Bjarne Duelund's PC-INFO - Windows XP ICS

Windows XP ICS

af Bjarne Duelund

Internet Connection Sharing (ICS) med Windows XP:

OBS! Denne guide indeholder mange billeder!

Deling af Internetforbindelse (Internet Connection Sharing, ICS) er blevet betydeligt nemmere med Windows 2000 / Windows XP, end det var med Windows 98SE og Windows Me. Det kommer næppe som den store overraskelse idet Windows NT altid har været bedre til at håndtere og route imellem flere netkort og netværksforbindelser (om end det også har givet problemer og aldrig har virket helt på højde med en dedikeret router). Men at Microsoft skulle have lavet en så nem og brugervenlig løsning, som det er tilfældet i Windows 2000, var alligevel en overraskelse. Samme elegante løsning er videreført i Windows XP.

Her gennemgås opsætningen af ICS på Windows XP. En stor del af gennemgangen vil være identisk med gennemgangen af ICS på Windows 2000, men for fuldstændighedens skyld, gentages det her. Se også gennemgangen af Internet Connection Sharing (ICS) med Windows 2000.

For de mere generelle betragtninger omkring ICS, klienters brug af DHCP eller konfiguration med faste IP adresser, henvises til beskrivelsen af
Internet Connection Sharing (ICS) med Windows 98 Second Edition (Win98SE).

En væsentlig forskel på installationen af ICS på Windows 98SE (og Me) og ICS på Windows XP (og 2000), er at den DHCP server (DHCP allocator) der installeres samtidig med ICS på Windows XP, ikke kan slås fra eller på nogen måde omkonfigureres. På Windows 98SE har man flere muligheder for at konfigurere DHCP, bl.a. kan man ændre start og slut adressen i scopet, slå DHCP helt fra m.m. Dette forhindrer dog ikke at man benytter faste IP adresser på de øvrige PC på lokalnettet, dog skal man være opmærksom på om der er overlappende adresser hvis man blander PC med faste og dynamisk tildelte adresser.

Som ved de andre ICS guider, forudsættes det at man i forvejen har installeret TCP/IP på alle PC, at man har en fungerende netværksforbindelse imellem dem og at man i forvejen har en fungerende Internetforbindelse på den PC der skal være ICS Host. Dvs. to netværksforbindelser, én til lokalnettet (Netkort) og én til Internet (Netkort, Kabelmodem, Modem el. lign.).

APIPA
I alle Windows versioner siden Windows 98, findes funktionen APIPA (Automatic Private IP Adressing) der sørger for at tildele netkortet en IP adresse, såfremt der ikke er konfigureret en fast IP adresse og der ikke er en DHCP server til rådighed. APIPA er altså ikke noget der kun findes på Windows 2000 og XP. APIPA adresser ligger i scopet 169.254.0.1 - 169.254.255.254 med Subnetmasken 255.255.0.0. Disse adresser er offentlige IP adresser der er reserveret til Microsoft og benyttes udelukkende til APIPA. Såfremt en APIPA adresse skal benyttes, vælges en tilfældig i APIPA scopet og der pinges på nettet med denne adresse. Svares der (dvs. at adressen i forvejen er optaget), vælges en ny tilfældig adresse som der forsøges med. Dette gentages op til 10 gange før APIPA opgives. Svares der ikke, benyttes denne adresse som IP adresse og fremover undersøges det hvert 5. minut om en DHCP server skulle være til stede. Hvis der opdages en DHCP server anmodes denne om en adresse og der skiftes til denne. Dette gør selvfølgelig opstartstiden længere og specielt for Windows98/SE/Me har det været et irritationsmoment at opstartstiden blev forlænget med op til 30 sekunder. Derfor har man altid givet netkort i disse Windows versioner en fast IP adresse, hvis der ikke er en DHCP server til rådighed. I Windows 2000 og XP er irritationsmomentet til at overse, da man får adgang til desktoppen inden netkortsdrivere er fuldt initialiseret og også inden APIPA processen er fuldført.

Installation af ICS:
Før ICS installeres, skal man sikre sig at man er logget på som Administrator eller som en bruger med Administrator-rettigheder. Endvidere bør man være klar over at det ikke tilrådes at man installerer ICS på en Server der er Domaine Controller eller på nogen som helst Windows maskine, hvis der på netværket forekommer en DNS eller DHCP server.
Det kan nemt konstateres om ens netkort har fået tildelt en APIPA adresse, bare kør kommandoen IPCONFIG i en CMD-box:

Det ses at der er tildelt en APIPA adresse i scopet 169.254.0.0 - 169.254.255.254 (i dette tilfælde 169.254.204.209) med subnetmask 255.255.0.0.
Det stemmer overens med at der ikke er konfigureret en fast IP adresse for TCP/IP protokollen (åben "Netværksforbindelser" -> højreklik på LAN-forbindelse -> Egenskaber -> vælg Internetprotokol(TCP/IP) -> Egenskaber) og der ingen DHCP server er til rådighed:

For at installere ICS åbnes "Netværksforbindelser" (Kontrolpanel -> "Netværksforbindelser" eller klik Start -> Alle programmer -> Tilbehør -> Kommunikation -> Netværksforbindelser):

Højreklik på den netværksforbindelse der etablerer forbindelsen til Internet (her kaldt "Internet Opkald") og vælg Egenskaber:

Vælg fanebladet Avanceret og under "Deling af Internetforbindelse" vælges

"Tillad andre brugere på netværket at oprette forbindelse ...":

Der vælges automatisk muligheden

"Opret en opkaldsforbindelse, når en computer .....". Intet nyt i det, det svarer til "Aktiver opkald efter behov" i Windows 2000.
Helt nyt i Windows XP - og som mange har savnet helt tilbage til ICS med Windows 98 SE - er den næste mulighed

"Tillad andre brugere på netværket at kontrollere eller deaktivere den delte Internetforbindelse" som også vælges automatisk. Endelig er det blevet muligt at lukke ned for forbindelsen uden at man behøver at have adgang til den PC der kører ICS. Og det er endda ikke kun muligt fra en anden Windows XP, men også fra tidligere Windows versioner. - dog skal IE mindst være version 5.01. Tryk på "Lær mere om Deling af Internetforbindelse" for yderligere information om ICS.

Bemærk at det er muligt at beskytte forbindelsen med ICF, Internet Connection Firewall (under "Firewall til Internetforbindelse"). ICF beskytter forbindelsen imod uønsket indkommende trafik, imens uønsket udgående trafik (f.eks. fra en "trojan"-virus) ikke bliver blokeret. Derfor er det stadig en god idé med en personlig firewall, f.eks. ZoneAlarm eller Tiny Personal Firewall. Begge kan downloades og benyttes gratis for private. Tryk på "Lær mere om Firewall til Internetforbindelse" for yderligere information om ICF.

Tryk Ok.
Harddisken vil snurre lidt imens drivere til NAT, DHCP allocator, DNS Proxy, Auto-dial og ICS API automatisk indlæses fra driver cache kataloget på harddisken (\Windows\ Driver Cache\i386\).

Hvis der på nettet i forvejen findes en PC med IP adressen 192.168.0.1, vil man få følgende fejlmeddelelse i sin Taskbar:

Dette stopper ICS indtil adressekonflikten er løst ved at skifte IP adresse på den anden PC der i forvejen har IP adressen 192.168.0.1.

Nu er ICS installeret og aktiveret, uden brug af CD-ROM og uden at det er nødvendigt at reboote - elegant! Som med Windows 2000 må det formodes at man ikke behøver tænke over ServicePack level, men at Windows XP vil sørge for selv at checke for eventuelle opdateringer under installationen. Altså ikke nødvendigt at installere ServicePack igen, selvom der installeres driver/software fra det originale medie.

Det kan nu checkes om netkortet har fået en fast IP adresse, med IPCONFIG i en CMD-box:

og i "Egenskaber for Internetprotokol (TCP/IP)" for lokalnetkortet:

Som nævnt er der nu installeret NAT, DHCP allocator (simpel DHCP server), Auto-dial, ICS API samt DNS Proxy.
Klienter der konfigureres til dynamisk tildeling af IP adresse, vil fra DHCP allocator få tildelt følgende TCP/IP options:

IP Adresse: En adresse i scopet 192.168.0.2 - .254 (typisk adressen 192.168.0.12 eller højere).
Subnetmask: 255.255.255.0.
Default Gateway: 192.168.0.1 (PC med ICS er gateway for øvrige PC til Internet)
DNS: 192.168.0.1 (PC med ICS er DNS forwarder og DNS Proxy)
Varighed: 7 døgn.

I modsætning til ICS på Windows 98SE/Me, kan disse options ikke ændres på Windows XP ICS.

Klienter:
Klienterne konfigureres til automatisk tildeling af IP adresse (her Windows XP):

og PC genstartes.

Det kan checkes med IPCONFIG i en CMD-box (hvis klienten er en Windows 2000/XP, ellers i en Command-box i Windows 9x/Me) at PC har fået tildelt en IP adresse af DHCP serveren:

Her har klient PC fået tildelt IP adressen 192.168.0.12.

Til forskel fra tidligere Windows versioner, skal man ikke konfigurere Internet Explorer til at benytte netværksforbindelse, men i stedet køre "Guiden Netværksinstallation", enten fra Start -> Alle programmer -> Tilbehør -> Kommunikation -> Guiden Netværksinstallation, eller ved at klikke på "Konfigurer et hjemme- eller mindre kontornetværk" i job-listen til venstre i "Netværksforbindelser".

En anden måde at starte guiden på, er at køre Netsetup.exe, fra Start -> Kør:

Hvis man kører Netsetup manuelt via Start - Kør, advares man først:

Da det er en XP vi kører på sker der intet, tryk Ja og fortsæt guiden

Klik Næste >

Klik Næste >

Så skete der noget, XP detekterer at en PC på samme netværk kører ICS. Tryk Næste >

Som altid når man kører Netværksguiden, får man mulighed for at ændre Computernavn. Tryk Næste >

Desværre skal man som altid indtaste navnet på arbejdsgruppen, indtast f.eks. det samme som på ICS maskinen og tryk Næste >

Så kan man gennemse indstillingerne inden man trykker Næste >

Der arbejdes og filer kopieres, efter et kort stykke tid.....

får man at vide at "Du er næsten færdig...". Hvis man vil have andre PC til at benytte ICS med styring af opkaldsforbindelse og disse PC ikke kører Windows XP, kan man benytte Netværksguiden på XP-cd'en eller "Oprette en diskette til netværksinstallation". Vælges dette og der trykkes Næste >

Isæt en tom diskette og tryk Næste >

Der kopieres filer. I virkeligheden kopieres der kun én fil til disketen, "Netsetup.exe".

En kort vejledning i at køre et program fra en diskette, tryk Næste >

Endelig færdig, tryk Udfør

Og så lige en genstart!
Hvis denne besked ikke kommer, anbefales det at man selv genstarter PC'en.

Efter genstarten kan man åbne for "Netværksforbindelser" og se at man har fået en Internetgateway forbindelse, her "Internet Opkald tilsluttet DUELUNDXP":

Hvis man højreklikker på på sin Internetgateway forbindelse og vælger Egenskaber...

... kan man med fordel aktivere"Vis ikon på proceslinien, når forbindelsen er oprettet".

Starter man Internet Explorer og får forbindelse til Internet via sin Internetgateway til ICS hostmaskinen, får man denne besked i proceslinien:

Ved at klikke på forbindelsesikonet på proceslinien, får man følgende valgmuligheder:

"Afbryd forbindelsen" og "Status". Det er altså her muligt at afbryde opkaldsforbindelsen på ICS Host-maskinen, fra klienten!
Vælges "Status" får man følgende status billede:

En grafisk afbildning af sin Internetforbindelse med Internetgateway, samt muligheden for at afbryde opkaldsforbindelsen.

Alt sammen meget godt. Hvis klienten ikke er en Windows XP, konfigureres IE som angivet på siderne for ICS med Windows 98 SE og ICS med Windows 2000.

Hvis klienten ikke er en Windows Xp og det ønskes at kunne kontrollere (lukke) Internetforbindelsen efter behov, køres Netsetup.exe på klienten. Den kan køres fra Windows XP CD-ROM eller fra den diskette man kan lave med "Guiden Netværksinstallation". Bemærk at for at kunne kontrollere forbindelsen, skal IE mindst være version 5.01.

Her vises installation og brug på en Windows 98 SE :

Disketten med "Netsetup.exe" isættes og programmet startes:

Før guiden kan starte skal der kopieres et par filer (der udpakkes fra Netsetup.exe), da det ikke er en Windows XP.

Tryk Ja

Ja, ja - den er sivet ind at der skal genstartes..... Tryk Ok.....

Endelig, tryk Ja. Efter en Reboot starter Guiden Netværksinstallation op....

Tryk Næste >

Tryk Næste >

Vi vil selvfølgelig have "... forbindelse til Internet gennem en anden computer i netværket...", tryk Næste >

Også her er der mulighed for at ændre computernavnet, tryk Næste >

Og som vi kender fra XP, angiv "Arbejdsgruppens navn", indtast evt. det samme som på ICS Host og tryk Næste >

Igen en oversigt, tryk Næste >

Der kopieres filer og konfigureres....

Endelig færdig, tryk Udfør

Og efter en reboot er Windows 98 klar. Dog skal man huske at IE skal konfigureres til at benytte Netværket til Internet, ganske som normalt med ICS i Windows 98SE eller Windows 2000, se evt. disse sider for hvorledes dette gøres. Bemærk at man kun behøver at køre "Guiden Netværksinstallation" hvis man ønsker at kunne fjern-kontrollere sin opkaldsforbindelse. Hvis man blot vil have adgang til Internet som med ICS på Windows 98SE/ME/2000, er det nok at konfigurere IE til "Internet via Netværk".

Efter man på en Windows 98SE har kørt "Guiden Netværksinstallation" og man har IE version 5.01 eller højere (bemærk at Windows 98 SE default kommer med version 5.0 som ikke er nok), får man på proceslinien et lille ikon for kontrol af ICS på Hosten. Dette ikon fremkommer kun hvis der detekteres en ICS Host på netværket:

Køres musen henover, ses status

Højreklikker man ses den lille kommandomenu, der giver mulighed for at oprette en forbindelse

Endvidere er der lagt en genvej ind til "Staus for Internetgateway", tryk Start -> Programmer -> Tilbehør -> Kommunikation -> Internetgateway:

Når forbindelsen er ved at være oprettet og er oprettet skifter status når musen føres henover proceslinie-ikonet:

Og proceslinie kommandomenuen giver nu mulighed for at se status og for at afbryde forbindelsen:

Status for en igangværende forbindelse:

Og nu er det så muligt at lukke en ICS forbindelse fra en Windows 98 klient, noget der har været savnet lige siden Windows 98SE ICS kom på gaden, det kræver dog at ICS Host er en Windows XP. Meget elegant, men et noget lidt pænere udseende på status vinduet havde dog været at foretrække. Der ikke engang plads til hele teksten i knappen "Afbryd forbindelse".

For at dette kan lade sig gøre, benyttes protokollen Universal Plug-n-Play (UPnP), som der desværre har vist sig at være sikkerhedsbrister i. Download seneste UPnP sikkerhedsopdateringer for Windows 98/98SE/Me/XP her:
US: MS01-59 UPnP Patch US
DK: MS01-59 UPnP Patch DK (kun XP)

Avanceret konfiguration:
Ønsker man at hoste servere på sit interne net, f.eks. en FTP server eller HTTP server, er dette også muligt. Der skal bare oprettes en fast NAT mapning i ICS, der mapper indkommende trafik på en specifik port til en specifik PC (sender trafikken videre til en specifik PC). Denne PC udpeges på enten dens IP adresse eller dens NETBIOS navn. Opsætningen foregår ved at åbne Egenskaber for den delte forbindelse og vælge fanebladet "Avanceret":

(bemærk at vinduet hedder "Egenskaber for Internet Opkald", den aktuelle forbindelse.

Tryk på knappen "Indstillinger..." og vælg fanebladet "Tjenester":

Her kan vælges hvilke standard tjenester man vil åbne op for, for udefra kommende trafik. Ønsker man f.eks. at hoste en FTP-server på sit interne net, enables NAT mapning for FTP, ved at sætte "

" i "FTP-server". Dette åbner muligheden for at angive FTP-serverens interne IP adresse eller NETBIOS navn:

Tryk "OK" for at fuldføre FTP mapningen.

Ønskes der at mappes en ikke forud defineret service, skal denne service blot først tilføjes, tryk "Tilføj..." og angiv Service-navn, Navn eller IP-adresse, Eksternt og Internt Portnummer, samt protokol (TCP eller UDP). Bemærk at det er muligt at ændre porten fra den udvendige til den indvendige.

Tryk "OK" og tjenesten "VNC-Service" vil nu være tilføjet til listen af tilgængelige tjenester (de vises alfabetisk):

Under fanebladet Sikkerhedslogføring, kan der opsættes parametre for logføring af forbindelser:

Under fanebladet ICMP, kan der opsættes regler for tilladelse af indgående og udgående ICMP pakker:

Sådan virker NAT:
Network Address Translation benyttes til at oversætte IP adresser, således at man på et netværk kan benytte sine egne interne adresser og udadtil nøjes med at benytte én (eller evt. flere) IP adresser. Oversættelsen udføres af en NAT editor for den specifikke IP protokol, i en PC der kører ICS eller i en dedikeret router med NAT. NAT implementeres som forenklet skitseret i følgende:

1) PC sender en forespørgsel til en Internet server, IP pakken indeholder adressen på modtageren (Destination) og dens egen afsenderaadrese (Source). IP pakken sendes til Default Gateway (ICS/NAT).
2) NAT editoren i ICS/NAT ændrer Source adressen + Source Port# til dens egen offentlige IP adresse og en dynamisk port (f.eks. 3678). Dette gemmes i dens dynamiske NAT Routing tabel.
3) Internet serveren opfylder forespørgslen og returnerer data til den IP der var angivet som Source (ICS/NAT maskinen).
4) ICS/NAT maskinen ser på den indkomne pakke's Port#, laver et opslag i den dynamiske NAT tabel for at finde den rigtige modtager, ændrer destinations IP adresse + Port# og sender pakken til den PC der skal modtage pakken.

Altså såre enkelt, på indkomne returpakker slås op i den dynamiske NAT tabel for at se hvilken PC (IP adresse) pakken skal leveres til. For indkommende trafik der ikke er returtrafik, slås op i den statiske NAT tabel, for at se hvor pakker skal levereres (f.eks. FTP trafik på port 20/21 til 192.168.0.14).

>TOP >HOME