В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями, маршрутизатор на базе Windows Server вполне себе приемлемое решение.
Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:
Сетевая карта 1 (сетевая карта подключена во внутреннюю LAN сеть):
Имя: LAN
IP: 10.0.1.1
Сетевая карта 2 (сетевая карта во внешней сети ):
Имя: Internet
IP: 192.168.1.20
Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.
Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс настройки практически не изменился.
В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access, в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install). 
После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access. 
В открывшемся окне выбираем пункт Network Address Translation (NAT).
На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера. 
Далее будет предложено указать должен ли NAT роутер обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся. 
На этом базовая настройка маршрутизации на Windows Server 2012 R2 завершена. Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).
Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).
Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными. 
В нашем случае на сервере осуществялется статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes, выберите пункт меню New static route и создайте новое статическое правило маршрутизации. 
С 2008 r2 и 2012r2 проблема вроде с Remote Access (RRAS).
На 2008 не помню, просто перестаёт раздавать трафик:
решается перезапуском службы.
В 2012 пока не сбросишь все настройки не помогает.
— Никаких ошибок в логах.
И эта опция со сбросом настроек появилась в 2012 вроде.
И ничего нового больше то и нет в (RRAS).
Такая же проблема. Сталкивался ли кто-то? Нашли решение?
Пока с такой проблемой не сталкивался… В логах на самом деле пусто?
Помогает только сброс или рестарт службы?
Проблема имеет место только с маршрутизацией? Возможно стоит попытаться проанализировать трафик на сетевые интерфейсы в момент появления проблемы с помощью Wireshark или Network Monitor
Подскажите как через маршрутизатор на базе Windows Server 2012 R2 выходить на ftp ресурсы? Не соединяется ни с одним сервером.
Вообще говоря проблем быть не должно. Вероятно дело в настройках файерволах между клиентом и сервером. Проверьте доступен ли порт 21 (FTP) с клиента и с сервера с ролью маршрутизатора.
С другими службами проблема наблюдается?
Где нибудь есть список служб какие перезапускаются при нажатии контекстного меню перезапустить при нажатии в окне маршрутизации на сервере?
У меня 4 серва все запитаны на друг друга по vpn — на одном из всё время пропадает связь с главным сервом, лечется перезапуском сервера маршрутизации все сервы win server 2012
Подумываю написать батник перезапуска служб и поставить его в расписание
Посмотрите в журнале событий: при перезапуске службы там будут появляться событий остановки,запуска зависимых служб.
Здравствуйте!
А как решить проблемы с доступом к HTTPS-ресурсам через NAT. Не могу даже авторизоваться в Гугле. Как это поправить?
Там нет никаких специальных настроек.
Проверьте Время и дату на компьютере.
У меня такая же беда с FTP.
Дело в том что у меня два внешних интерфейса. Один со static IP от одного провайдера, второй с dynamic IP для другого провайдера к которому подключение идет через PPPoE по этому интерфейсу который с dynamic IP. Для того чтобы попасть на FTP, пользователь должен ходить через PPPoE. Потому что FTP стоит в сети этого провайдера.
После конфигурирование RRAS, добавляю интерфейс вызова по требованию с маршрутом 0.0.0.0.0.0.0, подключаюсь. С сервера на FTP заходит без проблем, с клиентов ни в какую!!! Антивирусы удалял, сетевые экраны Windows отключены по умолчанию. Бесполезно. Уже просто не знаю что делать.
На самом сервере попробуйте отключить службу Application Layer Gateway Service. У меня была ситуация, что с клиентских машин доступа на ftp не было. Отключение этой службы помогло.
Забавный способ решения. А можно ли как то решить эту же проблему без отключения этой службы? Еще заметил что если отключить брандмауер то тоже начинает пропускать ФРП трафик.
А как добавить еще один маршрут для 3й сетевой карты? Нужно, чтобы компьютеры и локалки, ходили не только в инет через нат, но по статическому маршруту через третью сетевую карту. Кто-нить может сказать, как это сделать?
В статье написано как в RRAS добавить новый статический маршрут (New static route) для интерфейса третьей сетевой карты. Пользуйтесь.
Либо можно добавить маршрут из cmd с помощью : route ADD -p
Добрый день!
Спасибо за статью…
Посоветуйте, какие противо-взломные настройки можно сделать, чтобы повысить безопасность виндового шлюза? Например, если сеть доменная, должен ли он быть членом домена?
Имеет ли смысл переименовать (отключить) встроенного Администратора?
Вроде бы на внешней сетевой карте отключают Клиента для сетей Майкрософт и Службу доступа к файлам и принтерам. Так же отключают NetBIOS? Это все полезно? Что-то еще можно посоветовать?
Заранее благодарен!
Сервер используется как маршрутизатор для подключению к Интренету? Способы защиты все таки зависят от роли сервера.
В общем случае все ваши рекомендации верные, я бы добавил более жесткие политики для защиты от перебора паролей, своевременная установка патчей, отключение ненужных ролей и служб, антивирус, ограничить порты фаерволом (насколько возможно)
Добрый день!
А можно ли как-то настроить, чтобы при подключении к RRAS клиенту передавался дополнительный список маршрутов в его таблицу маршрутизации, а при отключении клиента, соответственно, эти маршруты на нем удалялись? (и список уникальный для каждого клиента)
Например, в OpenVPN можно на сервере в каталоге клиентских конфигов прописать соответствующему клиенту строку push «route 192.168.10.0 255.255.255.0 10.8.0.1» и такой временный маршрут будет автоматически создаваться на клиенте при подключении.
Я понимаю, что это можно руками прописывать на клиенте, но мне кажестя, что грамотрее было бы рулить данным процессом с сервера.
Думаю это решается добавление в настройках RRAS можно статических маршрутов (static routes)
поднимал маршрутизацию на 2016, это какой-то треш, она отказалась ставиться без веб сервера и еще целой кучи ненужного хлама