На главную

Инструкция по настройке и использованию Lan2net NAT Firewall 1.6.


Мы настоятельно рекомендуем вам ознакомиться с нижеследующей "Инструкцией по настройке" до того, как вы начнете работать с программой. В ней кратко описаны все особенности поэтапной настройки Lan2net NAT Firewall. Ее прочтение займет максимум полчаса и поможет вам быстро настроить работу локальной сети с помощью Lan2net.





Сетевые настройки Windows. Адреса компьютеров и адаптеров в локальной сети.

Для работы Lan2net NAT Firewall необходима уже работающая локальная сеть. Lan2net NAT Firewall устанавливается на шлюз - компьютер, через который осуществляется доступ в Интернет. На шлюзе должно быть не меньше двух сетевых интерфейсов:

  • Внешний интерфейс - сетевая карта (или модем), подключенные к Интернет.
  • Внутренний интерфейс - сетевая карта, подключенная к сетевому коммутатору или концентратору (хабу, свитчу и т.п.), к которому, в свою очередь, подключены компьютеры локальной сети.

Lan2net NAT Firewall также может работать с несколькими внутренними и внешними интерфейсами.

Для внутренней сети обычно выбирают IP-адреса из следующих диапазонов так называемых "серых" адресов: 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.16.255.255 и 192.168.0.0 - 192.168.255.255.

Рассмотрим простейший пример настройки сети на шлюзе с одним внешним и одним внутренним интерфейсом. Предположим, что вы выбрали для своей внутренней сети диапазон адресов 192.168.0.1 - 192.168.0.255. Допустим, что адрес внешнего интерфейса (IP-адрес, который вам выдал провайдер) - 80.1.88.1.15. Тогда правильные настройки сети в Windows будут следующими:

На шлюзе. Внешний интерфейс (все настройки выдает вам провайдер):
IP-адрес: 80.1.88.15, DNS: 80.1.88.133, Default Gateway: 80.1.88.1

Окно настройки внешнего интерфейса

Внутренний интерфейс:
IP-адрес: 192.168.0.1. DNS и Default Gateway указывать не нужно.

Окно настройки внутреннего интерфейса

На компьютерах локальной сети.
IP-адрес: 192.168.0.2 (из диапазонов серых адресов), DNS: 192.168.0.1* (при включенном DNS forward в Lan2net), Default Gateway: 192.168.0.1

Окно настройки сети на компьютерах LAN

  *Если у вас в локальной сети есть DNS сервер, то нужно указать его IP адрес.

В начало




Lan2net NAT Firewall - общая информация о функциональных разделах.

В программе Lan2net NAT Firewall есть восемь функциональных разделов, которым соответствуют кнопки в панели инструментов.

Раздел "Пользователи"
Здесь отображается список пользователей, объединенных в группы и трафик правил firewall. В разделе "Пользователи" можно: :

  • добавлять, редактировать и удалять пользователей;
  • посмотреть данные о трафике каждого пользователя или группы пользователей (за текущий день, за текущий календарный месяц и трафик за выбранный период);
  • задавать квоты трафика для определенного пользователя и для всех пользователей группы одновременно;
  • посмотреть данные о трафике Правил Firewall;
  • вызвать монитор скорости пользователя;
  • экспортировать данные по трафику в MS Excel.

При добавлении пользователя его нужно обязательно привязать к определенной группе и выбрать в свойствах пользователя интерфейс, к которому пользователь подключен физически. Так, пользователей локальной сети нужно привязать к интерфейсу "Локальная сеть".

Lan2net NAT Firewall позволяет завести несколько пользователей для одного компьютера локальной сети. Подробности читайте в параграфе "Аутентификация пользователей по логину в Windows - NTLM аутентификация".

Раздел "Группы и правила пользователей"
Пользователи объединяются в группы в зависимости от назначаемых им правил доступа. Каждый пользователь обязательно должен быть включен в ту или иную группу, правила которой определяют его права доступа. В этом разделе можно задать правила доступа для пользователей, установить квоты трафика для групп и назначить локальные адреса (те, для которых не считается трафик).

Раздел "Правила Firewall"
Правила Firewall обеспечивают управление и подсчет такого трафика, который не принадлежит пользователям, заведенным в Lan2net (например, локальный трафик, трафик веб-сервера, FTP- сервера и т.п.) С помощью этих правил можно выделить любой трафик по протоколам, IP адресам и портам для управления и подсчета.
Приоритет Правил Firewall выше приоритета пользователей.

Раздел "Интерфейсы"
В Lan2net NAT Firewall каждому сетевому адаптеру соответствует определенный интерфейс (внешний или внутренний), причем одному адаптеру может соответствовать только один интерфейс.
В этом разделе можно:

  • выбрать какой адаптер будет соответствовать определенному интерфейсу;
  • задать настройки NAT (трансляции адресов);
  • разрешить DHCP запросы отдельно от правил.


Раздел "Мониторинг"
Мониторинг служит для просмотра активных соединений пользователей, а также показывает системные соединения и соединения Правил Firewall. В этом разделе есть возможность создавать правила на основе активных соединений, используя команды из контекстного меню.

Раздел "Журнал логов"
Этот раздел служит для просмотра лог-файлов. Есть различные фильтры для удобного поиска.

Раздел "Управление загрузкой канала"
В Lan2net NAT Firewall реализовано управление загрузкой канала, служащее для динамического распределения ресурсов Интернет-канала между пользователями в зависимости от его загрузки. По умолчанию управление загрузкой канала выключено. Настраивать эту функцию необязательно.
Подробную информацию об управлении загрузкой канала в Lan2net NAT Firewall вы можете получить в статье "Динамическое управление загрузкой канала в различных режимах работы".

Раздел "Параметры"
В этом разделе настраивается DNS forward и находятся дополнительные настройки Lan2net NAT Firewall: настройки лог-файлов, настройки веб-сервера и порты для клиента NTLM аутентификации Lan2net (подробности читайте в параграфе "Аутентификация пользователей по логину в Windows - NTLM аутентификация")

В начало




Начальная конфигурация. "Мастер быстрой настройки" и результаты его работы.

При первом запуске Lan2net NAT Firewall вам будет предложено воспользоваться "Мастером быстрой настройки", который необходим для создания первоначальной конфигурации программы.

"Мастер быстрой настройки" создает конфигурацию для двух сетевых карт, достаточную для работы в Интернет. В результате его работы:

  • firewall будет запрещать все соединения, инициированные из Интернет, кроме Ping;
  • у компьютеров локальной сети будет доступ на шлюз;
  • шлюз будет иметь доступ как в локальную сеть, так и в Интернет без ограничений.
  • для примера будут созданы 5 пользователей с адресами из начала диапазона IP адресов вашей локальной сети. У этих пользователей будет доступ в Интернет, также будет считаться их трафик.
    По аналогии с этими пятью пользователями нужно завести ваших пользователей с необходимыми параметрами

После работы Мастера создается группа "Разрешено все" и следующие пользователи в ней:

  • Сервер Lan2net в Интернет
    Трафик сервера Lan2net без учета проходящего через него трафика пользователей.
  • Пользователь 1..5
    Пользователи с IP адресами из начала диапазона адресов локальной сети.
  • Все пользователи LAN
    Совокупность Интернет-трафика всех компьютеров сети, подключенных к внутреннему адаптеру. Если включить этого пользователя, то у всех компьютеров локальной сети будет доступ в Интернет.

Также создаются созданы "Правила Firewall" которые разрешают весь локальный трафик и запрещают весь трафик, инициированный из Интернет (кроме Ping):

  • Разрешен локальный трафик сервера Lan2net
    Разрешает трафик в локальную сеть с компьютера, на котором установлен Lan2net NAT Firewall.
  • Разрешен локальный трафик
    Выделяет из общего трафика трафик из локальной сети на шлюз и считает его отдельно. Таким образом этот трафик не учитывается в трафике пользователей.
  • Разрешен PING извне
    Разрешает "пинговать" шлюз локальной сети из Интернет. Если это правило удалить, то Lan2net перейдет в режим "невидимки" (stealth).
  • Запрещен внешний трафик
    Служит для подсчета внешнего трафика, инициированного из Интернет. Этот трафик тоже нужно подсчитывать, т.к. запрещенные сетевые пакеты уже достигли шлюза и являются частью входящего трафика.

После завершения работы "Мастера быстрой настройки" нужно добавить в Lan2net NAT Firewall всех пользователей локальной сети. Читайте об этом в следующем параграфе.

В начало




Шаг 1 - Добавление пользователей.

Чтобы считать трафик каждого из пользователей локальной сети, нужно завести этих пользователей в Lan2net NAT Firewall.

Рассмотрим пример создания пользователя с аутентификацией по IP и МАС адресам.

На главном окне в контекстном меню выбираем Добавить пользователя (или нажимаем соответствующую кнопку на тулбаре). Откроется окно свойств пользователя. Заполняем форму:

  • Выбираем Имя пользователя;
  • Выбираем Интерфейс Локальная сеть, т.к. компьютеры пользователей LAN подключены к внутреннему адаптеру;
  • Выбираем Группу, например, Разрешено ВСЁ (в дальнейшем пользователя можно определить группу с другими правами доступа);
  • Выбираем Статус (по умолчанию - Включен);
  • Если пользователь работает на компьютере, где установлен Lan2net NAT Firewall, устанавливаем флажок Пользователь сервера Lan2net;
  • Выбираем Способ аутентификации. Самый простой - по IP адресу. Указываем IP-адрес компьютера локальной сети, например, 192.168.0.2. Подробнее про способы аутентификации читайте здесь;

Окно добавления пользователя.

Другие пользователи добавляются аналогичным образом.

Пользователям можно устанавливать квоты трафика. Подробнее об этом читайте в параграфе "Установка квот трафика для пользователей и групп".

В начало




Шаг 2 - Настройка DNS.

После добавления пользователей нужно проверить настройки DNS (Domain Name System) на компьютерах локальной сети. Настройки DNS в Lan2net находятся в разделе "Настройки".

Есть 2 варианта настроек DNS:

  • В локальной сети нет сервера DNS.
    • В таком случае удобнее всего воспользоваться возможностью DNS forwarding, реализованной в Lan2net. По умолчанию DNS forwarding включен и использует сервера DNS, указанные в настройках внешнего интерфейса шлюза (пункт "Использовать DNS из сетевых настроек Windows")
    • Также в Lan2net можно задать сервера DNS вручную (пункт "Задать вручную")
  • В локальной сети есть свой собственный сервер DNS.
    • В этом случае выбираем в настройках Lan2net пункт "Не использовать DNS"
Окно добавления пользователя.


В начало




Шаг 3 - Группы и правила пользователей. Настройка правил доступа и ограничений.

Все пользователи Lan2net объединены в группы. Для каждой группы задается набор правил, поэтому не нужно задавать свой набор правил для каждого пользователя, что упрощает настройку.

Трафик, который неудобно учитывать на пользователей (например, трафик инициированный из Интернет, трафик web- или FTP-сервисов и т.п.) управляется Правилами Firewall.

После работы мастера все пользователи привязаны к группе "Разрешено ВСЁ". Если вам нужно ввести ограничения для определенных пользователей, то необходимо создать новую группу с соответствующими правами доступа в разделе Группы по правилам доступа.

Рассмотрим для примера случай, когда нужно определенным пользователям запретить все ресурсы кроме web-страниц (HTTP).

  • В разделе Группы по правилам доступа нажимаем на кнопку Добавить группу и создаем новую группу с именем Только web.
  • Определяем правила доступа. Для этого нажимаем на кнопку Добавить правило доступа (или выбираем соответствующий пункт в контекстном меню) и выбираем правило из списка - в данном случае HTTP протокол (порт 80). Нажимаем кнопку Применить.
  • Чтобы для группы не считался трафик с определенных адресов (например, внутрисетевой трафик), идем на вкладку Локальные адреса и указываем нужный диапазон, например 192.168.0.2 - 192.168.0.254.
  • В разделе Пользователи для каждого пользователя, которому нужно ограничить доступ, в свойствах пользователя меняем группу с Разрешено всё на Только web.

Таким же образом задаются другие правила доступа. Правила можно выбрать из списка уже готовых типовых правил, или выбрать в списке правил Другое правило и настроить его вручную.

Группу, к которой привязан пользователь, можно менять в свойствах пользователя, но гораздо удобнее переносить пользователя мышкой из одной группы в другую (функция drag-n-drop).

Группам можно устанавливать квоты трафика. Подробнее об этом - в следующем параграфе "Установка квот трафика для пользователей и групп".

В начало




Шаг 4 - Установка квот трафика для пользователей и групп.

Lan2net NAT Firewall позволяет установить дневные, месячные и общие квоты на входящий и исходящий трафик. Квоты могут устанавливаться как для групп, так и для пользователей.

Квоты групп и квоты пользователей независимы друг от друга. Если исчерпана квота группы, то блокируются все пользователи группы. Если исчерпана квота пользователя, то он блокируется вне зависимости от квоты группы, в которую он входит.

Квоты пользователя устанавливаются в окне Статистика раздела Пользователи (вызывается кнопкой Статистика или двойным щелчком мыши по пользователю в списке).

Статистика пользователя.

Квоты группы устанавливаются в закладке Квоты раздела Группы по правилам доступа. Чтобы задать одинаковые квоты всем пользователям группы, можно воспользоваться кнопкой Задать квоты для пользователей группы, расположенной здесь же.

Квоты группы.

Задавать квоты группы также можно в разделе Пользователи с помощью контекстного меню.

В начало




Шаг 5 - Настройка работы пользователей после исчерпания квот. Типы аутентификации пользователей и их приоритеты.

В Lan2net NAT Firewall используется несколько типов аутентификации. Одному компьютеру локальной сети может быть соответствовать несколько пользователей Lan2net. Типы аутентификации в Lan2net имеют свои приоритеты - таким образом, можно точно определить каким именно образом авторизуется конкретный пользователь.

Например, компьютеру с IP-адресом 192.168.0.2 могут соответствовать 2 пользователя: первый, с аутентификацией по IP-адресу 192.168.0.2, и второй, с аутентификацией по диапазону IP-адресов 192.168.0.1 - 192.168.0.254. Поскольку аутентификация по адресу имеет более высокий приоритет, чем аутентификация по диапазону адресов, то весь трафик компьютера с адресом 192.168.0.2 будет учтен на первого пользователя. Если мы отключим первого пользователя (либо у него исчерпается квота), то весь трафик будет учитываться на второго пользователя.

Приоритеты аутентификации могут применяться для того, чтобы разрешить определенный вид доступа пользователям после исчерпания квот.

Например, нужно чтобы после исчерпания квоты остался доступ к почте по протоколу POP3. Для этого:

  1. Создаем группу с именем Разрешен только POP3
  2. В этой группе создаем правило, для чего:
    • Добавляемее правило из шаблона POP3 протокол (порт 110)
    • Жмем Применить
  3. В разделе Пользователи добавляем пользователя с именем Пользователи после превышения квот:
    • Интерфейс Локальная сеть
    • Группа Разрешен только POP3
    • Способ аутентификации - Диапазон IP адресов. Указываем диапазон адресов пользователей, попадающих под действие правила (например, весь диапазон адресов локальной сети)

После превышения квот каким-либо конкретным пользователем XYZ, этот конкретный пользователь XYZ отключится, а весь его трафик будет регистрироваться на пользователя Пользователи после превышения квот, если его IP адрес входит в диапазон, указанный в свойствах пользователя Пользователи после превышения квот. Соответственно, к пользователю XYZ теперь будут применяться правила группы Разрешен только POP3.

В начало




Шаг 6 - Настройка правил firewall. Организация доступа к сервисам локальной сети (WWW, FTP, e-mail и т.д.)

Весь трафик можно условно разделить на 2 вида: трафик, непосредственно инициированный самими пользователями и трафик, напрямую не связанный с действиями пользователей локальной сети (например, инициированный из Интернет, трафик вашего web- или FTP-сервисов и т.п.) Правила Firewall обеспечивают управление и подсчет того трафика, который не принадлежит пользователям, заведенным в Lan2net.

В Lan2net есть 2 типа правил: правила пользователей и правила Firewall. Под пользователями в Lan2net подразумеваются реальные пользователи, трафик которых необходимо контролировать. В то же время существует необходимость разрешить, выделить и подсчитать другой трафик - например, трафик web-, FTP- и mail- сервера, программы "банк-клиент" и т.п. Правила Firewall предназначены для контроля такого трафика, т.к. в настройках правила можно указать все нужные параметры - адреса и порты источника и назначения, протокол.

В правилах Firewall параметры источника и назначения задаются вместе - одним правилом. В правилах пользователей параметры источника - это свойства пользователя, а параметры назначения - это правила групп. В этом состоит коренное отличие правил firewall от правил групп пользователей.

Каждое правило привязано к определенному интерфейсу. Приоритет Правил Firewall выше приоритета пользователей.



После работы "Мастера быстрой настройки" доступ из Интернет в локальную сеть закрыт, - разрешен только Ping. Зачастую требуется открыть доступ к определенному порту, ресурсу или сервису, расположенному в LAN - на шлюзе, или внутри локальной сети.

Для настройки Правил Firewall рекомендуется пользоваться соответствующим Мастером.

Рассмотрим пример, когда нужно открыть доступ из Интернет к web-серверу, расположенному на шлюзе где установлен Lan2net NAT Firewall.

Нажимаем на кнопку Добавить сервис. Откроется окно редактирования сервиса. Заполняем форму:
Указываем Название сервиса, например, Web-сервер;
Выбираем Протокол TCP;
Выбираем IP-адрес источника Любой;
Выбираем IP-адрес назначения - здесь надо указать IP-адрес внешнего интерфейса шлюза, например 80.1.88.15;
Выбираем Порт источника Любой;
Указываем Порт назначения 80;
Выбираем Действие Разрешить.

Другие Правил Firewall настраиваются аналогичным образом. Про настройку port mapping с помощью правил Firewall читайте в параграфе "Port mapping. Переадресация трафика".

В начало




Шаг 7 - Настройка сетевых интерфейсов, настройка NAT и DHCP.

Каждому сетевому адаптеру Windows должен соответствовать интерфейс в Lan2net NAT Firewall. Настройка интерфейсов в Lan2net NAT Firewall включает в себя выбор сетевого адаптера для интерфейса, настройку NAT и DHCP.

Технология трансляции адресов (NAT) используется для подключения компьютеров локальной сети к Интернет через один внешний IP-адрес без изменения настроек клиентских программ. Подробности о NAT читайте в статье о NAT на нашем сайте. Настройка NAT сводится к выбору Диапазона IP-адресов для NAT и выбора внешнего интерфейса, на котором будет осуществляться трансляция адресов.

Если на шлюзе, где стоит Lan2net NAT Firewall, используется DHCP, то ставим флажок Разрешить выдачу IP-адресов через этот интерфейс (пропускать запросы DHCP-сервера). Если машина, где стоит Lan2net NAT Firewall, является DHCP клиентом, то ставим флажок Разрешить автоматическое получение IP-адреса для этого интерфейса (пропускать запросы DHCP клиента). Если DHCP не используется, то ни один из флажков не должен быть отмечен.

В начало




Мониторинг соединений пользователей.

Раздел Мониторинг служит для просмотра соединений и позволяет создавать правила на основе этих соединений.

Общее количество соединений показывается в статус-баре.
Все текущие соединения показываются в виде дерева, также показываются системные соединения, такие как:

  • System0 - запрещенные соединения, не попавшие ни под одного пользователя;
  • System1 - транзитный трафик между интерфейсами шлюза;
  • System2, System4 - соединения NAT.

С помощью контекстного меню можно скопировать выбранное соединение как правило доступа либо как текст. Если соединение скопировано как правило доступа, то с помощью контекстного меню его можно вставить как правило для выбранной группы в разделе "Группы и правила пользователей".

Мониторинг.


В начало




Журнал логов. Просмотр лог-файлов.

Раздел "Журнал" служит для просмотра лог-файлов с возможностью использования многочисленных фильтров.

По умолчанию файлы логов сохраняются в базе данных, путь до которой указывается в разделе "Параметры". В том же разделе можно дополнительно включить сохранение логов в текстовом виде (аналогичном Winroute), что позволяет использовать внешние анализаторы логов. Правда, в отличии от формата Winroute, логи Lan2net могут содержать русские символы и пробелы в именах пользователей.

В начало




Встроенный web-сервер, просмотр статистики трафика через web.

Lan2net NAT Firewall имеет встроенный web-сервер, служащий для просмотра общей статистики и статистики конкретного пользователя. Для доступа к статистике на web-сервере нужно набрать в браузере http://192.168.0.1:8010, где 192.168.0.1 - адрес внутреннего интерфейса шлюза, на котором установлен Lan2net NAT Firewall, а 8010 - порт web-сервера, указанный в разделе "Параметры". Порт по умолчанию - 8010. Если этот порт занят, например, другим веб-сервером, то надо указать другой.

Для доступа к общей статистике используется тот же пароль, что и для входа в панель администратора Lan2net NAT Firewall, вне зависимости от имени пользователя. Для просмотра своей статистики пользователю достаточно открыть браузер и набрать http://192.168.0.1:8010.

Встроенный в Lan2net NAT Firewall web-сервер может использоваться не только для просмотра статистики, но и как и обычный web-сервер, - например, для организации корпоративного web-сайта. Корневая папка web-сервера по умолчанию - Program Files\LAN2NET\www\. Ее также можно поменять в разделе "Параметры".

Отчеты делаются с применением технологи XML/XSL. Поэтому внешний вид отчетов можно изменить, редактируя шаблоны XSL для каждого отчета. Шаблоны расположены в папке \Program Files\LAN2NET\www\ReportTemplate.

  • sumall.xsl - суммарный отчет;
  • user.xsl - статистика пользователя;
  • userip.xsl - детальный отчет по пользователю.


В начало




Port mapping. Переадресация трафика.

Port mapping - это переадресация пакетов, принимаемых на определенный порт сетевого интерфейса, на определенный порт другого компьютера. Например, с помощью технологии port mapping можно разрешить внешний трафик к определенному компьютеру локальной сети.

В Lan2net port mapping - это действие Модифицировать. Настроить его можно в разделах "Правила Firewall" и "Группы и правила пользователей".

Существует множество различных применений port mapping, таких как:

  • Организация прозрачного (transparent) прокси - в таком случае в настройках программ-клиентов не нужно указывать адрес прокси-сервера.
  • Доступ из Интернет в локальную сеть с частными, т.е. "серыми" IP адресами. Это может потребоваться в случае, когда у вас внутри локальной сети есть ресурс (например, web-сервер), доступ к которому нужно предоставить из Интернет.

Рассмотрим пример настройки доступа в локальному web-серверу:
Для этого в разделе "Правила Firewall" выбираем интерфейс Интернет, вызываем кнопкой Добавить правило окно редактирования нового правила и заполняем форму:

Окно настройки port mapping с помощью сервисов.
  • Указываем Название, например, Доступ из Интернет к web-серверу
  • Выбираем IP-адрес источника Любой.
  • Указываем IP-адрес назначения, т.е. адрес внешнего интерфейса, например, 80.1.88.15.
  • Выбираем Порт источника Любой. Указываем Порт назначения 80.
  • Выбираем Действие Модифицировать (Port mapping), выбираем IP-адрес и указываем внутренний адрес web-сервера, например, 192.168.0.2.
  • Нажимаем OK и затем Применить.


В начало




Аутентификация пользователей по логину в Windows - NTLM аутентификация.

Когда одним компьютером пользуется несколько человек, то аутентификация по IP или IP+MAC нецелесообразна. В таком случае лучше использовать NTLM аутентификацию, которая позволяет распознать пользователя по его логину в Windows.

Проще всего настроить NTLM-аутентификацию, если в сети используется Active Directory. Если Active Directory нет, то придется сначала завести всех пользователей в ОС компьютера, на котором установлен Lan2net NAT Firewall. После этого нужно завести пользователей в Lan2net NAT Firewall, указав Способ аутентификации NTLM (по логину Windows) и ввести в поле Логин имя пользователя AD (или логин пользователя Windows, если AD не используется).

Для работы NTLM аутентификации на компьютерах пользователей должно быть установлено приложение Lan2net Client. Lan2net Client также служит для просмотра значений израсходованного трафика за день, за месяц и всего трафика, а также для просмотра значений соответствующих квот.

В поле Сервер клиента надо ввести адрес внутреннего интерфейса шлюза, в поле Порт - порт для Lan2net Client (по умолчанию - 7001), указывающийся в разделе "Параметры". После первого запуска эти значения сохраняются в реестре, в ключе HKEY_CURRENT_USER\Software\Lan2net. В дальнейшем Lan2net Client можно поставить в папку Автозагрузка, чтобы пользователь автоматически аутентифицировался при входе в систему. Если запустить Lan2net Client с ключем -q, то появиться только значок в system tray (без запуска главного окна).

Установить Lan2net Client можно двумя способами:

  • Запустить установку дистрибутива Lan2net NAT Firewall и выбрать в опциях только установку Lan2net Client;
  • Скопировать на компьютер в локальной сети из папки, где установлен Lan2net NAT Firewall, 2 файла: Lan2netClient.exe и Lan2netClientrc.dll.


В начало




Работа с тремя и более сетевыми интерфейсами

Часто бывает что шлюз раздает Интернет трафик в две подсети или несколько подсетей. Соответственно, на шлюзе есть 3 и более сетевых интерфейса. Мастер настройки позволяет создать конфигурацию для двух сетевых интерфейсов. Соответственно, если интерфейсов больше, то их нужно добавлять вручную.

Рассмотрим ситуацию, когда есть один канал в Интернет и две подсети, пользователям которых нужно предоставить доступ в Интернет. После работы мастера нужно добавить третий интерфейс.

Для этого идем в раздел "Интерфейсы" и добавляем новый интерфейс. Например, Локальная сеть 2. Затем идем в раздел "Пользователи" и создаем пользователей этой подсети, привязанных к этому интерфейсу.

Пользователи Локальной сети 2 (второй подсети) добавляются точно так же, как и пользователи первой подсети, но только привязываются к интерфейсу Локальная сеть 2

В начало




Настройка VPN.

До начала настройки VPN-соединений в Lan2net NAT Firewall убедитесь, что ваш VPN-сервер правильно установлен и сконфигурирован. Существует несколько основных вариантов конфигураций VPN:

  1. Соединение с Интренет осуществляется через VPN соединение. Шлюз, на котором установлен Lan2net, соединяется с VPN сервером провайдера.
  2. Пользователи локальной сети подключаются к VPN серверу, который находится на шлюзе локальной сети, где установлен Lan2net NAT Firewall.
  3. Пользователи из Интернет подключаются по VPN к шлюзу, на котором установлен Lan2net NAT Firewall.
  4. Пользователи локальной сети подключаются к внешнему VPN серверу.

VPN-соединения в Lan2net можно настроить для вариантов 1, 2 и 3. Во всех других конфигурациях (в том числе и в варианте 4) VPN-трафик не сможет проходить через шлюз с Lan2net, поскольку реализация NAT в Lan2net не может обрабатывать VPN трафик.

VPN-соединения используют интерфейс NDISWANIP (dial-up) и протоколы GRE, PTPP и IPSec. Надо сконфигурировать Lan2net NAT Firewall так, чтобы программа пропускала эти протоколы.


Вариант 1 (Соединение клиентов локальной сети с Интернет через VPN, сервер VPN установлен на шлюзе локальной сети)

При первоначальной конфигурации Мастером быстрой настройки создается правило, которое пропускает протокол GRE.

VPN-соединения в Windows являются dial-up соединениями. Поскольку для dial-up соединений в Windows используется интерфейс NDISWANIP, в Lan2net также нужно добавить соответствующий интерфейс. Для этого:

  1. Идем в раздел "Интерфейсы" и добавляем новый интерфейс NDISWANIP с названием VPN.
  2. Создаем Правило Firewall для интерфейса VPN. Идем в раздел Правила Firewall и добавляем правило для интерфейса VPN со следующими параметрами:
    Название например, VPN-трафик шлюза;
    Протокол Любой;
    IP-адрес источника Адреса сервера L2n;
    IP-адрес назначения Любой;
    Действие Разрешить.


Вариант 2 (Соединение клиентов локальной сети с VPN-сервером, находящимся на шлюзе локальной сети)

При правильно настроенном сервере VPN такая конфигурация будет работать сразу после работы Мастера настройки Lan2net.

Вариант 3 (Клиенты из Интернет подключаются по VPN к шлюзу, на котором установлен Lan2net)
  1. Создаем Правила Firewall для интерфейса Интернет (внешний адаптер) со следующими параметрами:
    Правило а:
    Название например, PPTP
    Протокол TCP
    IP адрес источника Любой
    IP адрес назначения Любой
    Порт Источника Любой
    Порт Назначения 1723 (PPTP).
    Действие Разрешить.

    Правило b:
    Название например, GRE
    Протокол Другой №47 (GRE)
    IP адрес источника Любой
    IP адрес назначения Любой
    Порт Источника Любой
    Порт Назначения Любой
    Действие Разрешить.
  2. В разделе "Интерфейсы" для интерфейса Интернет необходимо установить флажок Разрешить выдачу IP-адресов через этот интерфейс.
  3. В разделе "Интерфейсы" добавляем новый интерфейс NDISWANIP с названием VPN.
  4. Создаем группу пользователей Пользователи VPN, в которую добавляем правила для доступа VPN-пользователей к ресурсам сети.
  5. Заводим нового пользователя VPN-пользователь, входящего в группу Пользователи VPN и привязанного к сетевому соединению VPN. В способах аутентификации VPN-пользователя указываем диапазон IP-адресов, из которого VPN-сервер назначает адреса VPN-соединениям.
    Можно создать несколько пользователей с аутентификацией по IP-адресу, если VPN-сервер выдает статические адреса пользователям.


В начало



© 2006 ООО "Ростбиохим" | Администратор




Скачать firewall   |   Купить   |   Скриншоты   |   Настройка   |   Поддержка   |   FAQ   |   Возможности   |   О компании   |   Обратная связь