Bjarne
Duelund's PC-INFO
Windows XP ICS
af Bjarne Duelund
Internet Connection Sharing (ICS) med Windows XP:
OBS! Denne guide indeholder mange billeder!
Deling af Internetforbindelse (Internet Connection Sharing, ICS) er blevet betydeligt
nemmere med Windows 2000 / Windows XP, end det var med Windows 98SE og Windows
Me. Det kommer næppe som den store overraskelse idet Windows NT altid har
været bedre til at håndtere og route imellem flere netkort og netværksforbindelser
(om end det også har givet problemer og aldrig har virket helt på højde med
en dedikeret router). Men at Microsoft skulle have lavet en så nem og
brugervenlig løsning, som det er tilfældet i Windows 2000, var alligevel en
overraskelse. Samme elegante løsning er videreført i Windows XP.
Her gennemgås opsætningen af ICS på Windows XP. En stor del af
gennemgangen vil være identisk med gennemgangen af ICS på Windows 2000,
men for fuldstændighedens skyld, gentages det her. Se også gennemgangen
af Internet Connection Sharing (ICS) med Windows
2000.
For de mere generelle betragtninger omkring ICS, klienters brug af DHCP eller
konfiguration med faste IP adresser, henvises til beskrivelsen af
Internet Connection Sharing (ICS) med Windows 98
Second Edition (Win98SE).
En væsentlig forskel på installationen af ICS på Windows 98SE (og Me) og ICS
på Windows XP (og 2000), er at den DHCP server (DHCP allocator) der
installeres samtidig med ICS på Windows XP, ikke kan slås fra eller på
nogen måde omkonfigureres. På Windows 98SE har man flere muligheder for at
konfigurere DHCP, bl.a. kan man ændre start og slut adressen i scopet, slå
DHCP helt fra m.m. Dette
forhindrer dog ikke at man benytter faste IP adresser på de øvrige PC på
lokalnettet, dog skal man være opmærksom på om der er overlappende adresser
hvis man blander PC med faste og dynamisk tildelte adresser.
Som ved de andre ICS guider, forudsættes det at man i forvejen har installeret TCP/IP på alle PC, at man
har en fungerende netværksforbindelse imellem dem og at man i forvejen har en
fungerende Internetforbindelse på den PC der skal være ICS Host. Dvs. to netværksforbindelser, én til
lokalnettet (Netkort) og én til Internet (Netkort, Kabelmodem, Modem el.
lign.).
APIPA
I alle Windows versioner siden Windows 98, findes funktionen APIPA (Automatic
Private IP Adressing) der sørger for at tildele netkortet en IP adresse,
såfremt der ikke er konfigureret en fast IP adresse og der ikke er en DHCP
server til rådighed. APIPA er altså ikke noget der kun findes på Windows 2000
og XP. APIPA adresser ligger i scopet 169.254.0.1 -
169.254.255.254 med Subnetmasken 255.255.0.0. Disse adresser er
offentlige IP adresser der er reserveret til Microsoft og benyttes udelukkende
til APIPA. Såfremt en APIPA adresse skal benyttes, vælges en tilfældig i
APIPA scopet og der pinges på nettet med denne adresse. Svares der (dvs. at
adressen i forvejen er optaget), vælges en ny tilfældig adresse som der forsøges med.
Dette gentages op til 10 gange før APIPA opgives. Svares der ikke, benyttes
denne adresse som IP adresse og fremover undersøges det hvert 5. minut om en
DHCP server skulle være til stede. Hvis der opdages en DHCP server anmodes
denne om en adresse og der skiftes til denne. Dette gør selvfølgelig
opstartstiden længere og specielt for Windows98/SE/Me har det været et
irritationsmoment at opstartstiden blev forlænget med op til 30 sekunder. Derfor
har man altid givet netkort i disse Windows versioner en fast IP adresse, hvis
der ikke er en DHCP server til rådighed. I Windows 2000 og XP er irritationsmomentet til at overse, da man får adgang
til desktoppen inden netkortsdrivere er fuldt initialiseret og også inden APIPA
processen er fuldført.
Installation af ICS:
Før ICS installeres, skal man sikre sig at man er logget på som Administrator
eller som en bruger med Administrator-rettigheder. Endvidere bør man
være klar over at det ikke tilrådes at man installerer ICS på en Server der
er Domaine Controller eller på nogen som helst Windows maskine, hvis der
på netværket forekommer en DNS eller DHCP server.
Det kan nemt konstateres om ens netkort har fået tildelt en APIPA
adresse, bare kør kommandoen IPCONFIG i en CMD-box:
Det ses at der er tildelt en APIPA adresse i scopet 169.254.0.0 -
169.254.255.254 (i dette tilfælde 169.254.204.209) med subnetmask 255.255.0.0.
Det stemmer overens med at der ikke er konfigureret en fast IP adresse for
TCP/IP protokollen (åben "Netværksforbindelser"
-> højreklik på LAN-forbindelse -> Egenskaber -> vælg Internetprotokol(TCP/IP)
-> Egenskaber) og der ingen DHCP server er til rådighed:
For at installere ICS åbnes "Netværksforbindelser" (Kontrolpanel
-> "Netværksforbindelser"
eller klik Start -> Alle programmer -> Tilbehør -> Kommunikation
-> Netværksforbindelser):
Højreklik på den netværksforbindelse der etablerer forbindelsen
til Internet (her kaldt "Internet Opkald") og vælg Egenskaber:
Vælg fanebladet Avanceret og under "Deling af
Internetforbindelse" vælges
"Tillad andre brugere på
netværket at oprette forbindelse ...":
Der vælges automatisk muligheden
"Opret en opkaldsforbindelse, når en computer .....". Intet
nyt i det, det svarer til "Aktiver opkald efter behov" i
Windows 2000.
Helt nyt i Windows XP - og som mange har savnet helt tilbage til ICS med Windows
98 SE - er den næste mulighed
"Tillad andre brugere på netværket at kontrollere eller deaktivere den
delte Internetforbindelse" som også vælges automatisk. Endelig er det
blevet muligt at lukke ned for forbindelsen uden at man behøver at have adgang
til den PC der kører ICS. Og det er endda ikke kun muligt fra en anden Windows
XP, men også fra tidligere Windows versioner. - dog skal IE mindst være
version 5.01. Tryk på "Lær mere om Deling af Internetforbindelse"
for yderligere information om ICS.
Bemærk at det er muligt at beskytte forbindelsen med ICF, Internet
Connection Firewall (under "Firewall til Internetforbindelse").
ICF beskytter forbindelsen imod uønsket indkommende trafik, imens
uønsket udgående trafik (f.eks. fra en "trojan"-virus) ikke bliver
blokeret. Derfor er det stadig en god idé med en personlig firewall, f.eks. ZoneAlarm
eller Tiny Personal Firewall. Begge
kan downloades og benyttes gratis for private. Tryk på "Lær mere om Firewall
til Internetforbindelse" for yderligere information om ICF.
Tryk Ok.
Harddisken vil snurre lidt imens drivere til NAT, DHCP allocator, DNS Proxy,
Auto-dial og ICS API automatisk indlæses fra driver cache kataloget på
harddisken (\Windows\ Driver Cache\i386\).
Hvis der på nettet i forvejen findes en PC med IP adressen 192.168.0.1, vil man
få følgende fejlmeddelelse i sin Taskbar:
Dette stopper ICS indtil adressekonflikten er løst ved at
skifte IP adresse på den anden PC der i forvejen har IP adressen 192.168.0.1.
Nu er ICS installeret og aktiveret, uden brug af CD-ROM og uden at det er
nødvendigt at reboote - elegant! Som med Windows 2000 må det formodes
at man ikke behøver tænke over ServicePack level, men at Windows XP vil sørge
for selv at checke for eventuelle opdateringer under installationen. Altså ikke
nødvendigt at installere ServicePack igen, selvom der installeres
driver/software fra det originale medie.
Det kan nu checkes om netkortet har fået en fast IP adresse, med IPCONFIG i en CMD-box:
og i "Egenskaber for Internetprotokol (TCP/IP)" for
lokalnetkortet:
Som nævnt er der nu installeret NAT, DHCP allocator (simpel DHCP
server), Auto-dial, ICS API samt DNS Proxy.
Klienter der konfigureres til dynamisk tildeling af IP adresse, vil fra DHCP
allocator få tildelt følgende TCP/IP options:
IP Adresse: En adresse i scopet 192.168.0.2 - .254 (typisk
adressen 192.168.0.12 eller højere).
Subnetmask: 255.255.255.0.
Default Gateway: 192.168.0.1 (PC med ICS er gateway for øvrige PC
til Internet)
DNS: 192.168.0.1 (PC med ICS er DNS forwarder og DNS Proxy)
Varighed: 7 døgn.
I modsætning til ICS på Windows 98SE/Me, kan disse options ikke ændres på
Windows XP ICS.
Klienter:
Klienterne konfigureres til automatisk tildeling af IP adresse (her Windows XP):
og PC genstartes.
Det kan checkes med IPCONFIG i en CMD-box (hvis
klienten er en Windows 2000/XP, ellers i en Command-box i Windows 9x/Me)
at PC har fået tildelt en IP adresse af DHCP serveren:
Her har klient PC fået tildelt IP adressen 192.168.0.12.
Til forskel fra tidligere Windows versioner, skal man ikke konfigurere Internet
Explorer til at benytte netværksforbindelse, men i stedet køre "Guiden
Netværksinstallation", enten fra Start -> Alle programmer ->
Tilbehør -> Kommunikation -> Guiden Netværksinstallation, eller ved
at klikke på "Konfigurer et hjemme- eller mindre kontornetværk"
i job-listen til venstre i "Netværksforbindelser".
En anden måde at starte guiden på, er at køre Netsetup.exe, fra Start ->
Kør:
Hvis man kører Netsetup manuelt via Start - Kør, advares man først:
Da det er en XP vi kører på sker der intet, tryk Ja og fortsæt guiden
Klik Næste >
Klik Næste >
Så skete der noget, XP detekterer at en PC på samme netværk kører ICS. Tryk
Næste >
Som altid når man kører Netværksguiden, får man mulighed for at ændre
Computernavn. Tryk Næste >
Desværre skal man som altid indtaste navnet på arbejdsgruppen, indtast f.eks. det samme som
på ICS maskinen og tryk Næste >
Så kan man gennemse indstillingerne inden man trykker Næste >
Der arbejdes og filer kopieres, efter et kort stykke tid.....
får man at vide at "Du er næsten færdig...". Hvis man vil
have andre PC til at benytte ICS med styring af opkaldsforbindelse og disse PC
ikke kører Windows XP, kan man benytte Netværksguiden på XP-cd'en eller
"Oprette en diskette til netværksinstallation". Vælges dette
og der trykkes Næste >
Isæt en tom diskette og tryk Næste >
Der kopieres filer. I virkeligheden kopieres der kun én fil til disketen,
"Netsetup.exe".
En kort vejledning i at køre et program fra en diskette, tryk Næste >
Endelig færdig, tryk Udfør
Og så lige en genstart!
Hvis denne besked ikke kommer, anbefales det at man selv genstarter PC'en.
Efter genstarten kan man åbne for "Netværksforbindelser" og
se at man har fået en Internetgateway forbindelse, her "Internet
Opkald tilsluttet DUELUNDXP":
Hvis man højreklikker på på sin Internetgateway forbindelse og vælger
Egenskaber...
... kan man med fordel aktivere"Vis ikon på proceslinien, når
forbindelsen er oprettet".
Starter man Internet Explorer og får forbindelse til Internet via sin
Internetgateway til ICS hostmaskinen, får man denne besked i proceslinien:
Ved at klikke på forbindelsesikonet på proceslinien, får man følgende
valgmuligheder:
"Afbryd forbindelsen" og "Status". Det
er altså her muligt at afbryde opkaldsforbindelsen på ICS
Host-maskinen, fra klienten!
Vælges "Status" får man følgende
status billede:
En grafisk afbildning af sin Internetforbindelse med Internetgateway, samt
muligheden for at afbryde opkaldsforbindelsen.
Alt sammen meget godt. Hvis klienten ikke er en Windows XP, konfigureres IE som
angivet på siderne for ICS med Windows 98 SE og ICS
med Windows 2000.
Hvis klienten ikke er en Windows Xp og det ønskes at kunne kontrollere (lukke)
Internetforbindelsen efter behov, køres Netsetup.exe på klienten. Den
kan køres fra Windows XP CD-ROM eller fra den diskette man kan lave med "Guiden
Netværksinstallation". Bemærk at for at kunne kontrollere
forbindelsen, skal IE mindst være version 5.01.
Her vises installation og brug på en Windows 98 SE :
Disketten med "Netsetup.exe" isættes og programmet startes:
Før guiden kan starte skal der kopieres et par filer (der udpakkes fra
Netsetup.exe), da det ikke er en Windows XP.
Tryk Ja
Ja, ja - den er sivet ind at der skal genstartes..... Tryk Ok.....
Endelig, tryk Ja. Efter en Reboot starter Guiden Netværksinstallation op....
Tryk Næste >
Tryk Næste >
Vi vil selvfølgelig have "... forbindelse til Internet gennem en anden
computer i netværket...", tryk Næste >
Også her er der mulighed for at ændre computernavnet, tryk Næste >
Og som vi kender fra XP, angiv "Arbejdsgruppens navn", indtast
evt. det samme som på ICS Host og tryk Næste >
Igen en oversigt, tryk Næste >
Der kopieres filer og konfigureres....
Endelig færdig, tryk Udfør
Og efter en reboot er Windows 98 klar. Dog skal man huske at IE skal
konfigureres til at benytte Netværket til Internet, ganske som normalt med ICS
i Windows 98SE eller Windows 2000, se evt. disse sider for hvorledes dette
gøres. Bemærk at man kun behøver at køre "Guiden
Netværksinstallation" hvis man ønsker at kunne fjern-kontrollere sin
opkaldsforbindelse. Hvis man blot vil have adgang til Internet som med ICS på
Windows 98SE/ME/2000, er det nok at konfigurere IE til "Internet via
Netværk".
Efter man på en Windows 98SE har kørt "Guiden Netværksinstallation"
og man har IE version 5.01 eller højere (bemærk at Windows 98 SE
default kommer med version 5.0 som ikke er nok), får man på proceslinien et
lille ikon for kontrol af ICS på Hosten. Dette ikon fremkommer kun hvis der
detekteres en ICS Host på netværket:
Køres musen henover, ses status
Højreklikker man ses den lille kommandomenu, der giver mulighed for at oprette
en forbindelse
Endvidere er der lagt en genvej ind til "Staus for Internetgateway",
tryk Start -> Programmer -> Tilbehør -> Kommunikation ->
Internetgateway:
Når forbindelsen er ved at være oprettet og er oprettet skifter status når
musen føres henover proceslinie-ikonet:
Og proceslinie kommandomenuen giver nu mulighed for at se status og for at
afbryde forbindelsen:
Status for en igangværende forbindelse:
Og nu er det så muligt at lukke en ICS forbindelse fra en Windows 98 klient, noget der
har været savnet lige siden Windows 98SE ICS kom på gaden, det kræver dog at
ICS Host er en Windows XP. Meget elegant, men et noget lidt pænere udseende på
status vinduet havde dog været at foretrække. Der ikke engang plads til hele
teksten i knappen "Afbryd forbindelse".
For at dette kan lade sig gøre, benyttes protokollen Universal Plug-n-Play
(UPnP), som der desværre har vist sig at være sikkerhedsbrister i.
Download seneste UPnP sikkerhedsopdateringer for Windows 98/98SE/Me/XP her:
US: MS01-59
UPnP Patch US
DK: MS01-59
UPnP Patch DK (kun XP)
Avanceret konfiguration:
Ønsker man at hoste servere på sit interne net, f.eks. en FTP server eller HTTP server, er dette også muligt. Der skal bare oprettes en fast NAT
mapning i ICS, der mapper indkommende trafik på en specifik port til en
specifik PC (sender trafikken videre til en specifik PC). Denne PC udpeges på
enten dens IP adresse eller dens NETBIOS navn. Opsætningen foregår ved
at åbne Egenskaber for den delte forbindelse og vælge fanebladet
"Avanceret":
(bemærk at vinduet hedder "Egenskaber for Internet Opkald", den
aktuelle forbindelse.
Tryk på knappen "Indstillinger..." og vælg fanebladet "Tjenester":
Her kan vælges hvilke standard tjenester man vil åbne op for, for udefra
kommende trafik. Ønsker man f.eks. at hoste en FTP-server på sit interne net,
enables NAT mapning for FTP, ved at sætte ""
i "FTP-server". Dette åbner muligheden for at angive
FTP-serverens interne IP adresse eller NETBIOS navn:
Tryk "OK" for at fuldføre FTP mapningen.
Ønskes der at mappes en ikke forud defineret service, skal denne service blot
først tilføjes, tryk "Tilføj..." og angiv Service-navn,
Navn eller IP-adresse, Eksternt og Internt Portnummer,
samt protokol (TCP eller UDP). Bemærk at det er muligt at
ændre porten fra den udvendige til den indvendige.
Tryk "OK" og tjenesten "VNC-Service" vil nu
være tilføjet til listen af tilgængelige tjenester (de vises alfabetisk):
Under fanebladet Sikkerhedslogføring, kan der opsættes parametre for
logføring af forbindelser:
Under fanebladet ICMP, kan der opsættes regler for tilladelse af
indgående og udgående ICMP pakker:
Sådan virker NAT:
Network Address Translation benyttes til at oversætte IP adresser, således at
man på et netværk kan benytte sine egne interne adresser og udadtil nøjes med
at benytte én (eller evt. flere) IP adresser. Oversættelsen udføres af en NAT
editor for den specifikke IP protokol, i en PC der
kører ICS eller i en dedikeret router med NAT.
NAT implementeres som forenklet skitseret i
følgende:
1) PC sender en forespørgsel til en Internet server, IP pakken indeholder
adressen på modtageren (Destination) og dens egen afsenderaadrese (Source). IP
pakken sendes til Default Gateway (ICS/NAT).
2) NAT editoren i ICS/NAT ændrer Source adressen + Source Port# til dens egen offentlige IP
adresse og en dynamisk port (f.eks. 3678). Dette gemmes i dens dynamiske NAT Routing tabel.
3) Internet serveren opfylder forespørgslen og returnerer data til den IP
der var angivet som Source (ICS/NAT maskinen).
4) ICS/NAT maskinen ser på den indkomne pakke's Port#, laver et opslag i
den dynamiske NAT tabel for at finde den rigtige modtager, ændrer destinations
IP adresse + Port# og sender pakken til den PC der skal modtage pakken.
Altså såre enkelt, på indkomne returpakker slås op i den dynamiske NAT tabel
for at se hvilken PC (IP adresse) pakken skal leveres til. For indkommende
trafik der ikke er returtrafik, slås op i den statiske NAT tabel, for at se
hvor pakker skal levereres (f.eks. FTP trafik på port 20/21 til 192.168.0.14).
>TOP >HOME
Indholdet på "Bjarne Duelund's PC-Info" er © 1999-2006 Bjarne Duelund. Kopiering uden samtykke er forbudt efter ophavsretsloven.