This page has been robot translated, sorry for typos if any. Original content here.

Wir erhöhen VPN + Billing UTM5 auf win2003



  • 1. Installieren und Konfigurieren von Routing und RAS
  • 2. Installation von UTM
  • 3. UTM konfigurieren
  • 4. Dateien


  • Wo Sie mit der Implementierung des VPN + UTM5-Pakets unter Windows Server 2003 beginnen können. Bevor Sie mit der Konfiguration von RASS beginnen, müssen Sie überprüfen, ob IAS (Internetauthentifizierungsdienst) installiert ist. Um dies zu überprüfen, müssen Sie die Installation / Deinstallation von Programmen auf der Systemsteuerung im Abschnitt INSTALLING WINDOWS COMONS durchführen und die Zusammensetzung der Komponenten der Netzwerkdienste anzeigen. Wenn dieser Dienst installiert ist, deaktivieren Sie ihn (deinstallieren). Dieser Dienst ist etwas anderes wie Windows-RADIUS. Es ist klar, dass 2 RADIUS-Server (UTM-RADIUS und Windows-RADIUS) nicht auf einem Computer arbeiten können, weil Verwenden Sie dieselben Ports für die Arbeit. Dementsprechend startet UTM-RADIUS einfach nicht, wenn der IAS-Dienst installiert ist.

    Ein anderer Dienst, der den ordnungsgemäßen Betrieb von UTM beeinträchtigt, insbesondere Apache, ist der World Wide Web Service, der Teil der Windows-Anwendungsserverkomponente in der IIS-Services-Gruppe ist. Es muss auch deinstalliert werden, sonst startet Apache nicht, weil Dieser Dienst verwendet 80 Port. Wenn der Server einen WEB-Server benötigt, kann er den gleichen Apache erfolgreich durch den 80. Port ersetzen. UTM bietet Benutzerzugriff auf Statistiken im HTTPS-Protokoll und stellt eine Verbindung mit dem 443-Port mit zertifikatsbasierter Verschlüsselung her. Sie können natürlich Apache auf Port 8080 installieren, aber warum sollten 2 WEB-Server auf einem Computer sein?

    Auf dem Server sollte SQL Server oder MySQL nicht installiert sein.
    Nach der Deinstallation dieser Dienste können Sie mit der Installation und Konfiguration von RASS beginnen.

    1. Installieren und Konfigurieren von Routing und RAS


    1.1. Führen Sie den RASS-Installationsassistenten aus.

    1.2. Wir weisen alle Standardschemata zurück und wählen den manuellen Einstellmodus. Es scheint, dass er der letzte in der Liste der Optionen ist, die vom Master angeboten werden.
    1.3. Nachdem wir RASS gestartet haben, fangen wir an, es zu konfigurieren.

    1.4. Wir gehen in die Eigenschaften des RASS-Servers (klicken Sie mit der rechten Maustaste auf das Serversymbol mit dem grünen Pfeil und wählen Sie EIGENSCHAFTEN).

    1.5. Wählen Sie auf der Registerkarte ALLGEMEIN die Option LOKALES NETZWERK UND BANKRUFE NACH ANFORDERUNG und den FERNZUGRIFFSSERVER, klicken Sie auf OK und starten Sie RASS neu.

    1.6. Gehen Sie wieder zu den Eigenschaften des RASS-Servers auf der Registerkarte SICHERHEIT.

    1.7. Hier im SERVICE DER PRÜFUNG
    AUTHENTICATION Wir spezifizieren die RADIUS-Authentifizierung und drücken die SET-Taste. Im geöffneten Fenster drücken wir die Taste ADD.

    1.8. Wenn UTM-RADIUS auf demselben Computer installiert ist, schreiben Sie im Feld SERVER NAME - 127.0.0.1. Wenn sich UTM-RADIUS auf einem anderen Computer befindet, geben Sie dessen IP an.

    1.9. Drücken Sie im SECRET-Feld die CHANGE-Taste und schreiben Sie - Secret und bestätigen Sie erneut.

    1.10. Die Auszeit, die Erstbewertung und den Hafen werden nicht berührt. Der Port muss 1812 sein. Stellen Sie sicher, dass Sie IMMER das MESSAGE CERTIFICATE VERWENDEN und klicken Sie auf OK.
    1.11. Wählen Sie nun im Buchhaltungsdienst RSDIUS Accounting und klicken Sie auf die SET-Taste.

    1.12. Drücken Sie im erscheinenden Fenster die Taste ADD.

    1.13. SERVER NAME ist auch 127.0.0.1, Secret ist geheim, Port ist 1813, Timeout und Anfangswert werden standardmäßig belassen, das RADIUS MESSAGE-Häkchen ist nicht aktiviert, um das Accounting zu aktivieren / deaktivieren. Drücken Sie OK.
    1.14. Wir werden PPTP für VPN-Verbindungen verwenden, daher werden wir nicht daran interessiert sein, die IPSEC-Richtlinien für die L2TP-VERBINDUNG ZU LÖSEN, und das tun wir nicht.

    1.15. Gehe zur Registerkarte IP. Hier im Allgemeinen eine sehr interessante Sache.

    1.16. Zuerst setzen wir alle Kontrollkästchen, die auf dieser Registerkarte sind (es gibt drei davon).
    1.17. Als Adapter zum Abrufen von DHCP-Adressen, DNS- und WINS-Servern für VPN-Clients wählen wir den Adapter der Schnittstelle, die im Internet aussieht. Es sendet alle Anforderungen an VPN-Benutzer.

    1.18. Jetzt das interessanteste. Damit die interne Schnittstelle RASS die IP erhält, die als IP-Server verwendet wird, wenn der VPN-Client über das PPTP-Protokoll über den PPTP-Tunnel verbunden wird, wählen Sie im Abschnitt APPOINTING IP ADDRESSES den Eintrag STATIC ADDRESS POINT und geben Sie diese IP hier an. Aber das tapfere Unternehmen Microsoft hat irgendwie entschieden, dass RASS nur mit Windows-RADIUS arbeiten wird und nicht mehr. Bei der Angabe eines statischen Adresspools schrieb Microsoft daher einen Scheck für die Anzahl der Adressen im Pool und beschloss, dass mindestens zwei davon vorhanden sein sollten. Dies trifft nur zu, wenn Sie mit Windows-RADIUS arbeiten, wobei die IP-Adressen für den Client und den Server aus diesem Pool stammen. In diesem Fall wird nur die Adresse des Servers aus diesem Pool übernommen und die Adresse dem Client von UTM zugewiesen. Auf den ersten Blick gibt es keine Probleme. Wenn es nicht für mittlere Benutzer wäre. Wie die Praxis zeigt, erhält ein Benutzer, der eine Verbindung zu ihm herstellt, IP von UTM und der zweite von diesem Pool. Das Problem besteht darin, dass der Datenverkehr nur auf der IP-Adresse berücksichtigt wird, die in UTM registriert ist, und der zweite Nutzer wird kostenlos sitzen. Aber nicht alles ist so schlecht. Wir verlassen die Eigenschaften des Servers RASS (klicken Sie auf den OK Button unten). Wir warten auf die Schaltfläche Start, dann Ausführen und schreiben Sie den Befehl

    netsh ras ip add Bereich 192.168.2.254 192.168.2.254

    Wieder gehen wir in die Eigenschaften des RASS-Servers auf der Registerkarte IP und beobachten dort einen statischen Pool von einer Adresse 192.168.2.254. Das Problem ist gelöst. Das Netzwerk, das wir für VPN verwenden werden, ist übrigens - 192.168.2.0/255.255.255.0.

    1.19. Wir gehen zur Registerkarte PPP und entfernen das Häkchen von den Punkten MULTI-CHANNEL CONNECTIONS und SOFTWARE COMPRESSION. Wir setzen das EXPANSION-Element des COMMUNICATION CONTROL PROTOKOLLS (LCP) mit einem Häkchen.

    1.20. Wechseln Sie zur Registerkarte JOURNAL MANAGEMENT. Wir wählen den Artikel NEUE MAGAZINE FEHLER UND WARNUNGEN aus. Es ist notwendig zu wissen, wer und wann mit RASS über VPN verbunden ist. Das Protokoll zusätzlicher Informationen ist nicht erforderlich.

    1.21. Jetzt müssen Sie virtuelle Ports für VPN-Verbindungen konfigurieren.

    1.22. Gehen Sie zu den Eigenschaften der Ports (klicken Sie mit der rechten Maustaste auf die PORTS und wählen Sie PROPERTIES).

    1.23. Konfigurieren Sie nacheinander jeden Porttyp in der Liste. Wählen Sie in SETUP L2TP und Poke aus. Entfernen Sie alle Häkchen und legen Sie die maximale Anzahl von Ports auf 0 fest. Wählen Sie PPPoE und klicken Sie auf EINSTELLUNG. Wir entfernen alle Häkchen. Wählen Sie PPTP, klicken Sie auf SETUP. Wir setzen das Kontrollkästchen NUR EINKOMMEN, deaktivieren Sie die Option INPUT und OUTPUT. Die maximale Anzahl der Ports ist auf 128 festgelegt. (So können sich viele Personen gleichzeitig mit dem VPN verbinden.) Wenn Sie nicht so viel brauchen, können Sie weniger setzen.) Auf das Wetter wirkt sich dies nicht aus.) Wählen Sie Direct Parallel und entfernen Sie alle Häkchen. Dieses Element ist möglicherweise nicht vorhanden, wenn der Server keinen parallelen Anschluss für den Drucker hat oder im BIOS deaktiviert ist.
    Am Ende muss es ein solches Bild geben.

    1.24. Fahren wir mit dem IP-Routing fort.

    1.25. Hier müssen wir sofort die Firewall bestimmen. Wenn Sie auf dem Server keine Firewall eines Drittanbieters haben, müssen Sie sie separat verstehen. Wenn ISA kostet, muss es abgerissen werden. Es muss nicht mit VPN arbeiten. Die Frage mit der Firewall ist sehr ernst - die endgültige Entscheidung, welche Firewall Sie verwenden sollen - für Sie. Ich kann nur sagen, dass Sie in der Grundversion die eingebaute RASS-Firewall konfigurieren können, obwohl es sehr verrückt ist, aber die Aufgabe mit der Verteilung des Datenverkehrs fast vollständig funktioniert.

    1.26. Stecken Sie die Maus in das GENERAL im linken Fenster und überprüfen Sie, welche Schnittstellen im rechten Fenster vorhanden sind. Es sollte sowohl Netzwerkschnittstellen (welche im Internet suchen und welche auf das lokale Netzwerk schaut), die interne Schnittstelle und die Schließung an sich, d. H. in Ihrem Fall 4 Schnittstellen. Wenn sie fehlen oder fehlen, fügen Sie sie hinzu, indem Sie auf den leeren Bereich im rechten Fenster klicken und NEUE SCHNITTSTELLE auswählen.

    1.27. In unserem Fall sollte IP-Routing 3 Elemente ALLGEMEIN, STATISCHE ROUTEN und NAT / SIMPLE FIREWALL enthalten. Wenn dort nichts vorhanden ist oder etwas anderes vorhanden ist, müssen Sie das unnötige entfernen und die notwendigen hinzufügen, indem Sie auf COMMON klicken und den Eintrag NEW ROUTE PROTOKOLL wählen.

    1.28. Artikel STATISCHE ROUTEN, die wir nicht brauchen. Es muss leer sein. Wir können es nicht entfernen - es ist ein integraler Bestandteil des RASS. Wir übergeben direkt an NAT.

    1.29. NAT wird benötigt, um globale Adressen in lokale Adressen umzuwandeln und umgekehrt. Stecken Sie die Maus in NAT. Fügen Sie im rechten Fenster eine Schnittstelle hinzu, die das Internet betrachtet und in ihre Eigenschaften geht (klicken Sie mit der rechten Maustaste darauf und wählen Sie EIGENSCHAFTEN)


    1.30. Wir erklären es als die allgemeine Schnittstelle für die Verbindung mit dem Internet und setzen das Kontrollkästchen, um NAT auf dieser Schnittstelle zu aktivieren. Das zweite Häkchen, um die Haupt-Firewall für diese Schnittstelle einzuschalten, muss nicht gesetzt sein, wenn Sie über eine Firewall verfügen. Wenn die Firewall nicht vorhanden ist, muss sie installiert werden, andernfalls wird Ihr Server im Internet sichtbar sein. Wir drücken OK. Mehr in NAT müssen Sie nichts konfigurieren.

    1.31. Wenn Sie eine Firewall haben, kann die RASS-Einstellung als abgeschlossen betrachtet werden. Wenn Sie es nicht haben, müssen Sie Paketfilter konfigurieren, um die Verteilung des Internets über das lokale Netzwerk zu blockieren und im VPN zu starten.

    1.32. Dazu stoßen wir auf ALLGEMEINES und gehen in die Eigenschaften der Schnittstelle, die das lokale Netzwerk betrachtet. Drücken Sie die OUTPUT FILTER-Taste. Klicken Sie im geöffneten Fenster auf die Schaltfläche ERSTELLEN. Wir kreuzen das Quellennetz an und registrieren unser lokales Netzwerk dort. In Ihrem Fall 192.168.1.0/255.255.255.0. Wir sagen OK. Wir drücken das zweite Mal CREATE. Wir kreuzen das Quell-Netzwerk an und registrieren dort die IP-Adresse des VPN-Servers. In unserem Fall 192.168.2.254/255.255.255.255. Wir sagen OK. Wir wählen die Aktion des Filters oben aus - ALLE PAKETE ABWEISEN, AUSSER DEN, DIE AUF DAS KASSETTE UNTER KRETERIEN ANSPRECHEN, und klicken Sie auf OK.

    1.33. ALLE !!! Jetzt ist RASS gestimmt !!!


    2. Installation von UTM.


    2.1. Führen Sie das UTM5Setup aus. Sprache wird entsprechend Russisch gewählt.

    2.2. Zuerst das Auto JAVA setzen.

    2.3. Wir starten UTM5Setup neu. Setzen Sie nun den Rest durch Deaktivieren von JAVA. Bei weiterer Installation gibt es keine Tricks. Nachdem die Installation abgeschlossen ist, müssen Sie in die Dienste gehen und sehen, dass MySQL-NT und UTM5_CORE gestartet werden. Wenn alles funktioniert, ist es großartig.

    2.4. Dann setzen wir RADIUS. Bei ihm gibt es nie ein Problem.

    2.5. Jetzt NDSAD. Hier gibt es viele Probleme. Damit NDSAD Traffic zum VPN sammeln kann, muss der WinPCAP-Treiber Version 3.1 und höher sein.

    2.6. Nach dem Neustart sollte der NDSAD-Dienst gestartet werden. Wenn es nicht startet, ist der Server mit Port 9996 beschäftigt, den ndsad zur Kommunikation mit UTM verwendet.

    2.7. Installieren Sie nun (falls der Dienst nicht in den Diensten angezeigt wird) utm5_rfw. Führen Sie dazu den folgenden Befehl aus:

    utm5_rfw.exe --install.

    Danach sollte utm5_rfw in den Diensten erscheinen.

    2.8. Jetzt brauchen wir ein anderes Programm, das nicht Teil von UTM ist, aber ohne dass Sie keine Ausfälle von VPN-Verbindungen von Benutzern verwalten können, deren Kontostand 0 überschritten hat. Dies ist utm5_kill_vpn.exe. Beim ersten Start von UTM stellte ich fest, dass Windows-Entwickler bei der Arbeit mit RASS keinen Mechanismus zum Deaktivieren von VPN-Verbindungen haben. Die Deaktivierung des Internets ist übrigens das schmerzhafteste Problem in den meisten Abrechnungssystemen. Es ist gut, dass sie sogar utm5_rfw geschrieben haben, mit dem Sie die Steuerung auf andere Programme übertragen können, da sonst eine Pipe wäre. Dieses Programm sollte in den Stamm der Festplatte c kopiert werden: Die Shutdown-Schaltung funktioniert so. UTM erkennt, dass das Guthaben des Benutzers negativ geworden ist. Es gibt den Befehl utm5_rfw, um den Benutzer zu trennen. Utm5_rfw ruft utm5_kill_vpn auf und gibt den Befehl RASS Windows, um die VPN-Verbindung für einen bestimmten Benutzer zu unterbrechen.

    (Damit der Automat GAP =) in UTM passiert, gehen Sie zu den FIREWALL-REGELN, klicken Sie auf die Schaltfläche UPDATE. Wir löschen alles außer dem ersten. Zuerst rufen wir zur Bearbeitung auf. Setzen Sie ein Häkchen - Alle Benutzer. Benutzer ID ist 0, Gruppenkennung ist 0, Tarifkennung ist 0, Einschalten - Es wird nichts geschrieben (sollte leer sein), Shutdown ist c: /utm5_kill_vpn.exe ULOGIN, Firewall ID ist 1. Die ULOGIN Variable enthält den Namen der VPN Verbindung und wird übertragen Programm utm5_kill_vpn.exe, um das entsprechende VPN zu deaktivieren.)


    2.9. Wie alles installiert ist. Gehen Sie jetzt zu den Einstellungen.




    3. UTM konfigurieren


    3.1. Konfigurationsdateien.

    3.1.1. UTM5.CFG

    database_type = mysql - Art der Datenbank
    database = utm5 - Name der Datenbank
    database_host = 127.0.0.1 - IP des Computers mit der Datenbank
    database_login = root - Login in der Datenbank
    database_password = - Datenbank-Passwort (kein Passwort)

    urfa_bind_host = 0.0.0.0 - IP, von der aus wir eine Verbindung zur Datenbank herstellen (von jedem beliebigen)

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - Bibliotheken zum Betrieb externer Module
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - NDSAD-Anschluss


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - Die IP, auf der sich UTM befindet
    core_port = 11758 - Anschluss der Verbindung zu UTM

    radius_login = radius - Systembenutzeranmeldung
    radius_password = radius - das Passwort des Systembenutzers

    radius_auth_mppe = enable - VPN-Autorisierung

    radius_auth_vap = 1 - nicht mit negativem Guthaben autorisieren

    radius_ssl_type = keine - Verschlüsselungstyp (deaktiviert)

    radius_ippool_timeout = 0 - Verzögerung der erneuten Autorisierung (sofort)
    radius_ippool_acct_timeout = 0 - IP sofort nach einer VPN-Pause freigeben


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - Der Name der Firewall (IP wird verwendet)

    firewall_type = local - Firewall-Typ (lokal)

    core_host = 127.0.0.1 - IP-Adresse von UTM
    core_port = 11758 - Port für die Kommunikation mit UTM

    rfw_login = Web - Systembenutzeranmeldung
    rfw_password = Web - Systembenutzerkennwort

    3.1.4. NDSAD.CFG

    dummy all - Deaktivieren Sie die Sammlung von Statistiken von jedem Gerät, mit Ausnahme derjenigen, die im force-Befehl angegeben sind, d. h. Verkehr wird nur auf dem VPN gesammelt

    force \ Device \ NPF_GenericDialupAdapter - der Modus zum Sammeln von Statistiken auf dem VPN

    nf_lifetime 1 - bricht sofort Sitzungen ab, wenn das Guthaben des Benutzers 0 überschreitet


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - IP-Adresse von UTM

    web_login = web - system Benutzeranmeldung

    web_password = Web - Systembenutzerkennwort


    3.1.6. Nachdem Sie die Konfigurationsdateien repariert haben, müssen Sie den Computer neu starten, damit alle Änderungen wirksam werden.

    4. Dateien:


    Name: NDSAD_setup_1_33.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599261

    Name: utm5_kill_vpn.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599276

    UTM5 kann unter http://www.netup.ru/ heruntergeladen werden.

    Auch im Kit von UTM ist Apache und Muskel. Um den Web-Admin zu betreten, müssen Sie OpenSSL installieren und Zertifikate unterschreiben. Ich habe zwar gesehen, dass es alternative Versionen von Webmastern gibt.