12 лет назад 27 ноября 2006 в 0:48 96

Когда-то давно глава Microsoft напророчил по компьютеру на каждый стол в каждом доме. А вот про сети и интернет он как-то умолчал. Его пророчество тем не менее методично сбывается, число компьютеров в домах растет, личные ПК (в основном из числа морально устаревших) получают школьники и бабушки. C появлением безлимитных тарифов доступа в интернет в договор об обеспечении услуг некоторых провайдеров добавляется строчка, запрещающая бесплатно подключать дополнительные компьютеры. Очевидно, что многих пользователей волнует вопрос: “А как же подключить к Сети всю квартиру, чтобы не платить за каждый компьютер в отдельности?”

Задача предоставить доступ в интернет всей внутренней домашней сети, имея одно подключение, то есть один IP-адрес, с минимальной видимостью для провайдера решаема. К сожалению, на сто процентов спрятать внутреннюю подсетку практически невозможно, поскольку на каждую хитрость существуют ответные хитрости. Тем не менее нужно знать, что железные реалтаймовые анализаторы трафика стоят тысячи долларов и по этой причине вряд ли окажутся у провайдера. К тому же можно всегда объяснить, что внутри квартиры есть еще пара компов, которые вы все равно подключите к Сети – конкурентной, например, где это не запрещается.

В общем, нужно сделать все красиво, чтобы внутренняя подсеть видела все, а ее – никто. Грамотно настроенное подключение вряд ли распознают, а если и распознают, то, скорее всего, простят. Когда все получится, знайте меру и не становитесь субпровайдером, обеспечивая интернетом весь подъезд.
Для решения поставленной задачи мы рассмотрим два приема. Первый – использование прокси-сервера, второй – трансляция адресов.

Подготовка внутренней сети
Для соединения второго компьютера в сеть можно использовать вторую сетевую карту в пограничном компьютере и соединение кроссовым кабелем. Тогда доступ во внешнюю сеть будет обеспечиваться только при включенном главном компьютере.

Также можно в пограничном компьютере использовать несколько сетевых карт, если во внутренней сети несколько систем. Впрочем, это очень неудобно, лучше использовать концентратор, чтобы рабочие станции подключались в топологию типа звезда.
Для полной автономности придется использовать управляемый маршрутизатор, который будет транслировать адреса из внешней сети и управлять внутренней.

Во внутренней сети необходимо использовать адреса из диапазонов: 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 или 192.168.0.0 – 192.168.255.255. Адреса из диапазона 169.254.0.0 – 169.254.255.255 обычно назначаются автоматически операционной системой в случае отсутствия назначающего IP-адреса DHCP-сервера.

ПРОКСИ-СЕРВЕР
Прокси-сервер – это посредник между двумя сетями, служба, которая позволяет выполнять косвенные запросы к другим сетевым службам. Клиент подключается к прокси-серверу, запрашивает внешний ресурс, и тогда прокси-сервер сам обращается к внешнему серверу, выполняет запрос и возвращает полученные данные клиенту. Так как все операции с внешней сетью производятся серверной машиной, то вычислить использование прокси получается достаточно сложно.

Впрочем, прокси-сервер требует настройки каждой программы, обращающейся к внешней сети в отдельности с указанием адреса прокси-сервера и порта, по которому работает тот или иной протокол.
В качестве реального примера рассмотрим программу ССProxy, которая позволяет в три клика настроить простой, но работающий прокси-сервер. Даже с опциями по умолчанию CCProxy сама находит внешние и внутренние соединения на серверном компьютере.

В клиентских приложениях остается только прописать IP-адрес сервера и порты, через которые будут работать те или иные протоколы. При необходимости можно задать фильтрацию клиентов по IP-адресам, MAC-адресам, рабочей группе или логину-паролю. CCProxy может выдавать доступ каждому компьютеру по расписанию, автоматически закрывать соединения, фильтровать сайты по списку. Отличный метод для защиты детей от нечисти интернета.

ТРАНСЛЯЦИЯ АДРЕСОВ
Трансляция адресов – Network Address Translation (NAT) – появилась “благодаря” недостаточности адресного пространства применяемого сегодня протокола IPv4. Из четырех байт адреса можно составить чуть более четырех миллиардов уникальных IP-адресов. Во избежание дефицита адресного пространства в 1994 году была принята спецификация NAT. Тогда механизм назвали решением временным.

При работе NAT пакеты подвергаются простейшей обработке на границе: замене обратного IP-адреса на реальный адрес “пограничного” компьютера и обратной замене во входящих пакетах. Часто происходит также подмена номеров портов в пакетах. При использовании NAT экономится адресное пространство (для пользователя это означает экономию средств). Дополнительно NAT предотвращает обращение снаружи к внутренним компьютерам, так как внутрь пропускаются только пакеты, соответствующие заданной трансляции.

NAT более удобна с клиентской стороны, поскольку современное программное обеспечение умеет работать с транслированными пакетами и не требует дополнительной настройки. К сожалению, NAT намного легче вычислить, чем прокси. В IP-пакете есть поле TTL, в котором записывается его (пакета) количество переходов. Если провайдер, отслеживая трафик, увидит пакеты с разными значениями TTL, то логично сделает вывод об использовании NAT. Вторым “продажным” полем становится идентификатор IP-пакета.

Раздача идентификаторов происходит просто: в Windows значения идентификатора каждого нового исходящего пакета на единицу больше предыдущего. Отследив последовательность пакетов и собрав статистику, провайдер может выделить несколько независимых последовательностей, по числу которых поймет, сколько компьютеров использует канал.

Анализ пакетов может производиться дорогостоящим оборудованием или программно при участии человека. Если первый метод мы исключаем из-за жадности провайдера, а второй – из-за его лени, то в таком случае остается только настроить NAT. Поддержка NAT реализована во всех операционных системах Microsoft, выпущенных после 1999 года. Для разрешения доступа из внутренней сети к внешней на серверном компьютере в свойствах интернет-соединения нужно установить галку, разрешающую другим компьютерам использовать это соединение для подключения к интернету. Если внутренняя подсеть настроена правильно, то все должно заработать. Если доступ в интернет на внутренних машинах не появляется и выдается ошибка “Не удается разрешить общий доступ. Ошибка: 1722: Сервер RPC недоступен”, то, скорее всего, остановлен или запрещен сервис DHCP-клиент, нужно его запустить до включения общего доступа к интернету.

В качестве альтернативных стандартным методам трансляции адресов можно использовать продвинутые инструменты. Если решать задачу программно – то стоит взять очень качественный пакет Kerio Winroute Firewall. Этот пакет позволяет подключить сеть к интернету независимо от типа соединения с глобальной паутиной. Дополнительно к необходимому нам роутеру Winroute мы получим файерволл, кэширующий прокси, cерверы DHCP и DNS, фильтры адресов, планировщик, удаленное администрирование, поддержку VPN, VoIP и прочее. Пакет намного функциональнее стандартных средств Windows.

Большую часть из возможностей Winroute можно обеспечить аппаратным роутером, к примеру Compex NP27G или TRENDnet TW100-BRV204 и прочих. Управляясь через веб-интерфейс, эти маршрутизаторы позволят подключить всю сеть к единственному каналу, не потребуют постоянно включенного канала, а еще будут на железном уровне фильтровать трафик, работая в роли межсетевого экрана. Выбирая маршрутизатор, стоит обратить внимание на возможность настройки MAC-адреса устройства и работы с динамическими IP. Если роутер этих опции лишен, то в с современными провайдерами он вряд ли заработает так, как мы этого хотим.

КАК ЖЕ БЫТЬ?
Из существующих решений задачи подключения локальной сети к интернету наиболее интересными нам кажутся варианты с прокси и аппаратным маршрутизатором. Первый способ предлагает простоту и защиту от жадного провайдера, а второй обеспечивает максимальное удобство и самостоятельность каждого компьютера во внутренней сети. Средств для реализации того или иного решения более чем достаточно. Мы привели пару примеров, но, возможно, стоит найти свое решение.

Единственный совет: не злоупотребляйте. Если удалось подключить всю квартиру, после чего провайдер ничего не сказал – не рвитесь подключать этаж. Мини-сеть в два-три компьютера не вызовет интерес у провайдера, на нее могут просто закрыть глаза, а ведь именно этого мы хотели.