quinta-feira, 19 de julho de 2012

Como fazer NAT? Configurando acesso externo no seu computador através de NAT usando o TS. Use seu Linksys ou seu D-link DI-524.


Documento: Configurando uma NAT caseira
Objetivo: Criar uma rota até seu computador em sua casa
Organização: Facilidades 

*******************************************************************************
SORTEIO DO LIVRO
Falando sobre Hardware
NÃO PRECISA COMPRAR NADA, É SÓ PARTICIPAR
Amigos, vou sortear meu ultimo livro pelo sorteie.me no Facebook. Quem quiser participar ai esta o link da promoção. Pode acessar a área de promoções da página da HTBRAZ no Facebook ou clicar no link abaixo.

Sorteio:
https://www.facebook.com/htbraz?sk=app_154246121296652&app_data=%7B%22id%22%3A369625%7D

O sorteio será no final deste ano... obrigado a todos e sucesso.

Lembre-se de seguir as regras para validar o sorteio do livro.
 *******************************************************************************
Crie scripts de logon, veja como fazer clicando aqui.
*******************************************************************************
Baixe o MySql 5.5.34 aqui
*******************************************************************************
Instale o servidor de chat. Tutorial aqui
*******************************************************************************
Crie um sistema de chamados com usuários autenticados.
Tutorial aqui
*******************************************************************************


Muitas vezes precisamos acessar diretamente nosso equipamento em casa, seja para validar alguma informação ou até enviar aquele trabalho que esquecemos de carregar na pendrive.

Quem não tem tanta experiência em TI, acaba comprando serviços e softwares de terceiro, quando já possui os equipamentos necessários em sua própria casa, mas não sabe disso. 

Lembre-se que o processo não é simples de se fazer, mas da resultados muito positivos.

Requisitos:
  1. Roteador ou modem ADSL que de suporte a servidores virtuais ou NAT (D-Link, TP-Link, Linksys, etc);
  2. Windows da linha profissional (da para fazer com linux também, mas este post foca em Windows);
  3. Acesso administrativo aos equipamentos;
  4. Cadastro em um site de FreeDns (usarei o http://www.no-ip.com/ que é de graça);
  5. Acesso ao TS;

Como funciona?
A maioria de nós não tem dinheiro para comprar um IP fixo, ou seja, compramos o pacote de internet com uma empresa provedora e eles fornecem um link que possui IP dinâmico (muda de tempos em tempos). Isso indica que não podemos digitar o IP do nosso link em uma ferramenta com o terminal services e acessar diretamente o roteador.

Se o IP muda toda hora não tem como criar uma rota direta, a não ser que alguém vincule um "nome" ao endereço IP daquele momento. É ai que entra o site de FreeDns. Ele valida de tempos em tempos o IP que esta disponível em nosso link e vincula um nome, fazendo a ponte direta para a "porta de casa" ou seja, para a porta do roteador.

O serviço de DNS é fundamental para que a internet exista, pois sem ele nenhum computador encontraria a origem de um nome.

O DNS ou Domain Name System, que traduzindo significa Sistema de Nomes de Domínios é responsável por fazer com que uma página de internet seja apontada para um determinado servidor e seu endereço IP.
Ele é chamado de serviço de resolução de nomes e segue regras baseadas na RFC 882 e 883 (com atualização pelas RFCs 1034 e 1035).



1° Passo cadastro do DNS:
Crie seu cadastro no http://www.no-ip.com/ para gerarmos o DNS (sim, você precisa ter um conhecimento básico de Inglês; bem vindo ao mundo da TI);




Dynamic DNS for your domain


FreeDns


2° Passo configurando o DNS no roteador:
Crie um nome que será usado como referência. Exemplo: batatinha.quandonasce.no-ip.uk
Acesse seu roteador e encontre a tela que permite digitar o usuário, senha e endereço de DNS que você criou.


GUI Air Plus G D-Link


Abaixo seguem dois modelos de equipamentos que funciona muito bem (fiz com os dois modelos para alguns clientes e funcionou perfeitamente).

D-Link DI-524



Linksys


Onde devo configurar?
Cada modelo de roteador ou cada fabricante possui telas diferentes. Algumas são gráficas e outras são por linha de comando. Ai é que vem o problema, pois algumas usam os nomes reais com DNS ou DDNS, já outros fabricantes colocam nomes estranho como ROTA NDS.
Se você entende o conceito de DNS fica fácil de localizar isso no seu roteador.

Obs.: Alguns roteadores só aplicam o que foi configurado depois de reiniciar... descobri isso do modo mais complicado rs... eu configurava tudo e nada funcionava, até ler no manual que esse tipo de configuração precisar de reinicialização. 

Leia o manual do seu equipamento... ajuda muito #FICADICA

3° Passo configurando a NAT:
Se você fez tudo certinho significa que quando algum programa tentar acessar o batatinha.quandonasce.no-ip.uk será direcionado para a porta do seu roteador.

Alguns equipamentos possuem limite de NAT´s e Virtual Servers. No caso do D-Link que usei, a GUI me permite adicionar 06 entradas. Depois disso aparece uma mensagem de quantidade atingida.

Facilmente resolvido com um servidor interno, mas isso vou deixar para outro post futuro (talvez, quem sabe um dia).


O segredo nessa terceira etapa é que você deve conhecer o modelo do seu modem ADSL ou roteador, pois muitos deles não dão esse suporte a NAT (Network Address Translation).

É a NAT que vai permitir que o roteador ligue o acesso de um computador dentro da sua rede a um acesso externo.

Como funciona a NAT?
Com o surgimento das redes privadas com internet partilhada, surgiu o problema de como os computadores pertencentes à esta rede privada poderiam receber as respostas aos seus pedidos feitos para fora da rede.

Por se tratar de uma rede privada, os números de IP interno da rede (como 10.0.0.0/8, 172.16.0.0/16 e 192.168.0.0/24) nunca poderiam ser passados para a Internet pois não são roteados nela e o computador que recebesse um pedido com um desses números não saberia para onde enviar a resposta. Sendo assim, os pedidos teriam de ser gerados com um IP global do router. 

Mas quando a resposta chegasse ao router, seria preciso saber a qual dos computadores presentes na LAN pertencia aquela resposta.
A solução encontrada foi fazer um mapeamento baseado no IP interno e na porta local do computador. Com esses dois dados o NAT gera um número de 16 bits usando a tabela hash, este número é então escrito no campo da porta de origem.

NAT


Como fazer?
Acesse a tela relacionada a NAT ou Virtual Server em seu roteador e configure nessa ordem:

  1. De um nome para o tipo de conexão - É só uma referência para você saber o que é aquilo depois que passar uns 6 meses, por exemplo; 
  2. IP Private - IP do computador que receberá o acesso externo (lembre que você precisa ter um IP estático configurado no computador localmente);
  3. Porta de acesso pela rede interna (no nosso caso será a TCP 3389 que é a porta do terminal service - Sim você precisa saber que porta um programa ou serviço usa);
  4. Porta de acesso externo (aqui pode ser qualquer número de porta, sendo altamente recomendado que use um número aleatório a cima de 5000 por questões de segurança);
  5. Acione o item Enable e com tudo configurado clique em Apply;


Virtual Server D-Link


Port Forwarding - Linksys


Se você fez tudo certo, significa que o roteador permitiu a "conexão entrante" até a porta da sua maquina, ou seja, já chegou até a placa de rede do seu computador local. Nesse momento a configuração de infraestrutura esta pronta, faltando apenas configurar o computador que receberá o acesso externo.

4° Passo Configurando a estação local:

O que devo fazer?
  1. Crie um usuário local com senha (forte de preferência, usando pelo menos 8 caracteres, tendo números, letras maiúsculas e minusculas e símbolos. Lembre-se que sua maquina ficará exposta na web);
  2. Se você tiver um usuário sem senha, o acesso não funciona;
  3. Permissão administrativa do usuário (seu usuário deve ter permissão de acesso como remote desktop user; traduzindo, acesso a área de trabalho remota);
  4. Libere a porta TCP 3389 no firewall do Windows (importante lembrar que quando criamos a NAT no roteador, a porta foi liberada automaticamente, porém existem modelos que não fazem isso, fique atento nesse ponto);
  5. Muitas vezes o antivírus pode considerar um acesso não autorizado, ainda mais os pagos que tem uma pancada de funcionalidades (sempre da dor de cabeça no Norton, é incrível...);

Cada configuração é diferente para o Windows XP, Windows Vista e Windows 7. Fique atento que existem versões diferentes do mesmo sistema operacional, e isso pode causar certa confusão.

  • Vá até o painel de controle do Windows e clique em sistema;
  • Clique em Configurações remotas e ative as opções:

  1. Permitir conexões de Assistência Remota para este computador
  2. Permitir conexões de computadores que estejam executando qualquer versão da Área de trabalho remota

  • Agora clique em avançado para escolhermos os usuários que terão acesso
  • Será aberto uma nova tela, clique em Adicionar e depois em avançado;
  • Será mostrado uma nova tela, clique agora em localizar agora e escolha então o usuário;
  • Feito isso pressione OK.


Liberando acesso remoto

Acessando a lista de usuários locais

Escolhendo o usuário

Pronto! O usuário esta pronto para acessar remotamente seu computador... ufa... depois de tudo isso é só abrir o terminal services em qualquer computador com acesso a internet e digitar o endereço da sua maquina que será feito o acesso.

Exemplo:

Lembre-se de digitar o endereço com a porta que foi configurada, sendo que no meu exemplo usei a porta 1313.

batatinha.quandonasce.no-ip.uk:1313

Como acesso o Terminal Services?

Vá até o executar da sua maquina e digite MSTSC


Espero ter ajudado, e se você gostou faz um UP... rs... curte, compartilha e divulga.
Se você acha que faltou algo ou que o post pode ser melhorado, deixe seus comentários ... é bom poder evoluir cada vez mais nosso dia a dia.

Sucesso a todos nós sempre =D

21 comentários:

  1. Como o no-ip faz a atualização do ip dinamico com o nome dns?

    Por exemplo utilizo a mesmoa forma porém com o dyndns, e tem um client que fica na maquina para mandar sempre o novo ip para o servidor.

    Abs.

    ResponderExcluir
    Respostas
    1. Olá David,

      O no-ip não usa client, pois os dados de acesso estão configurado no roteador na borda da empresa. Então dentro do D-Link, por exemplo, você configura o usuário e senha do no-ip.

      Assim você não precisa usar nada instalado na estação.

      Abs e sucesso.

      Excluir
  2. Olá gostei do seu tutorial , porem no meu roteador tp-link tem a opção virtual server mas somente com possibilidade de porta de acesso interno e nao tem opção de configurar porta de acesso externo , o que fazer?

    ResponderExcluir
  3. Olá ... você teria o modelo dele para eu pesquisar?

    ResponderExcluir
  4. ola, muito bom mesmo seu tutorial ,minha duvida é semelhante a do UnKnown , tenho um roteador de modelo TP- link tl-WR741N, sigo todos os passos pra configurar o Nat para acesso remoto externo, inclusive configuro o proprio virtual server no roteador mas nao dá certo na hora da conexão. Como devo proceder?
    Caso puder me ajudar, agradeço pra caramba desde ja!
    Vlw, abraço

    ResponderExcluir
  5. Olá Richardson. Nesse TP- link tl-WR741N você precisa fazer o seguinte:

    1) Quando criar o virtual server, precisa fazer o redirecionamento de porta. Por exemplo, a pessoa tenta o acesso pela porta 5500 e é redirecionada para a 3389 (TCP). Essa porta é a entrada para o Remote Desktop do Windows.

    2) Você deve apontar no virtual server o IP da maquina que vai receber a conexão.

    3) A maquina que vai receber a conexão deve estar configurado com a entrada do Remote Desktop. Para o RDP funcionar, o computador tem que possuir:

    3.1) Um usuário Administrador com senha;
    3.2) O usuário deve estar no grupo Remote Desktop Users;
    3.3) Liberação da porta TCP 3389 no Firewall;

    Esse troubleshooting é meio chato mesmo rs... ele não vai funcionar se a maquina quie vai receber a conexão estiver com a porta TCP 3389 fechada.

    Importante lembrar... alguns roteadores aceitam pacotes ICMP, isso significa que respondem a ping. Não é uma boa deixar isso aberto, mas pode usar para um teste.

    Se você ativar e der um ping no endereço DNS cadastrado e ele responder, significa que esta chegando até o modem e é só uma questão de abrir portas.

    Por exemplo, você deu um nome de natatinha.ntp.br pro seu ip dinâmico.

    Faça um ping batatinha.ntp.br e veja o resultado.

    Espero ter ajudado... boa sorte ai garoto e sucesso.

    Manual do TP- link tl-WR741N: http://www.tp-link.com/Resources/document/TL-WR740N_741ND_User_Guide.pdf

    ResponderExcluir
    Respostas
    1. Vlw pela dica!
      So me esclareça mais uma duvida
      Quando faço a configuração no noip, o IP que criei automaticamente, no site, fica depois como endereço de IP da WAN do roteador!
      E normal?? Esse endereço de IP nao teria que ficar disponivel pra acesso externo

      Excluir
  6. Olá Richardson...

    Geralmente os IPs que você recebe das operadoras é dinâmico e pode mudar. O NoIP faz uma rota do servidor deles para a sua maquina e atualiza a conexão toda vez que o IP da operadora mudar.

    O importante é você ter em mãos o DNS, que é aquele nome criado para registrar sua conexão no NoIP. Para saber que IP você esta usando para conexão externa... acesse o site www.meuip.com.br

    Ele te mostra que IP a operadora esta te fornecendo e por ele você consegue fazer a conexão. ;)

    Espero poder ter ajudado.

    Grande abraço e sucesso.

    ResponderExcluir
  7. Cara, tem como ter mais de um computador sendo acessado pelo TS via no-ip. Já tenho uma máquina a qual tenho acesso (porta 3389) (funciona perfeitamente). Não estou conseguindo colocar mais um, dois, três computadores para acessar, na verdade até pede usuário e senha mas não autentica.

    ResponderExcluir
    Respostas
    1. Tem sim... na verdade você pode ter quantas maquinas quiser pelo passo a passo à cima. Como no tutorial o no-ip esta amarrado no roteador, é ele quem direciona os IPs internos da rede.

      No D-Link quem faz o direcionamento é um recurso chamado de virtual server.

      1) você configura o usuário e senha do No-Ip direto no roteador (então quando você comprar o Roteador)

      2) no roteador você identifica o IP interno e a porta que deve ser liberada, por exemplo... ele entra na porta 5000 e direciona para a porta TCP 3389 da maquina 192.168.0.1 na rede interna

      3) o Computador que vai receber o acesso precisa ter todas as permissões configuradas para receber a conexão.

      Excluir
  8. no exemplo que você postou de digitar o nome: batatinha.quandonasce.no-ip.uk:1313 o que seria esse 1313? que porta é essa? sendo que a porta do TS é 3389 não deveria ser essa porta que deveria ser adicionada?

    ResponderExcluir
  9. A porta 1313 é uma porta externa. Ela vai redirecionar o acesso para a 3389. Não é aconselhável abrir a porta 3389 para fora da rede, então como uma questão de segurança abrimos outras portas, redirecionando para portas internas através da NAT.

    ResponderExcluir
  10. muito massa a explicação... me ajudou muito! só uma duvida amigo: como fazer esse redirecionamento aí que vc fez para eu poder utilizar a porta 1313 e não a 3389.
    outra duvida, preciso acessar um programa especifico em uma maquina externo puxando do terminal.. daria certo isso? Tipo aqueles programas da fordes entende? ele se conectar direto ao programa da maquina externa, como seria isso? to quebrando demais a cabeça com isso e n sei nem se tem essa possibilidade.
    deste já muito obrigado por compartilhar o conhecimento.

    ResponderExcluir
    Respostas
    1. Opa... tudo na paz ai mestre? Que bom que o tutorial esta ajudando. Olha... para fazer o redirecionamento de porta tem que ser no roteador. Os dois modelos que passei fazem isso sem problemas, mas você precisa ver se o que você tem atende esse recurso.

      Olha... na teoria você só precisa abrir as portas no firewall do Windows que a NAT se encarrega do resto. A comunicação fará a entrada pela porta do roteador (1313), sendo redirecionada para o IP que estiver registrado direto para a porta 3389 da maquina local. Funciona muito bem.

      Uma boa dica é ter um bom Firewall cuidando dessa comunicação por que você pode receber algum ataque. Mude as credenciais de administrador local tantto da maquina quanto do roteador. Coloque uma senha bem complexa.

      Nunca desative o firewall do Windows. Configure de forma bem restritiva e lembre-se que essa maquina pode ser acessada da grande rede. Antivirus atualizado é regra básica rs... mas é sempre bom comentar.

      Espero ter ajudado. Grande abraço e qualquer coisa... da um grito aqui.

      Excluir
  11. Gostaria de esclarecer uma dúvida posso lhe enviar por email ?

    Obrigado

    ResponderExcluir
  12. No meu roteador somente tem o seguinte

    Modelo : TPLINK WR 542G

    Comexe
    Dyndns
    Peanuthull
    Ou seja não consigo acessa pelo NO-IP correto ?

    ResponderExcluir
    Respostas
    1. Correto! Mas... tente baixar a firmware do roteador atualizado. Pode ser que foi inserido posteriormente. Outro ponto importante é ver se existe uma opção Others que deixe vc setar os itens.

      Excluir
  13. boa tarde!
    consegui acessar meu terminal server na rede normalmente, porem quando tento acessar pelo computador de casa (o nome gerado pelo no ip) nao acessa, tentei pingar o nome pelo computador de casa e aparece o ip do terminal server no qual eu cadastrei porem aparece host inacessivel, como proceder?

    ResponderExcluir
  14. Tenho um roteador TL-MR3220 com o modem da nextel (3G)
    Gostaria de colocar uma camera IP para visualização de qualquer rede.
    Internamente está funcionando, mas externo não. Já configurei o No-ip mas mesmo assim não funcionou... falta algo...

    ResponderExcluir
    Respostas
    1. Olá Lisandro. Na verdade você precisa configurar a entrada no roteador e apontar para o servidor de câmeras. Não é difícil de fazer, mas cada modelo de roteador tem características peculiares. O termo correto é NATAL mas cada fabricante muda o nome para o que lhe convier, que é o caso por exemplo da DLink com o virtual server.

      Verifique se no manual do equipamento existe a possibilidade do tráfego externo ser roteado para a rede interna.

      Excluir

Comente sem faltar com respeito - ;-)