Netzwerken mit Windows 2003

Routing, RAS und die Basis-Firewall

Immer wenn man ein ganzes LAN ans Internet anschließen will bieten sich verschiedene Möglichkeiten dies zu tun: Am Einfachsten ist das beim Windows 2003 Server sicherlich mit dem Internet Connection Sharing. Die deutlich flexiblere Variante die auch bessere Schutzmöglichkeiten bietet - und die vor allem bei Festverbindungen dem ICS vorzuziehen ist - ist die Routing-Funktionalität des Windows 2003 Servers.

Der Routing and Remote Access Server ist eine Komponente des Windows 2003 Servers und enthält, wie der Namen schon sagt, einen Software-Router, einen Remote-Access Server und eine Dial-On-Demand Komponente. Außerdem kennt der RRAS auch NAT – die Netzwerkadressübersetzung – und verfügt über eine Firewall mit Paketfilter. Das macht den RRAS Server im Windows 2003 Server zu einem perfekten Internet-Gateway für LANs.

Eine sinnvolle Konfiguration ist dabei ein Windows 2003 Server mit zwei Netzwerkkarten: Mit der einen Netzwerkkarte schließt man der Server dabei an das LAN an, die andere Netzwerkkarte geht den Weg ins öffentliche Netz. Dabei hat nur das öffentliche Interface auch eine öffentliche IP-Adresse, die man normalerweise vom Carrier oder ISP bekommt. In jedem Fall gehört sie zur Festanbindung dazu.

Eine Konfiguration mit einer privaten und einer öffentlichen Netzwerkkarte kann man natürlich auch noch für viele andere Dinge verwenden. So wäre zum Beispiel ein öffentlicher Internet-Server denkbar, der den IIS 6 von Windows 2003 Server verwendet: Der Server wäre dann über das öffentliche Interface sichtbar und würde über das private Interface konfiguriert und gewartet werden. Die Konfiguration ist – abgesehen von der Firewall – in einem solchen Fall mehr oder minder identisch mit der Konfiguration als Internet-Gateway.

Voraussetzung: Zwei Netzwerkkarten im System

Zunächst einmal braucht es also zwei Netzwerkkarten. Das ist weiter kein Problem, denn der Windows 2003 Server kommt mit beliebig vielen davon klar. Diese Netzwerkkarten sind dann ganz normal zu konfigurieren. Der Übersicht halber nennen Sie das eine Interface Internet und das andere LAN oder DMZ – je nachdem wie die Verbindung zum internen Interface erfolgt.

Das Internet Interface bekommt außerdem eine normale öffentliche IP-Adresse, also die, die Sie vom ISP erhalten haben, bzw. die, die zur Domain gehört welche vom Webserver betreut wird. Das private Interface erhält eine private, nicht-routbare Adresse, also etwa 192.168.169.1/255.255.255.0.


Zwei Netzwerkkarten müssen es sein, sonst macht RRAS keinen Sinn.

Ist das erledigt, müssen Sie den RRAS Server installieren, was ganz normal mit der Serververwaltung funktioniert. Die zu installierende Komponente trägt dort den Namen RAS/VPN Server: Darin ist das Routing, die Firewall und das NAT enthalten.

Danach starten Sie die RRAS-Software Management Konsole. Die stellt im linken Bereich einen Baum dar, der seinerseits Informationen über die Netzwerkschnittstellen und über das IP-Routing darstellt. Um das Routing zu aktivieren klicken Sie mit der rechten Maustaste auf den Namen des Servers und wählen dann den Befehl Routing und Ras aktivieren und konfigurieren. Das startet den Setup-Assistenten für RRAS.

Im Assistenten müssen Sie angeben welche Art der Konfiguration Sie wünschen. Für ein Internet-Gateway oder einen Webserver mit der oben beschriebenen Konfiguration brauchen Sie die Option Netzwerkadressübersetzung (NAT). Danach müssen Sie angeben welche Ihrer Netzwerkkarten das öffentliche Interface und welche das private Interface darstellen soll.

Nach dem Abschluss des Assistenten finden Sie in der Baumdarstellung von RRAS unter dem Ast NAT/Basisfirewall drei Einträge: Die interne Schnittstelle (die nicht weiter von Belang ist), das LAN und das Internet Interface.

Die Interfaces sind hier ebenfalls ganz einfach zu konfigurieren . das ist hauptsächlich für später praktisch, da der Assistent alle notwendigen Einstellungen bereits vorgenommen hat.