
3. Если ошибка шлюза появляется, включите ПО, а затем переходите к следующей программе.

Будьте внимательны, так как некоторые приложения могут находиться в автозапуске или работать в фоновом режиме (например, когда антивирус устанавливает обновление баз).

Ручное указание шлюза по умолчанию

Настройки операционных систем «Виндовс» позволяют пользователю устанавливать IP-адрес и шлюз самостоятельно. В версиях Windows 7-10 описанные разделы идентичны, поэтому можете использовать следующую инструкцию независимо от версии ОС:

Вписываем это в поле «Шлюз». Маска выставляется автоматически. В поле IP-адрес введите аналогичную комбинацию, но последнее число замените на значение от 10 до 255.

1. Нажмите «OK» и перезапустите ПК/ноутбук.

Данная инструкция поможет решить проблему «шлюз по умолчанию недоступен». Внимательно смотрите, какое сетевое подключение вы редактируете.

Настройка плана электропитания

Ноутбуки имеют ограниченный запас батареи, поэтому в отличие от компьютеров активно используют функции энергосбережения, предусмотренные в операционных системах Windows. Wi-Fi-адаптер может элементарно отключаться при низком заряде батареи, что приводит к уже известной ошибке. На Windows 7, 8 и 10 пользователю достаточно изменить настройки электропитания. Сделать это поможет следующая инструкция:

Сохраните изменения, а затем перезагрузите ноутбук/компьютер. Теперь (независимо от заряда батареи) беспроводной Wi-Fi-адаптер будет всегда функционировать, что исключит потерю доступа к Интернету.

Установка/обновление драйвера Wi-Fi-адаптера

Некорректная работа Wi-Fi-адаптера часто связана с драйверами. В комплекте с ноутбуком на диске не всегда имеется набор драйверов, поэтому приходится выполнять поиск самостоятельно. Вы можете скачать их на официальном сайте производителя вашего ноутбука. Посетите разделы «Поддержка», «Программное обеспечение» или «Загрузки». Внимательно выбирайте модель и операционную систему. Многие драйверы делятся на 2 вида в зависимости от битности ОС (32 или 64 разрядные).

Также попробуйте поискать драйвера через стандартные средства Windows:

1. Зайдите в «Диспетчер устройств».
2. Нажмите правой кнопкой компьютерной мыши по пункту «Беспроводной адаптер», а затем нажмите на строку «Обновить драйверы».

Для обновления ПО пользователи могут применить такой вспомогательный софт, как Driver Genius. Эта программа поможет быстро и удобно обновить любые драйверы на компьютере. В базе содержатся актуальные версии для большинства из существующих моделей.

Откат драйвера адаптера

Установка драйвера может не только не оказать положительного эффекта, неправильное ПО способно сделать адаптер полностью неработоспособным. Если доступа в Интернет с другого устройства у вас нет, обязательно выполните откат. Это процедура, которая восстанавливает предыдущую версию драйвера. Выполняется она в диспетчере устройств:

Кнопка будет неактивной, если производить откат некуда. Это означает, что установлена самая ранняя версия. В этом же окне пользователь может удалить драйвер. Это рекомендуется сделать перед инсталляцией нового, так как установка поверх старого не всегда выполняется корректно.

Применимо к:Windows Server 2012 R2

В этом разделе, предназначенном для специалистов в сфере информационных технологий (ИТ), представлена общая информация о шлюзе Windows Server, в частности о возможностях и характеристиках шлюза Windows Server.

Кто может заинтересоваться шлюзом Windows Server?

Если вы системный администратор, архитектор сетевых решений или специалист в другой области ИТ, шлюз Windows Server может представлять для вас интерес в следующих случаях.

Вы используете или планируете использовать System Center 2012 R2, что является обязательным условием для развертывания шлюза Windows Server.

Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая использует или планирует использовать технологию Hyper-V для развертывания виртуальных машин в виртуальных сетях.

Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая развертывает или планирует развертывание облачных технологий.

Вы хотите обеспечить полнофункциональные сетевые подключения между физическими и виртуальными сетями.

Вы хотите предоставить клиентам вашей организации доступ к их виртуальным сетям через Интернет.

Версии маршрутизатора в Windows Server 2012 R2

В Windows Server 2012 R2 доступны две различные версии шлюзов-маршрутизаторов - мультитенантный шлюз RRAS и шлюз Windows Server. Несмотря на то что маршрутизаторы имеют одинаковые функции и возможности, для управления каждым из них можно использовать разные методы, в зависимости от того, используют ли они System Center 2012 R2.

Мультитенантный шлюз RRAS . Мультитенантный шлюз-маршрутизатор RRAS можно использовать для мультитенантного или немультитенантного развертывания; он представляет собой полнофункциональный BGP-маршрутизатор. Для развертывания мультитенантного шлюза-маршрутизатора RRAS необходимо использовать команды Windows PowerShell. Дополнительные сведения см. в разделе и Руководство по развертыванию мультитенантного шлюза RRAS Windows Server 2012 R2 .

Для развертывания шлюза Windows Server необходимо использовать System Center 2012 R2 и Virtual Machine Manager (VMM). Шлюз-маршрутизатор Windows Server предназначен для использования в мультитенантных средах. При использовании шлюза-маршрутизатора диспетчера виртуальных машин System Center 2012 R2 в интерфейсе программного обеспечения диспетчера виртуальных машин доступен лишь ограниченный набор параметров настройки BGP-протокола, в том числе "Локальный IP-адрес BGP" и "Номер в автономной системе (ASN)", "Список IP-адресов партнеров BGP" и "ASN, значения". Тем не менее вы можете использовать команды удаленного доступа Windows PowerShell для BGP, чтобы настроить все остальные функции шлюза Windows Server. Дополнительные сведения см. в разделах Windows Server Gateway и .

Что такое шлюз Windows Server?

Шлюз Windows Server - это программный маршрутизатор на основе виртуальной машины, с помощью которого поставщики облачных служб и предприятия могут поддерживать маршрутизацию трафика центра обработки данных и облачной среды между виртуальными и физическими сетями, включая Интернет.

Примечание

Шлюз Windows Server поддерживает протоколы IPv4 и IPv6, включая переадресацию IPv4 и IPv6. При настройке шлюза Windows Server с функцией преобразования сетевых адресов (NAT) поддерживается только NAT44.

Виртуальные сети создаются с помощью виртуализации сети Hyper-V; эта технология была впервые использована в Windows Server® 2012.

Виртуализация сети Hyper-V реализует концепцию сети виртуальной машины, которая не зависит от лежащей в ее основе физической сети. В данной концепции сети виртуальной машины, состоящей из одной или нескольких виртуальных подсетей, точное физическое расположение IP-подсети не связано с топологией виртуальной сети. В результате организации легко могут перенести свои подсети в облако, сохранив свои IP-адреса и топологию в облаке. Эта возможность сохранения инфраструктуры позволяет существующим службам продолжать работать, не имея информации о физическом расположении подсети. Таким образом, виртуализация сети Hyper-V позволяет создать цельное гибридное облако.

Однако и в частных, и в гибридных облачных средах под управлением Windows Server 2012 трудно обеспечить связь между виртуальными машинами в виртуальной сети и ресурсами в физических сетях на локальных и удаленных узлах. В такой ситуации виртуальные подсети становятся островками, отделенными от остальных сетей.

В Windows Server 2012 R2 шлюз Windows Server осуществляет маршрутизацию сетевого трафика между физической сетью и ресурсами виртуальных машин независимо от местоположения ресурсов. Шлюз Windows Server можно использовать для маршрутизации сетевого трафика между физическими и виртуальными сетями, физически расположенными в одном и том же месте или в нескольких разных местах. Например, если физическая и виртуальная сети физически расположены в одном месте, то вы можете установить компьютер с Hyper-V, на котором виртуальная машина шлюза Windows Server будет выполнять функции перенаправляющего шлюза и осуществлять маршрутизацию трафика между физическими и виртуальными сетями. Другой пример. Если ваши виртуальные сети существуют в облаке, то поставщик облачных служб может развернуть шлюз Windows Server, чтобы вы могли создать VPN-подключение "сеть - сеть" между вашим VPN-сервером и шлюзом Windows Server поставщика облачных служб. После того как связь будет установлена, вы сможете подключаться к виртуальным ресурсам в облаке через VPN-подключение.

Интеграция шлюза Windows Server и технологии виртуализации сети Hyper-V

Шлюз Windows Server интегрирован с технологией виртуализации сети Hyper-V и может эффективно осуществлять маршрутизацию сетевого трафика в ситуации со множеством различных клиентов - или тенантов, - которые имеют изолированные виртуальные сети в том же центре обработки данных.

Архитектура обслуживания одним экземпляром приложения нескольких развертываний - это способность инфраструктуры облака обеспечивать рабочие нагрузки виртуальных машин нескольких клиентов, при этом изолируя их друг от друга, несмотря на то что все они работают в одной инфраструктуре. Несколько рабочих нагрузок отдельного клиента могут быть связаны взаимоподключением и управляться удаленно, оставаясь отделенными от рабочих нагрузок других клиентов и не позволяя другим клиентам управлять ими.

Например, предприятие может иметь много различных виртуальных подсетей, каждая из которых предназначена для обслуживания конкретного отдела, например отдела исследований и разработки или бухгалтерского отдела. В другом примере поставщик облачных служб имеет много тенантов с изолированными виртуальными подсетями, которые существуют в одном физическом центре обработки данных. И в том, и в другом случае шлюз Windows Server может осуществлять маршрутизацию трафика для каждого тенанта в прямом и обратном направлении, сохраняя запланированную изоляцию каждого из них. Эта возможность обеспечивает поддержку мультитенантных развертываний шлюзом Windows Server.

Технология виртуализации сети Hyper-V - это технология наложения сети с помощью универсальной инкапсуляции при маршрутизации для виртуализации сети (NVGRE), которая позволяет клиентам добавлять свои собственные адресные пространства, а поставщикам облачных служб - обеспечивать более высокий уровень масштабируемости, чем раньше, когда для изоляции использовались сети VLAN.

Примечание

Дополнительные сведения о технологии виртуализации сети Hyper-V и виртуальном коммутаторе Hyper-V в Windows Server 2012 см. в разделах Обзор виртуализации сети Hyper-V и Обзор виртуального коммутатора Hyper-V в технической библиотеке Windows Server 2012.

Кластеризация шлюза Windows Server для обеспечения высокой доступности

Развертывание шлюза Windows Server осуществляется на специальном компьютере, на котором устанавливается система виртуализации Hyper-V и создается одна виртуальная машина. Затем эта виртуальная машина настраивается как шлюз Windows Server.

Для обеспечения высокой доступности ресурсов сети вы можете развернуть шлюз Windows Server в отказоустойчивой конфигурации с использованием двух физических серверов, на каждом из которых установлена система виртуализации Hyper-V и работает виртуальная машина, сконфигурированная как шлюз. Затем виртуальные машины шлюза необходимо настроить как кластеры, чтобы обеспечить отказоустойчивость и защиту от отказов сети и сбоев оборудования.

При развертывании шлюза Windows Server серверы узлов Hyper-V и виртуальные машины, которые вы настроили как шлюзы, должны работать под управлением Windows Server 2012 R2.

Следующий значок представляет два узла Hyper-V, на каждом из которых работает виртуальная машина, настроенная как шлюз Windows Server (если на рисунках, представленных в следующих разделах, не указано иное). Кроме того, на обоих серверах работает система Hyper-V, а виртуальные машины на каждом сервере работают под управлением Windows Server 2012 R2. Виртуальные машины шлюза кластеризованы.

Использование шлюза Windows Server в качестве шлюза для переадресации в частных облачных средах

Частное облако - это модель организации вычислений, использующая инфраструктуру, выделенную вашей организации. Частное облако имеет много общих характеристик с общедоступными облачными вычислениями, в том числе пулы ресурсов, самообслуживание, эластичность и измеряемые услуги, предоставляемые стандартизованным образом с дополнительным контролем и настройками, доступными с выделенных ресурсов.

Единственным принципиальным отличием частного облака от общедоступного является то, что общедоступное облако предоставляет облачные ресурсы нескольким организациям, тогда как частное облако содержит ресурсы для одной организации. Однако одна организация может иметь несколько бизнес-единиц и подразделений и по своему характеру быть мультитенантной. В этой ситуации к частному облаку предъявляются те же требования изоляции и обеспечения безопасности, что и к общедоступному облаку.

Для предприятий, предпочитающих локальное развертывание частного облака, шлюз Windows Server может выполнять функции шлюза переадресации и осуществлять маршрутизацию трафика между виртуальными и физическими сетями. Например, если вы создали виртуальные сети для одного или нескольких отделов (скажем, для отдела исследований и разработки и бухгалтерского отдела), но многие из ваших основных ресурсов (такие как доменные службы Active Directory, SharePoint или DNS) находятся в физической сети, шлюз Windows Server может осуществлять маршрутизацию трафика между физической и виртуальной сетями для обеспечения доступа сотрудников, работающих в виртуальной сети, ко всем службам, которые им необходимы.

На следующем рисунке физическая и виртуальные сети физически расположены в одном месте. Шлюз Windows Server используется для маршрутизации трафика между физической сетью и виртуальными сетями.

Шлюз Windows Server как VPN-шлюз "сеть - сеть" для гибридных облачных сред

Для поставщиков облачных служб, которые размещают в своем центре обработки данных множество клиентов, шлюз Windows Server представляет собой решение мультитенантного шлюза, который позволит вашим клиентам осуществлять доступ к своим ресурсам и управление ими через VPN-подключение "сеть - сеть" с удаленных узлов. Он также будет пропускать потоки сетевого трафика между виртуальными ресурсами в вашем центре обработки данных и их физических сетях.

На следующем рисунке поставщик облачных служб предоставляет доступ по сети нескольким клиентам, некоторые из которых имеют несколько узлов в Интернете. В данном примере клиенты используют на узлах своего предприятия VPN-серверы сторонних производителей, тогда как поставщик облачной службы использует шлюз Windows Server для предоставления VPN-подключений "сеть - сеть".

Мультитенантное преобразование сетевых адресов (NAT) для доступа в Интернет с виртуальных машин

На следующем рисунке домашний пользователь, использующий веб-браузер на своем компьютере, совершает покупку через Интернет на веб-сервере Contoso, который представляет собой виртуальную машину в виртуальной сети компании Contoso. В процессе оформления покупки веб-приложение проверяет информацию кредитной карты, предоставленную домашним пользователем, подключившись к финансовой службе компании через Интернет. Описанная возможность подключения к ресурсам в Интернете из виртуальной сети предоставляется, если на шлюзе Windows Server у поставщика облачных служб включена функция NAT.

Мультитенантные VPN-подключения удаленного доступа

На следующем рисунке администраторы используют коммутируемые VPN-подключения для управления виртуальными машинами в своих виртуальных сетях. Администратор из Contoso инициирует VPN-подключение в филиале, подключенном к Интернету, и подключается к виртуальной сети Contoso через шлюз Windows Server поставщика облачных служб.

Аналогичным образом администратор Northwind Traders устанавливает VPN-подключение из домашнего офиса для управления виртуальными машинами в виртуальной сети Northwind Traders.

Настройка интернет-соединения - это не такая простая работа, как кажется на первый взгляд. И хорошо, что есть специалисты, которые занимаются подобным делом. А ведь иногда бывают критические ситуации, когда нет рядом мастеров, и настройку приходится делать самостоятельно.

и где его найти?

Чтобы обеспечить стабильный выход из существующей локальной сети во Всемирную паутину и используется шлюз Интернета. Если обобщить, то это набор аппаратного и программного обеспечения, работающий в слаженном режиме.

С помощью этого системного инструмента администратор сети может контролировать расход интернет-трафика, а также ограничивать/добавлять доступ к сети Интернет пользователям, входящим в локальное сообщество.

Функции интернет-шлюза

Основные функции маршрутизатора не ограничиваются тотальным контролем сетевого трафика. Помимо этого, правильная настройка интернет-шлюза позволяет:

• ограничивать доступ к определенным ресурсам в Сети;
• включать/отключать общий прокси-сервер;
• открывать полный доступ к почтовым серверам;
• активировать шейперы как локально, так и выборочно;
• вести учет трафика по сетевому экрану;
• работать с другими сетевыми приложениями и утилитами.

Помимо обычных, существуют специализированные шлюзы, открывающие владельцам целый ряд дополнительных функций:

• расширенная антивирусная защита;
• усовершенствованный детектор сетевых атак Snort;
• блокиратор конфиденциальных данных;
• полновесный VPN-сервер, который и будет контролировать шлюз Интернета.

Принципы работы шлюза

Функционирование шлюза не ограничивается каким-либо специальным оборудованием. Его установка может быть выполнена на следующих ресурсах:

• любой машине, подключенной к локальной сети;
• на отдельном сервере;
• на виртуальном (облачном) сервере;
• в качестве дистрибутива на ПК с рабочей системой (Windows, Linux и др.).

После первичной развертки рабочих систем шлюз автоматически находит и распознает все существующие интерфейсы, как внутренние, так и внешние.

Для справки: внутренние интерфейсы устанавливают связь со всеми ПК во внутренней сети организации, а внешние - настраивают соединение с провайдерами Интернета и другими несвязанными сетями.

На втором этапе идет подключение сетевых интерфейсов к рабочей сети. Наиболее популярными являются DNS, DHPS серверы.

Каждый имеет собственные преимущества, связанные с небольшой экономией потребления трафика и большим набором функций.

И на третьем этапе администратором сети настраивается политика доступа пользователей и протоколов в локальной и несвязанной (внешней) сети. Для этого используется сетевой экран. Практика показывает, что шлюз Интернета закрывается для всех вмешательств извне, кроме используемых почтовых серверов. Локальная сеть же настраивается путем предоставления всех полномочий для пользователей, находящихся внутри сети.

Настройки шлюза в системе Linux

С учетом того, что Windows за счет своей дороговизны не пользуется особой популярностью, следует уделить внимание тому, как настраивается интернет-шлюз на Linux. В частности, востребованы такие системы для предприятий малого и среднего бизнеса.

Собственно, для создания и обеспечения функциональности шлюза в системе Linux используется проверенный метод. Он обеспечивает весь комфортный доступ к Интернету для 3-10 ПК, связанных сетью.

Итак, настройка осуществляется следующим образом:

1. Необходимо определить количество сетевых интерфейсов (для полноценной работы их должно быть два - для локальной сети и для Интернета).
2. Все последующие действия осуществляются с помощью командной строки.

Первый шаг - настройка разрешений маршрутизации самого шлюза, которая правится с помощью файла sysctl.conf (находится в папке etc). Там необходимо внести изменения в строку net.ipv4.ip_forward=1.

Второй шаг - настройка сетевых интерфейсов, которые использует шлюз Интернета. Для этого в файле interfaces, расположенном в папке etc, вносятся следующие правки - iface eth0 inet static, с указанием исходных адресов.

Третий шаг - активация механизма преобразования сетевых адресов, задействованных в шлюзе, чтобы обеспечить нормальный обмен пакетов между пользователями сети и Интернетом. Для выполнения функции применяется фаервол iptables.

Сетевой шлюз - небольшой экскурс

Собственно, сетевые шлюзы - это оборудование или же софт, который занимается привязкой нескольких сетей, функционирующих на разных сетевых протоколах (например, LAN и WLAN). Работа данных маршрутизаторов заключается в преобразовании протоколов для нормального обмена пакетами данных.

Самым известным примером сетевого шлюза является роутер, обеспечивающий прямой доступ ПК к сети Интернет. Естественно, на практике передача данных выглядит несколько сложнее, но основные функции выполняет все-таки маршрутизатор, при помощи сетевых служб.

А для обеспечения бесперебойной работы большой корпоративной сети шлюз Интернета в сетевых подключениях интегрируется в общий аппаратно-программный комплекс, что существенно облегчает работу и доступ в Интернет без потери скорости и качества.

Корпоративный интернет-шлюз - голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Аппаратное или программное решение?

В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети , анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

• наличие контентной фильтрации,
• возможность фильтрации HTTPS,
• назначение фильтров в зависимости по времени,
• на определенные группы пользователей,
• наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

Предыдущие посты:

1. Разрешить пользователям локальной сети выходить в интернет с помощью шлюза на Linux Debian/Ubuntu без особых ограничений.

Дано : 1. Компьютер с двумя сетевыми картами. 2. Дистрибутив Debian или Ubuntu Linux. (я бы всё-таки советовал для сервера Debian) 3. Прямые руки и свежая голова.

Итак, приступаем!

Для начала перво-наперво установим Linux на компьютер, указав при этом все настройки сети. Я рекомендую устанавливать Debian, и в момент запроса у нас выбора необходимых пакетов, установим только основные компоненты системы и openssh-server . Всё, больше для работы шлюза на linux нам ничего не надо. Никаких графических оболочек. Устанавливать будем напрямую, а подключаться потом можно по ssh для управления удалённым сервером, или если не подключены клавиатура, мышь и монитор. Если вы вообще никогда не устанавливали Linux, и понятия не имеете, как установить linux на компьютер, просмотрите вот эту статью . Установка Debian на компьютер немногим отличается от установки Ubuntu.

Установив Linux на компьютер мы должны сделать его шлюзом. Для это он должен кое-что уметь.

1. Пропускать сетевые пакеты через себя. (FORWARD)

Транслировать сетевые адреса (преобразовать адреса локальной сети в 1 внешний адрес, под которым пользователь будет выходит в сеть). Иными словами шлюз (gateway) пускает через себя пользователей локальной сети под своим адресом. Можете назвать это программным роутером или как вам будет угодно. Служба эта называется NAT (Network Address Translation).

Но обо всём по порядку. Для начала настроим сетевые интерфейсы. Настройки локальной сети берёте у себя, настройки интернет — у провайдера. Если выход в интернет не по ip-авторизации, а через xDSL соединение, то используйте утилиту pppoeconf .

Представим, что у нас есть 2 настроенных сетевых интерфейса. Это локальный (eth0) и внешний (eth1). Интернет на шлюзе есть, яндекс пингуется, гугл туда же. Практически последняя задача — заставить наш шлюз на Linux пускать всех в инет через себя. Вот здесь хочу отметить, что на linux есть свой файрволл, и называется он iptables. По умолчанию iptables работает таким образом — «К себе никого не пущу, кроме как по тем соединениям, что были инициированы мной!» Но так не пойдёт) Поэтому настраиваем:

1. Создаем файл с именем firewall.sh в папке /etc/init.d/

# touch /etc/init.d/firewall.sh

1. Даём права на запуск

# chmod 755 /etc/init.d/firewall.sh

1. Добавляем наш скрипт в автозагрузку. На всякий случай 🙂

# update-rc.d firewall.sh defaults

1. Ну и, собственно, редактируем наш скрипт.

nano /etc/init.d/firewall.sh

Дадим ядру понять, что это реально.sh скрипт

# !/bin/sh (вот здесь прямо так вместе с символом # и пишем внутри! Это тот тип комментария, который нужен ядру)

Включим форвардинг в линукс.

echo 1 > /proc/sys/net/ipv4/ip_forward (1 — вкл, 0- выкл:))

Сбросим все настройки входящих, исходящих и форварда. Это поможет нам избавится от «неправильных» правил iptables, набранных в консоли. Просто запустим скрипт, и правила обновятся:

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

Политика по умолчанию — форвард разрешён:

iptables -P FORWARD ACCEPT

Добавим новое правило постмаршрутизации в сетевую таблицу «nat». Логика правила такая: С источника «локальная сеть» исходящие пакеты через внешний интерфейс должны «натиться» (передваться как один внешний), но мы будем маскарадить. Маскарад (MASQURADE) даёт возможность корректной работы с динамическим внешним ip адресом. iptables -A (новое правило ) POSTROUTING (постмаршрутизации ) -t (таблицы… ) nat (…NAT ) -s (source — с источника ) 192.168.1.0/24 (всей локальной сети ) -o (output — через исходящий… ) eth1 (…интерфейс eth1 ) -j (job — работа (что делать?) ) MASQUERADE (маскарадить ). Т.е. получается такое правило iptables:

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth1 -j MASQUERADE

Собственно всё. Можно ещё добавить в конец скрипта что-то вроде оповещения, которое будет говорить о том, что скрипт сработал:

echo firewall rules accepted

Сохраняем и закрываем. (Если редактировали через nano, как в этой статье, то жмём ctrl+o (сохранить) ctrl+x (закрыть)).

Теперь запустим наш скрипт

/etc/init.d/firewall.sh

Увидели сообщение «firewall rules accepted «? Никаких ошибок не было? Поздравляю! Шлюз на linux готов! Теперь все компьютеры из вашей локальной сети смогут ходить в интернет, правда совсем без каких либо ограничений. И да, если в вашей сети нет DNS сервера, то в настройках клиента нужно указать DNS сервера провайдера или например, DNS сервер Google 😉 (адрес легко запомнить — 8.8.8.8)

Ну и, как всегда, я надеюсь, что данная статья помогла вам настроить шлюз на linux debian/ubuntu. Удачи вам в ваших начинаниях!

2015-12-12T19:11:13+00:00 admin Администрирование Программы Статьи Debian,iptables,pppoeconf,Ubuntu,Администрирование,Сети,Установка

Задача: Разрешить пользователям локальной сети выходить в интернет с помощью шлюза на Linux Debian/Ubuntu без особых ограничений. Дано: 1. Компьютер с двумя сетевыми картами. 2. Дистрибутив Debian или Ubuntu Linux. (я бы всё-таки советовал для сервера Debian) 3. Прямые руки и свежая голова. Итак, приступаем! Для начала перво-наперво установим Linux на компьютер, указав...

[email protected] Administrator Самоучитель LINUX