在Windows服务器上使用RRAS搭建NAT网关,需配置双网卡(外网获取公网IP、内网设192.168.100.1/24),安装RemoteAccess角色,通过rrasmgmt.msc启用NAT并指定内外接口,手动配置DHCP或静态IP,确保IP转发与防火墙规则正确。
在windows服务器上使用rras(路由和远程访问服务)搭建nat网关,核心是启用ipv4路由功能并配置网络地址转换,让内网客户端通过该服务器访问外网。操作需谨慎,尤其注意接口绑定、ip地址规划和防火墙放行。
准备前提与网络规划
确保服务器具备至少两块网卡:一块连接外网(如ISP提供的宽带,获取公网或上级网段IP),另一块连接内网(如192.168.100.1/24)。关闭Hyper-V虚拟交换机或WSL2的vEthernet干扰;若启用了Windows防火墙,需允许“路由和远程访问”相关规则(如ICMPv4入站、UDP 53等基础通信)。
安装并启用RRAS角色服务
以管理员身份运行PowerShell或服务器管理器:
- PowerShell命令安装:Install-WindowsFeature RemoteAccess -IncludeManagementTools
- 安装完成后,运行 rrasmgmt.msc 打开RRAS控制台
- 右键本地服务器 → “配置并启用路由和远程访问”,选择“网络地址转换(NAT)”向导
- 按提示指定“连接到Internet的接口”(外网网卡)→ 向导会自动启用NAT并添加默认NAT接口
配置NAT内部接口与DHCP/静态分配
NAT本身不提供DHCP服务,需额外配置:
- 在RRAS控制台中,展开“IPv4” → “NAT”,右键已添加的外网接口 → “属性” → 确保勾选“启用基本防火墙”(可选,增强安全性)
- 右键“NAT”节点 → “新增接口”,选择内网网卡 → 属性中设置为“专用接口(连接到专用网络)”
- 为内网客户端提供IP地址:可启用Windows DHCP服务器角色,作用域设为192.168.100.100–192.168.100.200,网关指向RRAS内网IP(如192.168.100.1);或手动为每台客户端配置静态IP+网关+DNS
验证与排错要点
完成配置后,在内网客户端执行:
- ping 192.168.100.1(确认能通网关)
- tracert 8.8.8.8(观察第二跳是否为RRAS外网IP)
- nslookup www.baidu.com(检查DNS是否正常转发)
- 若无法上网,检查RRAS服务状态(Get-Service RemoteAccess)、外网接口是否获取到有效IP、内网客户端子网掩码与网关是否匹配、Windows防火墙是否拦截了ICMP或TCP出站
不复杂但容易忽略:NAT配置后不会自动开启IP转发,RRAS向导已内置处理;但若手动修改过注册表或禁用过IPv4路由,需确认HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 1(RRAS启用时通常自动设置)。
