Windows 2003 Server, RAS e il (S/D)NAT

Il problema che tenta di risolvere questa guida è quello di utilizzare un solo PC Windows Server 2003 per fare il NAT sorgente e destinazione di un solo IP tra quelli assegnati al server. È stata scritta dopo il verificarsi di una problematica reale che ha richiesto questa soluzione: un centralino telefonico (di una nota azienda tedesca) ha solo una scheda di rete, a cui si può assegnare un solo indirizzo IP. Per sicurezza e per necessità l'indirizzo del centralino è interno, quindi non raggiungibile dall'esterno. Poichè però c'è la necessità di far raggiungere il centralino anche dall'esterno (e di lasciare un PC acceso solo per fare un NAT "totale" non se ne parla proprio, vista l'inutilità di tale mossa), ci si è spostati verso questa opzione: assegnare l'indirizzo pubblico ad un altro server (che fa qualcos'altro) e poi configurarlo perché le connessioni in ingresso verso quell'IP siano inviate verso l'indirizzo interno del centralino. Viceversa, quando il centralino "esce" su internet, il NAT provvede a far comparire l'IP pubblico del centralino come sorgente, e non quello del server (anche se entrambi effettivamente sono assegnati al server).

Prerequisiti

Prima di cominciare è consigliato avere già installato un dominio di Windows. In qualsiasi caso è necessaria la presenza di RAS (Routing e Accesso Remoto) configurato per il NAT e Firewall di base (nota: per fare questo sarà probabile che il server vi chieda di disattivare il servizio di Windows Firewall). Ovviamente una scheda di rete con due IP pubblici assegnati alla stessa scheda...

Configurazione del firewall di RAS

Eccoci quindi nella schermata del pannello di amministrazione di RAS (Start -> strumenti di amministrazione -> routing e accesso remoto). Spostiamoci (tramite la lista di lato) sulla schermata "Routing IP" -> "Firewall di base/NAT"

quindi premiamo con il tasto destro nella lista (vuota) delle interfacce dei firewall premiamo "Aggiungi interfaccia". Apparirà la lista delle interfacce di rete presenti nel server.

Selezioniamo quindi l'interfaccia di rete della rete locale e, nella finestra delle proprietà (tasto destro sulla scheda dopo averla aggiunta, voce proprietà) selezioniamo interfaccia "privata". Ripetiamo gli stessi passaggi per l'interfaccia di internet selezionando però "interfaccia pubblica" e abilitando sia il NAT che il firewall di base.

Ora andiamo nella scheda "Pool di indirizzi" e clicchiamo su "Aggiungi". Inseriamo quindi il range di IP pubblici per il server, con relativa sottorete.

Ora clicchiamo su "Prenotazioni" e inseriamo l'IP pubblico da assegnare al nostro PC interno (per il quale si fa il NAT, non il server) e l'IP privato del PC interno.