Wingate - сервис удаленного доступа (или как сократить расходы на оплату услуг провайдера)

Игорь КЛЕПЧИНОВ

Интернет для всех - это просто

Как сократить расходы на оплату услуг провайдера Internet? Как, используя всего лишь одну точку входа, предоставить доступ во всемирную сеть всем клиентам локальной сети? Хотите получить ответы? Читайте статью.


   Информация из сети Internet нужна многим компаниям. Но, в силу понятных причин, позволить себе использование выделенного канала и, соответственно, приобрести требующееся для этого оборудование (обычно это ISDN-модем и маршрутизатор) могут не все. Тем не менее есть способ, который позволит без больших расходов пользоваться всеми услугами, предоставляемыми по глобальной сети. Этот способ - использование так называемых шлюзов. Под шлюзом следует понимать некий комплекс, включающий персональный компьютер и соответствующее программное обеспечение. Причем этот компьютер может использоваться как в качестве выделенного сервера в локальной сети, так и в качестве обычного клиентского ПК. Есть предостаточно программного обеспечения для организации такого рода соединения с Internet. Наиболее известное - это WinProxy и WinGate. На мой взгляд, в WinGate предлагается гораздо больший набор функций. К этому заключению я пришел после того, как поработал с каждым из них. Могу сказать, что WinGate от компании Qbik включает все необходимое для предоставления высокоскоростного доступа в Internet, и кроме того, имеет ряд дополнительных полезных функций. Поэтому в данной статье будет рассмотрена именно эта программа, ее вторая версия. Хотелось бы отметить, что автор использовал версию программы, предназначенной для Windows NT, и все рассуждения будут касаться именно этой схемы. Таким образом, под сервером мы будем подразумевать компьютер под управлением ОС Windows NT Server 4.0 с установленной программой Wingate. Ну что, начнем?

Для чего нужен Wingate?

4n99y_r1.gif (9747 bytes)

Рис. 1. При применении Wingate все клиенты локальной сети работают как один пользователь

    Эта программа позволяет всем клиентам локальной сети предприятия получить полноценный доступ к Интернету. При этом не нужно регистрировать каждого пользователя у сервис-провайдера, поскольку используется одна точка входа и, соответственно, IP-адрес тоже один. Как если бы все сотрудники компании при навигации по просторам Интернета работали как один пользователь (рис. 1). Рассмотрим, как все происходит. В тот момент, когда пользователь компьютера в локальной сети пытается с помощью браузера просмотреть страницу WWW, Wingate инициирует сеанс дозвона к провайдеру. И после соединения пользователь может работать в глобальной сети как обычно. Допустим, другой пользователь попытается сделать то же. Ему не придется ждать: он сразу получит эту возможность, так как соединение уже установлено. Таким образом, оба пользователя получат доступ в Интернет по одному и тому же каналу. Еще одним примечательным свойством этой программы является то, что компьютер, на котором она установлена, выполняет функции брандмауэра (защиты внутренней информации, фильтрации пакетов). Это позволяет оградить компьютеры локальной сети от вторжения извне, что важно для защиты информации. Помимо всего прочего, Wingate позволяет кэшировать данные. Это помогает ускорить загрузку часто используемой информации.

Как организовать подсеть?

4n99y_r2.gif (7197 bytes)
Рис. 2. Настройка программы производится с консоли управления GateKepper
4n99y_r3.gif (8245 bytes)
Рис. 3. Настройка параметров почтового сервера
4n99y_r4.gif (8575 bytes)
Рис. 4. Установка параметров сервера новостей
4n99y_r5.gif (7669 bytes)
Рис. 5. Установка параметров DNS-сервера
4n99y_r6.gif (10523 bytes)
Рис. 6. Настройка браузера для подключения к Wingate
4n99y_r7.gif (4421 bytes)
Рис. 7. Wingate позволяет использовать несколько телефонных номеров для соединения с провайдером
4n99y_r8.gif (6927 bytes)
Рис. 8. Свойства записи для дозвона определяются в окне Properties for Dialer Entry
4n99y_r9.gif (7570 bytes)
Рис. 9. Свойства пользователей определяются в окне Properties for User
4n99y_r10.gif (9147 bytes)
Рис. 10. Wingate позволяет устанавливать баланс для пользователей
4n99y_r11.gif (7094 bytes)
Рис. 11. Wingate позволяет осуществлять контроль за действиями пользователей

    Понятно, что для доступа в Интернет требуется установка стека протоколов TCP/IP на всех компьютерах вашей локальной сети. Поэтому прежде всего давайте разберемся с организацией внутренней подсети. В инструкции по установке WinGate компания Qbik рекомендует использовать пул IP-адресов в диапазоне 192.168.0.1 - 192.168.0.254. Если вы последуете этому совету, то избежите дублирования IP-адресов, поскольку эта последовательность специально зарезервирована для использования во внутренних подсетях предприятий. Разумеется, вас никто не принуждает придерживаться этой рекомендации, но если ей не следовать, не исключено, что вы получите сообщение об ошибке соединения при попытке попасть, например, на сервер www.yahoo.com, потому что компьютер с таким адресом находится у вас на предприятии. Автор поступил так. На сервере была настроена служба DHCP (Dynamic Host Configuration Protocol; находится в системном каталоге Windows NT) для автоматической раздачи IP-адресов подключающимся клиентам. Сам сервер получил адрес 192.168.0.1. Для службы же DHCP было выделено множество адресов в диапазоне от 192.168.0.10 до 192.168.0.200. Естественно, что клиент, в свою очередь, должен быть настроен на автоматическое получение IP-адреса. Для варианта с WinGate для Windows 95 все это, естественно, не пройдет, поскольку в этой ОС нет службы DHCP. Поэтому раздавать IP-адреса придется "вручную".

Инсталляция

    Установка WinGate на сервере предельно проста. После копирования нужных файлов программа установки выведет диалоговое окно для указания IP-адреса сервера и соответствующего ему имени (Wingate - 192.168.0.1). Затем придется ввести Интернет-адреса серверов новостей, входящей и исходящей почты. Все эти данные вы получите у своего провайдера. Потом сервер следует перезагрузить. Заметьте, что после установки в списке Services появится еще одна служба, которую есть смысл настроить для автоматической загрузки (в списке Services выбрать службу Qbik Wingate Engine и установить флажок Load on Startup), чтобы в дальнейшем сохранить работоспособность WinGate после перезагрузки сервера и не прибегать к вмешательству администратора. На этом установку можно считать законченной.

Настройка Wingate

    После всех этих процедур можно приступать к настройке WinGate. Конфигурация программы осуществляется с консоли управления GateKepper (рис. 2). Для этого необходимо запустить файл GateKepper.exe. Рекомендуется сразу же установить параметры, необходимые для перехода в режим on-line. Именно такой подход предложила компания Qbik для настройки программы. То есть для изменения конфигурации программы нужно перейти в режим on-line. Для этого в меню Tools выбираем пункт On-line Options и в появившемся окне вводим требуемые значения. Заметьте, что по умолчанию в поле Server стоит значение Loalhost, которое отвечает значению 127.0.0.1, но если вы все делали, придерживаясь рекомендаций компании Qbik, то IP-адрес сервера с установленной программой Wingate у вас должен быть таким: 192.168.0.1. Поэтому, чтобы перейти в режим on-line, заполните это поле значением 192.168.0.1 или wingate. После этого из меню File выберите пункт Go on-line, и вы получите возможность изменять параметры. Главное окно программы в свою очередь состоит из двух окон. В левом отображаются подключенные в данный момент клиенты. Здесь представлена информация о том, какие действия предпринимает каждый клиент, куда именно он пытается попасть и какие файлы загружаются извне в настоящий момент. В правом окне отображается "дерево", содержащее достаточно внушительный перечень служб, список пользователей, список местонахождений, службу дозвона, службу кэширования и список прав пользователей. Большинство из этих служб не требует специальной конфигурации, однако на некоторых из них следует остановиться. Сперва разберемся с почтой. Для этого из списка Services выбираем запись SMTP Mapping. В диалоговом окне SMTP Mapping Properties (рис. 3) следует установить флажок Enable default mapping to в активное состояние и ввести адрес почтового сервера в поле Server . Если вы используете несколько почтовых серверов, то их все следует внести в список на вкладке Mappings, не забыв при этом снять флажок использования сервера по умолчанию. Чтобы насладиться всеми прелестями сервера новостей, настроим несколько параметров диалогового окна News Mapping Properties (рис. 4). В общем-то, это похоже на настройку окна SMTP Mapping Properties: разрешаем использование сервера по умолчанию и указываем его адрес. Обратите внимание! Чтобы избежать автоматического дозвона всякий раз, когда кто-нибудь пошлет ping на адрес внешней подсети, необходимо снять флажок Allow Request to initiate dialer ("запретить инициализацию автодозвона") в диалоговом окне DNS Server Properties (рис. 5).

Конфигурация клиента

    Очень удобна автоматическая конфигурация клиентов. Для этого в каталоге Wingate на сервере есть два файла - Wg2util.exe и Wg2auto.ini. Удостоверьтесь, что Wg2auto.ini содержит корректную строку wingate = IP-адрес сервера, на котором был установлен WinGate. У вас она должна быть такой: wingate = 192.168.0.1. После этого можно приступать к конфигурации, запустив Wg2util.exe. Эта программа позволяет настроить компьютер для использования с Wingate, а кроме того, автоматически сконфигурировать ваш браузер и программы для просмотра почты и чтения новостей. Ею поддерживается конфигурация популярных браузеров Netscape Communicator и Internet Explorer, почтовых клиентов Netscape Mail и Internet Mail, а также Eudora Pro, и клиентов новостей от Netscape и Microsoft. Для тех же, кто не воспользовался автоматической конфигурацией, расскажу о ручной настройке. Прежде всего необходимо указать, что подключение к Internet происходит через Proxy-сервер. Затем проставить значение "wingate" в поля адресов прокси-серверов для HTTP, FTP, Secure и Socks. Значения портов оставьте стандартными, то есть 80, 80, 80 и 1080 соответственно (рис. 6). Теперь о конфигурации почтовой службы и службы новостей. В поле адреса сервера новостей следует вписать значение wingate. Так же и с адресом SMTP-сервера. А вот значение POPсервера должно быть таким: <имя пользователя>#<имя почтового сервера провайдера>, например Ivan#www. ukrpack.net. И наконец, в окне настройки протокола TCP/IP (добраться к нему можно, выбрав пиктограмму "Сеть" на панели управления) нужно разрешить DNS и внести IP-адрес сервера в список просматриваемых DNSсерверов. Вот, наверное, и все, что касается конфигурации клиента. Кстати, работоспособность клиентской станции можно проверить, запустив элементарный ping по любому известному вам адресу в Internet.
    Например:
ping www.ibm.com
    Если вы увидите:

Pinging [aaa.bbb.ccc.ddd]
with 32 bytes of data
Destination host unreachable
Destination host unreachable
Destination host unreachable
Destination host unreachable

то система сконфигурирована вами правильно. Служба Wingate DNS работает корректно. Получив запрос на расшифровку Интернет-имени, DNS определила, что адрес не принадлежит внутренней подсети. Если был разрешен дозвон для определения внешних адресов (рис. 5), то вместо строки
"Destination host unreachable"
отобразилась бы
"reply from <IP-адрес webсервера IBM>: bytes = 32 time = 25ms TTL = 128".
    Если же вы прочтете:
bad ip address www.ibm.com
то, видимо, вы в чем-то ошиблись, и придется все проверить.

Служба дозвона

    Одной из ключевых в программе Wingate является служба автоматического дозвона. Именно с ее помощью удается сэкономить при оплате за Internet, поскольку службу дозвона можно сконфигурировать таким образом, чтобы соединение с провайдером прерывалось по истечении заданного промежутка времени, в который запросов от клиентов на получение данных из Интернета не поступало. Все это дает возможность оплачивать только необходимое время доступа, в отличие, скажем, от выделенного канала, когда плата взимается вне зависимости от того, использует ли ктолибо из клиентов Интернет или нет. А теперь о том, как именно настроить службу дозвона. Важно знать, что сам Wingate не работает с модемом. Вместо этого используются средства для удаленного доступа, интегрированные в операционные системы В Windows NT это RAS (Remote Access Service), а в Windows 9х - Dial-Up Networking. Поэтому прежде чем настраивать Wingate, сконфигурируйте системные службы в соответствии с требованиями, предъявляемыми провайдером (см. "Как настроить сервис удаленного доступа"). Затем из списка в правом окне выберите пункт Dialing и посмотрите на диалоговое окно Wingate Dialer Properties (рис. 7). В общем-то, ничего сложного в нем нет. В окне две закладки: Phonebook и Local Sites. На последней находится список, в котором вы можете перечислить все адреса в Интернете, обращение по которым не должно инициировать сеанс дозвона к сервис-провайдеру. Закладка же Phonebook содержит телефонную книгу. В ней вы определяете номера, по которым будет происходить сеанс дозвона. Нажав кнопку Add, вы увидите окно конфигурации профиля дозвона Properties for Dialer Entry (рис. 8). Заполнить поля не сложно, отмечу лишь, что в поле auto connect to нужно указать имя сконфигурированной вами ранее записи в системной книге удаленного доступа (RAS или Dual Up Networking). В поле Try to connect укажите количество попыток, которые Wingate должна будет предпринять для повторного соединения при неудаче первой попытки или обрыве. А в поле Auto disconnect требуется указать тот самый интервал времени, по истечении которого Wingate разорвет связь с провайдером, если клиенты не потребуют данных из Интернета. На вкладке Access вы можете указать тех клиентов, которым будет предоставляться возможность активации соединения по этому номеру. Для этого нажмите кнопку Add и выберите нужных вам пользователей. Очень полезна возможность запретить инициализацию автоматического дозвона для неопознанных пользователей (см. Locations в разделе "Пользователи") или разрешить доступ определенной группе пользователей.

Пользователи

    В общем-то, Wingate позволяет работать без определения пользователей, но их все же стоит указать - по нескольким причинам. Во-первых, у вас появится возможность предопределять права на пользование службами, которые предоставляет программа. Во-вторых, вы сможете проводить аудит, то есть тщательно инспектировать посещение тех или иных Webсайтов. И в-третьих, вы сможете "сбалансировать" доступ пользователей, то есть установить ограничение на время активации линии или на объем полученной информации. А теперь подробнее. Включить пользователя в список можно через локальное меню записи Users в правом окне Wingate, выбрав пункт New User. После этого перед вами появится окно для заполнения параметров нового пользователя Properties for User (рис. 9). Формирование "баланса" нового пользователя осуществляется на вкладке Accounting (рис. 10), а указать необходимые для аудита детали можно на вкладке Audit (рис. 11). Да, кстати, результаты инспектирования можно будет просмотреть в каталоге %WinGatePath%\ audit\ в файле username.log. Помимо определения пользователей Wingate предполагает создание так называемых месторасположений (Locations). Они нужны для того, чтобы однозначно идентифицировать пользователя, подключенного к Wingate, и определить, имеет ли он право на доступ к функциям программы. Добавлять Locations очень просто. Так же, как и для включения нового пользователя в список, из локального меню записи Locations выбираем пункт New Location. Появится окно Location (рис. 12), в котором нужно привести в соответствие имя пользователя и его IP-адрес (имеется в виду адрес внутренней подсети). Это нужно для однозначной идентификации клиента с целью определения правил его работы.

Правила

    Wingate предусматривает создание списка правил, в соответствии с которыми клиенты смогут или не смогут воспользоваться той или иной службой. Кроме того, имеется возможность определения графика доступа пользователей к службам (рис. 13). Это очень удобно. Например, можно запретить доступ некоторых пользователей в Интернет в определенные дни или часы, так как в это время работают клиенты, которым необходима высокая пропускная способность канала.

Кэширование

    Как уже было сказано, Wingate позволяет эффективно кэшировать информационное наполнение Интернета. Другими словами, браузер, вместо того, чтобы считывать данные с серверов Интернета, используя низкоскоростной канал, считает их из кэша внутреннего сервера предприятия. Обычно пользователи посещают одни и те же страницы, поэтому кэширование позволяет существенно ускорить доступ к данным из Интернета. Естественно, Wingate все время сравнивает данные из WWW и из кэша, поэтому пользователь заметит последние изменения, поскольку при обнаружении различий будет загружена более свежая информация. Настройка кэширования производится в окне Cache Properties (рис. 14). В этом окне можно указать выделяемый под кэширование объем дискового пространства, указать параметры сравнения кэшированных данных и данных оригинала, а также то, что нужно кэшировать, а что не нужно, и для кого из пользователей это делать, а для кого нет. Хотелось бы, чтобы данная статья помогла вам предоставить доступ в Интернет сотрудникам вашего предприятия. Ведь многие руководители, узнавая о ценах на пользование выделенным каналом для доступа к Интернету, просто хоронят затею о работе с WWW. В то же время программы вроде вышеописанных позволяют достичь экономии средств по крайне мере на порядок. Кто знает, может быть, это поможет некоторым менеджерам компаний изменить свое решение. И получить столь необходимый выход в глобальную сеть.

Как настроить сервис удаленного доступа

 

4n99y_ra.gif (5523 bytes)
Рис. A. Мастер создания оединений облегчает процедуру их настройки
4n99y_rb.gif (11110 bytes)
Рис. B. Закладка Server Types
4n99y_rc.gif (11487 bytes)
Рис. C. Окно конфигурации протокола TCP/IP
4n99y_rd.gif (3102 bytes)
Рис. D. Окно конфигурации службы RAS

   Служба дозвона Wingate использует сервис удаленного доступа, интегрированный в операционные системы Windows 9x и Windows NT. Поэтому рассмотрим настройку этой службы для каждой операционной системы. Dial-Up Networking Windows 9x Прежде всего эта служба должна быть установлена на вашем компьютере. Сделать это очень просто. В папке Control Panel вы выбираете пиктограмму Add/Remove Programs и отмечаете элемент Dial-Up Networking в списке Communications (попасть в список Communications можно, встав на элемент Communications и нажав кнопку Details). После того как вы нажмете кнопку ОК, программа установки скопирует все необходимые файлы на жесткий диск. Теперь перейдем к заданию параметров нового соединения с удаленной системой. Для этого откройте Windows Explorer и выберите папку Dial-Up Networking (она должна появиться после того как вы проделали вышеописанную процедуру). В списке элементов этой папки находится пиктограмма Make New Connection. Активизировав эту пиктограмму, вы запустите мастер "создания нового удаленного соединения" (рис. A). В первом диалоговом окне мастера вам нужно назвать новое соединение и указать, какой модем из числа установленных в вашей системе будет использоваться для дозвона до удаленной системы. Далее нажмите кнопку Next и введите номер телефона удаленной системы. Еще раз Next, и соединение почти готово. Мастер соединения поздравит вас с выполнением этой сложнейшей операции и попросит нажать кнопку Finish. А теперь снова переходите в окно Windows Exlorer. Наверное, разработчики компании Mirosoft так своеобразно шутят, потому что "созданное" вами соединение невозможно использовать. Кстати, вы его уже обнаружили? Оно появилось рядом с пиктограммой мастера соединений. Теперь нужно вызвать локальное меню нового соединения и выбрать пункт Properties. Вы увидите окно с несколькими закладками. Начнем с первой (General). Сразу снимите флажок Use area code and Dialing Properties (иначе модем будет набирать международный код вашей страны). После этого переходите на вкладку Server Types (рис. B). Здесь можете смело снять флажок NetBEUI: ни один провайдер не использует этот протокол (он не маршрутизируется). В то же время, практически все провайдеры используют протокол PPP (Point to Point Protocol) для удаленного доступа (выбран по умолчанию), но есть и такие, что применяют, например, SLIP (используется для доступа к машинам с ОС Unix) - тогда вам придется выбрать его из списка Type of Dial-Up Server. Флажок TCP/IP должен быть установлен, мало того: иногда нужно настроить это протокол. Нажмите кнопку TCP/IP Settings, и вы попадете в окно конфигурации протокола TCP/IP (рис. C). Дальнейшие действия выполняются в соответствии с требованиями вашего Интернет-провайдера. Если вам выделен постоянный IP-адрес, то установите переключатель Specify an IP address и введите его. То же касается и серверов DNS и WINS. Не забудьте нажать кнопку ОК. И наконец, вкладка Scripts. Некоторые провайдеры используют scripts (сценарии) для входа в сеть. Поэтому, если нужно, укажите файл сценария в поле Script file name. Сам файл сценария предоставляется провайдером. RAS в Windows NT В отличие от Windows 9x, для Windows NT все немножко сложнее. В ней для удаленного доступа используется служба RAS (Remote Access Service). Поэтому сперва необходимо установить саму службу RAS. Для этого нужно открыть Control Panel и выбрать в окне Networks вкладку Services. Затем нажать кнопку Add и выбрать в списке элемент Remote Access Service, после чего следует нажать кнопку ОК. После того как вы укажете путь к дистрибутивным дискам, необходимые файлы будут установлены на жесткий диск компьютера. На экране появится окно Add RAS Device, в котором вы укажете, какой модем будет использоваться для удаленного доступа. Если модем в системе еще не установлен, нажмите кнопку Install Modem и установите его. Затем на экране появится диалоговое окно Remote Access Setup (рис. D), в котором можно указать варианты использования RAS. Дело в том, что, в отличие от службы удаленного доступа операционной системы Windows 9x, RAS позволяет как дозваниваться до удаленных систем, так и отвечать на звонки от удаленных систем (в Windows 9x необходимо установить компонент Dial-Up Server, входящий в состав дистрибутива Windows 98, а для Windows 95 нужен пакет Microsoft Plus!). Чтобы определить возможности RAS, нажмите кнопку Configure. Появится диалоговое окно Configure Port Usage (рис. E). Если вы, например, хотите предоставить мобильным пользователям доступ к вашей локальной сети, то установите переключатель Port Usage в положение Dial Out and Receive Calls; в противном случае он должен стоять в положении Dial Out Only. Вернувшись в окно Remote Access Setup, нажмите кнопку Networks и укажите, какие протоколы будут использоваться для доступа к удаленным системам или же для доступа удаленных систем. Вернитесь в окно конфигурации RAS и нажмите кнопку Continue. После этого службу RAS можно считать настроенной. Теперь самое время заняться "созданием соединения". Из подменю Accessories меню Programs нужно выбрать пункт Dial-Up Networking. При первом выполнении этой операции вам будет предложено создать новую учетную запись в телефонной книге. В дальнейшем для ввода новых записей следует воспользоваться кнопкой New. Этим действием вызывается диалоговое окно New Phonebook Entry (рис. F), в котором вводится имя нового соединения и номер телефона провайдера. Здесь же определяется модем. Кстати, их в системе может быть установлено несколько. Например, если в компьютер установить плату расширения, предоставляющую дополнительные последовательные порты, и к ней подсоединить несколько модемов, то когда вы установите флажок Use another port if unavailable, RAS будет выбирать первый свободный в данный момент модем для удаленного соединения. Остальные параметры нового соединения (тип сервера, настройка протокола TCP/IP и сценарий входа в сеть) устанавливаются так же, как и для соединения в операционной системе Windows 9x..

4n99y_re.gif (4629 bytes)

Рис. E. Настроить RAS можно в окне Configure Port Usage

4n99y_rf.gif (6995 bytes)

Рис. F. Параметры нового соединения определяются в окне New Phonebook Entry

Игорь КЛЕПЧИНОВ, "К + П",
klp@comizdat.com

Источник: http://www.cp.comizdat.com

Hosted by uCoz