This page has been robot translated, sorry for typos if any. Original content here.

Wir erheben VPN + Abrechnung UTM5 auf win2003



  • 1. Installieren und konfigurieren Sie Routing und RAS
  • 2. Installieren von UTM
  • 3. Konfigurieren Sie UTM
  • 4. Dateien


  • Wo also beginnen Sie, das VPN + UTM5-Bundle unter Windows Server 2003 zu implementieren. Bevor Sie mit der Konfiguration von RASS beginnen, müssen Sie prüfen, ob der Internetauthentifizierungsdienst (IAS) installiert ist. Um dies zu überprüfen, müssen Sie auf der Systemsteuerung im Abschnitt INSTALLIEREN VON WINDOWS-KOMPONENTEN das Programm zur Installation / Deinstallation aufrufen und den Inhalt der Netzwerkdienste-Komponenten anzeigen. Wenn dieser Dienst installiert ist, deaktivieren Sie das Kontrollkästchen (Deinstallieren). Dieser Dienst ist so etwas wie Windows-RADIUS. Es ist klar, dass 2 RADIUS-Server (UTM-RADIUS und Windows-RADIUS) nicht auf demselben Computer arbeiten können, da Verwenden Sie die gleichen Ports für den Betrieb. Wenn IAS installiert wird, wird UTM-RADIUS einfach nicht gestartet.

    Ein weiterer Dienst, der den ordnungsgemäßen Betrieb von UTM bzw. Apache behindert, ist der World Wide Web Service, der Teil der Windows-Komponente Application Server in der Gruppe Internetinformationsdienste (IIS) ist. Es muss auch deinstalliert werden, sonst startet Apache nicht, weil Dieser Dienst verwendet Port 80. Wenn der Server einen WEB-Server benötigt, kann er von demselben Apache über Port 80 erfolgreich ersetzt werden. UTM bietet Benutzern Zugriff auf Statistiken über das HTTPS-Protokoll und stellt eine Verbindung mit Port 443 mit zertifikatsbasierter Verschlüsselung her. Sie können Apache natürlich auf Port 8080 installieren, aber warum gibt es 2 WEB-Server auf einem Computer?

    SQL Server und MySQL sollten nicht auf dem Server installiert werden.
    Nach der Deinstallation dieser Dienste können Sie RASS installieren und konfigurieren.

    1. Installieren und konfigurieren Sie Routing und RAS


    1.1. Führen Sie den Installationsassistenten RASS aus.

    1.2. Wir verzichten auf alle Standardschemen und wählen den manuellen Anpassungsmodus. Es scheint, dass er der letzte in der Liste der vom Meister angebotenen Optionen ist.
    1.3. Nach dem Start von RASS starten wir die Konfiguration.

    1.4. Wechseln Sie zu den Eigenschaften des Servers RASS (klicken Sie mit der rechten Maustaste auf das Serversymbol mit dem grünen Pfeil und wählen Sie EIGENSCHAFTEN).

    1.5. Wählen Sie auf der Registerkarte GENERAL den Modus LAN AND ROLLER ROUTER ON REQUIREMENT und den REMOTE ACCESS SERVER aus, klicken Sie auf OK, und starten Sie RASS neu.

    1.6. Wechseln Sie erneut zu den Eigenschaften des RASS-Servers auf der Registerkarte SICHERHEIT.

    1.7. Hier im Abschnitt SERVICE PRÜFEN
    AUTHENTITY Wir geben die RADIUS-Authentifizierung an und klicken auf die Schaltfläche SET UP. Klicken Sie in dem sich öffnenden Fenster auf die Schaltfläche ADD.

    1.8. Wenn UTM-RADIUS auf demselben Computer installiert ist, schreiben wir in das Feld SERVER NAME - 127.0.0.1. Wenn sich UTM-RADIUS auf einem anderen Computer befindet, geben Sie seine IP-Adresse an.

    1.9. Im GEHEIM-Feld drücken wir die CHANGE-Taste und schreiben das Geheimnis und bestätigen es erneut.

    1.10. Wir berühren das Timeout, die anfängliche Schätzung und den Port nicht. Der Port sollte - 1812 sein. Achten Sie darauf, immer das NACHRICHTENZERTIFIKAT zu aktivieren, und klicken Sie auf OK.
    1.11. Wählen Sie nun im ACCOUNT SERVICE die Option RSDIUS Accounting und drücken Sie die SETUP-Taste.

    1.12. Im erscheinenden Fenster drücken wir die ADD-Taste.

    1.13. Der SERVER NAME ist auch 127.0.0.1, Secret - Secret, Port - 1813, wir belassen das Standard Timeout und die Anfangsbewertung, kreuzen Sie nicht das RADIUS COMMUNICATION ON / DISABLE ACCOUNT an. Lass uns OK drücken.
    1.14. Wir werden PPTP für VPN-Verbindungen verwenden, daher ist das Kontrollkästchen ENABLE USER IPSEC POLICIES FÜR L2TP CONNECTION nicht aktiviert, und wir richten es nicht ein.

    1.15. Gehe zur Registerkarte IP. Es gibt generell eine sehr interessante Sache.

    1.16. Setzen Sie zunächst alle Kontrollkästchen auf dieser Registerkarte (es gibt drei).
    1.17. Als Adapter zum Empfangen von Adressen von DHCP-, DNS- und WINS-Servern für VPN-Clients wählen wir einen Schnittstellenadapter aus, der nach dem Internet sucht. Alle Anfragen an VPN-Benutzer werden von diesem übertragen.

    1.18. Jetzt der lustige Teil. Damit die interne RASS-Schnittstelle eine IP-Adresse erhält, die als IP-Server verwendet wird, wenn ein VPN-Client über einen PPTP-Tunnel über PPP verbunden ist, wählen Sie im Bereich DESTINATION von IP-ADRESSEN die STATISCHE ADRESSBOX und geben Sie diese IP hier an. Aber aus irgendeinem Grund entschied die glorreiche Microsoft-Firma, dass RASS nur mit Windows-RADIUS funktionieren würde und mit keinem anderen. Daher schrieb Microsoft beim Festlegen eines statischen Adresspools eine Überprüfung der Anzahl der Adressen im Pool und berücksichtigte, dass mindestens zwei davon vorhanden sein sollten. Dies gilt nur, wenn Sie mit Windows-RADIUS arbeiten, wobei die IP-Adressen für den Client und den Server aus diesem Pool stammen. In diesem Fall wird nur die Adresse für den Server verwendet und dem Client wird die Adresse von UTM zugewiesen. Auf den ersten Blick gibt es keine Probleme. Wenn nicht böse Benutzer. Wie die Praxis gezeigt hat, wenn ein Benutzer seinem VPN ein Login und ein Passwort gab und sie sich gleichzeitig verbinden, erhält die erste Verbindung von ihnen die IP von UTM und die zweite von diesem Pool. Das Problem besteht darin, dass der Datenverkehr nur für die IP gezählt wird, die in der UTM registriert ist, und der zweite Benutzer wird kostenlos sitzen. Aber nicht alles ist so schlecht. Beenden Sie die Eigenschaften des Servers RASS (klicken Sie auf die Schaltfläche OK unten). Wir warten auf den Startknopf, dann auf Ausführen und schreiben einen Befehl

    netsh ras ip add Bereich 192.168.2.254 192.168.2.254

    Wieder gehen wir in die Eigenschaften des RASS-Servers in der Registerkarte IP und beobachten dort einen statischen Pool von der gleichen Adresse 192.168.2.254. Das Problem ist gelöst. Übrigens wird das Netzwerk, das wir für VPN verwenden werden, - 192.168.2.0/255.255.255.0 sein.

    1.19. Wechseln Sie zur Registerkarte PPP und entfernen Sie das Häkchen aus den Optionen MULTI-CHANNEL CONNECTIONS und PROGRAMMING DATA. Markieren Sie den Punkt VERLÄNGERUNG DES KOMMUNIKATIONSSTEUERPROTOKOLLS (LCP).

    1.20. Gehe zum Tab MAGAZIN MANAGEMENT. Wählen Sie den Punkt NEWS MAGAZIN FEHLER UND WARNUNGEN. Es ist zu Informationszwecken notwendig, um zu wissen, wer und wann über VPN mit dem RASS verbunden ist. Das Protokoll zusätzlicher Informationen ist nicht erforderlich.

    1.21. Jetzt ist es langweilig, virtuelle Ports für VPN-Verbindungen zu konfigurieren.

    1.22. Gehen Sie zu den Eigenschaften der Ports (klicken Sie mit der rechten Maustaste auf den PORT und wählen Sie EIGENSCHAFTEN).

    1.23. Sequenziell konfigurieren Sie jeden Porttyp in der Liste. Wählen Sie L2TP und klicken Sie auf SETUP. Entfernen Sie alle Kontrollkästchen und stellen Sie die maximale Anzahl an Ports auf 0. Wählen Sie PPPoE und klicken Sie auf SETUP. Entfernen Sie alle Häkchen. Wählen Sie PPTP, klicken Sie auf SETUP. Setzen Sie das Kontrollkästchen NUR EINSCHLIESSLICH, entfernen Sie das Häkchen INCLUDED UND OUTBOUND. Die maximale Anzahl der Ports ist auf 128 festgelegt. (Auf diese Weise können sich mehrere Personen gleichzeitig mit dem VPN verbinden. Wenn Sie nicht so viel benötigen, können Sie weniger verwenden. Es wirkt sich nicht auf das Wetter aus.) Wählen Sie Direkt Parallel und entfernen Sie alle Kontrollkästchen. Dieses Element ist möglicherweise nicht vorhanden, wenn der Server keinen parallelen Anschluss für den Drucker hat oder im BIOS deaktiviert ist.
    Letztendlich sollte es ein solches Bild geben.

    1.24. Weiter zum IP-Routing.

    1.25. Hier ist es notwendig, die Firewall sofort zu bestimmen. Wenn Ihr Server keine Firewall eines Drittanbieters ist, müssen Sie separat damit umgehen. Wenn es ISA ist, muss es abgerissen werden. Es ist nicht erforderlich, mit einem VPN zu arbeiten. Das Problem mit der Firewall ist sehr ernst - die endgültige Entscheidung über die Verwendung der Firewall liegt bei Ihnen. Ich kann nur sagen, dass Sie in der Basisversion die in den RASS eingebaute Firewall konfigurieren können, obwohl es sehr kurz ist, aber die Aufgabe mit der Verteilung des Verkehrs wird fast vollständig ausgeführt.

    1.26. Wir stecken die GENERAL-Maus in das linke Fenster und prüfen, welche Schnittstellen im rechten Fenster vorhanden sind. Es muss sowohl Netzwerkschnittstellen (die zum Internet schauen und die zum lokalen Netzwerk schauen) als auch die interne Schnittstelle und die Abkürzung zu sich selbst geben, d.h. in deinem Fall 4 Schnittstellen. Wenn keine vorhanden sind oder einige fehlen, müssen Sie sie hinzufügen, indem Sie auf den leeren Bereich im rechten Fenster klicken und den Eintrag NEUE SCHNITTSTELLE auswählen.

    1.27. In unserem Fall sollte das IP-Routing 3 Elemente GENERAL, STATISCHE ROUTEN und NAT / SIMPLE BRANDMAUER enthalten. Wenn etwas nicht vorhanden ist oder etwas anderes vorhanden ist, sollte das Extra entfernt werden, und das Notwendige sollte hinzugefügt werden, indem auf ALLGEMEIN geklickt wird und das NEUE ROUTING-PROTOKOLL ausgewählt wird.

    1.28. Artikel STATISCHE ROUTEN, die wir nicht brauchen. Es muss leer sein. Wir können es nicht löschen - es ist ein integraler Bestandteil von RASS. Gehe direkt zu NAT.

    1.29. NAT wird benötigt, um globale Adressen in lokale und umgekehrt umzuwandeln. Stupse die Maus in NAT. Im rechten Fenster fügen Sie eine Schnittstelle hinzu, die ins Internet schaut und zu ihren Eigenschaften geht (klicken Sie darauf mit der rechten Maustaste und wählen Sie EIGENSCHAFTEN)


    1.30. Wir deklarieren es als eine allgemeine Schnittstelle für die Verbindung mit dem Internet und aktivieren das Kontrollkästchen NAT auf dieser Schnittstelle aktivieren. Der zweite Haken ENABLE MAIN BRANDMAUER FÜR DIESES INTERFACE muss nicht gesetzt werden, wenn Sie eine Firewall haben. Wenn es keine Firewall gibt, müssen Sie sie installieren, andernfalls ist Ihr Server im Internet sichtbar. Klicken Sie auf OK. Es gibt nichts mehr in NAT zu konfigurieren.

    1.31. Wenn Sie jetzt eine Firewall haben, kann das RASS-Setup als abgeschlossen betrachtet werden. Wenn Sie es nicht haben, müssen Sie Paketfilter konfigurieren, um die Verteilung des Internets über das lokale Netzwerk zu blockieren und es in VPN zu versetzen.

    1.32. Um dies zu tun, suchen wir im GENERAL nach den Eigenschaften der Schnittstelle und schauen uns das lokale Netzwerk an. Drücken Sie die Taste OUTPUT FILTERS. Im geöffneten Fenster klicken Sie auf den Button ERSTELLEN. Wir kreuzen das INITIALE NETZWERK an und registrieren dort unser lokales Netzwerk. In Ihrem Fall 192.168.1.0/255.255.255.0. Wir sagen OK. Wir drücken das zweite Mal auf CREATE. Wir kreuzen das Quellnetzwerk an und registrieren dort die IP-Adresse des VPN-Servers. In unserem Fall 192.168.2.254/255.255.255.255. Wir sagen OK. Wählen Sie oben in der Filteraktion aus - VERWENDEN SIE ALLE PAKETE, AUSSER DIESE BEZIEHEN SIE SICH AUF DIE VERFÜGBAREN UNTEN KRITERIEN, und klicken Sie auf OK.

    1.33. Alles !!! Jetzt ist RASS eingerichtet !!!


    2. Installieren von UTM.


    2.1. Führen Sie das UTM5-Setup aus. Sprache, wählen Sie jeweils Russisch.

    2.2. Setzen Sie zuerst das Auto JAVA.

    2.3. Wir starten UTM5Setup neu. Jetzt nehmen wir alles andere, indem wir das Häkchen von JAVA entfernen. Bei weiterer Installation gibt es keine Weisheit. Nachdem die Installation abgeschlossen ist, müssen Sie zu den Diensten gehen und sehen, dass MySQL-NT und UTM5_CORE ausgeführt werden. Wenn alles funktioniert, dann großartig.

    2.4. Als nächstes setzen wir RADIUS ein. Es gibt nie Probleme mit ihm.

    2.5. Jetzt NDSAD. Hier gibt es viele Probleme. Damit NDSAD Datenverkehr in einem VPN erfassen kann, muss der WinPCAP-Treiber Version 3.1 und höher sein.

    2.6. Nach dem Neustart sollte der ndsad-Dienst starten. Wenn es immer noch nicht startet, wird Port 9996 auf dem Server verwendet, über den ndsad mit UTM kommuniziert.

    2.7. Jetzt installieren wir (wenn dieser Dienst nicht in den Diensten erscheint) utm5_rfw. Führen Sie dazu den folgenden Befehl aus:

    utm5_rfw.exe --install.

    Danach sollte utm5_rfw in den Diensten erscheinen.

    2.8. Jetzt brauchen wir ein anderes Programm, das nicht Teil der UTM ist, aber ohne das Sie die Trennung der VPN-Verbindungen der Benutzer nicht verwalten können, deren Kontostand über 0 gegangen ist. Dies ist das Programm utm5_kill_vpn.exe. Als ich UTM zum ersten Mal gestartet habe, habe ich festgestellt, dass Entwickler bei der Arbeit mit RASS Windows keinen Mechanismus zum Deaktivieren von VPN-Verbindungen haben. Das Ausschalten des Internets ist übrigens das heikelste Problem in den meisten Abrechnungssystemen. Es ist gut, dass sie sogar utm5_rfw geschrieben haben, mit dem Sie die Kontrolle auf andere Programme übertragen können, sonst wäre es eine Pipe. Dieses Programm muss in das Stammverzeichnis der Festplatte kopiert werden c: Das Shutdown-Schema funktioniert so. UTM erkennt, dass das Guthaben des Benutzers negativ geworden ist. Sie gibt den Befehl utm5_rfw, um den Benutzer zu trennen. Utm5_rfw ruft utm5_kill_vpn auf und gibt den RASS-Windows-Befehl zum Beenden der VPN-Verbindung für einen bestimmten Benutzer an.

    (Damit das GAP automatisch eintritt =) in der UTM gehe zu den FIREWALL-REGELN, klicke auf den UPDATE-Button. Entferne alles außer dem ersten. Erster Aufruf zum Bearbeiten. Setzen Sie ein Häkchen - Alle Benutzer. Benutzer ID - 0, Gruppen ID - 0, Tarif ID - 0, Ein - nichts schreiben (muss leer sein), Shutdown - c: /utm5_kill_vpn.exe ULOGIN, Firewall ID - 1. Die Variable ULOGIN enthält den Namen der VPN Verbindung und wird übergeben utm5_kill_vpn.exe, um das entsprechende VPN zu deaktivieren.)


    2.9. Es scheint alles ist installiert. Gehe jetzt zu den Einstellungen.




    3. Konfigurieren Sie UTM


    3.1. Konfigurationsdateien

    3.1.1. UTM5.CFG

    database_type = mysql - Datenbanktyp
    Datenbank = utm5 - Datenbankname
    database_host = 127.0.0.1 - IP des Computers mit der Datenbank
    database_login = root - Loggen Sie sich in die Datenbank ein
    database_password = - Datenbankpasswort (ohne Passwort)

    urfa_bind_host = 0.0.0.0 - IP, von dem aus wir eine Verbindung zur Datenbank herstellen

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - Bibliotheken für externe Module
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - NDSAD-Verbindungsport


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - IP, auf der sich die UTM befindet
    core_port = 11758 - UTM-Verbindungs-Port

    radius_login = Radius - Benutzeranmeldung des Systems
    radius_password = Radius - Systembenutzerpasswort

    radius_auth_mppe = aktivieren - VPN-Autorisierung

    radius_auth_vap = 1 - Autorisieren Sie nicht mit einem negativen Saldo

    radius_ssl_type = none - Verschlüsselungstyp (deaktiviert)

    radius_ippool_timeout = 0 - erneute Autorisierungsverzögerung (sofort)
    radius_ippool_acct_timeout = 0 - IP sofort nach einer VPN-Pause freigeben


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - Name der Firewall (IP wird verwendet)

    firewall_type = local - Firewalltyp (lokal)

    core_host = 127.0.0.1 - UTM IP-Adresse
    core_port = 11758 - Port für die Kommunikation mit UTM

    rfw_login = Web - System Benutzer Login
    rfw_password = Web - System Benutzer Passwort

    3.1.4. NDSAD.CFG

    dummy all - Deaktiviert die Statistikerfassung von allen Geräten außer denen, die im force-Befehl angegeben sind, d. h. Wir werden Verkehr nur auf VPN sammeln

    force \ Device \ NPF_GenericDialupAdapter - VPN-Statistiksammlungsmodus

    nf_lifetime 1 - beendet sofort Sitzungen, wenn der Kontostand eines Benutzers 0 überschreitet


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - UTM IP-Adresse

    web_login = Web - Login des Systembenutzers

    web_password = Web - System Benutzer Passwort


    3.1.6. Nachdem die Konfigurationsdateien korrigiert wurden, müssen Sie den Computer neu starten, damit alle Änderungen wirksam werden.

    4. Dateien:


    Name: NDSAD_setup_1_33.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599261

    Name: utm5_kill_vpn.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599276

    UTM5 kann unter http://www.netup.ru/ heruntergeladen werden

    Auch in dem Kit YuTM Apache und Muskel enthalten. Sie müssen auch OpenSSL installieren und Zertifikate signieren, um sich beim Web-Administrator anzumelden.Obwohl ich gesehen habe, gibt es alternative Web-Mords.