This page has been robot translated, sorry for typos if any. Original content here.

Wir erheben VPN + Abrechnung UTM5 auf win2003



  • 1. Installieren und Konfigurieren von Routing und RAS
  • 2. Installation von UTM
  • 3. Konfigurieren von UTM
  • 4. Dateien


  • Wo also beginnen Sie, das VPN + UTM5-Bundle unter Windows Server 2003 zu implementieren? Bevor Sie mit der Konfiguration von RASS beginnen, müssen Sie prüfen, ob IAS (Internet Authentication Service) installiert ist. Um dies zu überprüfen, müssen Sie im Abschnitt INSTALLIEREN VON WINDOWS COMONS zur Installation / Deinstallation von Programmen auf der Systemsteuerung gehen und die Zusammensetzung der Netzwerkdienste-Komponenten anzeigen. Wenn dieser Dienst installiert ist, deaktivieren Sie ihn (uninstall). Dieser Dienst ist etwas anderes, wie Windows-RADIUS. Es ist klar, dass 2 RADIUS-Server (UTM-RADIUS und Windows-RADIUS) nicht auf einem Computer arbeiten können, weil Verwenden Sie die gleichen Ports für die Arbeit. Wenn der IAS-Dienst installiert ist, wird UTM-RADIUS einfach nicht gestartet.

    Ein weiterer Dienst, der den ordnungsgemäßen Betrieb von UTM, genauer Apache, beeinträchtigt, ist der World Wide Web Service, der Teil der Windows Application Server-Komponente in der Internetinformationsdienste (IIS) -Dienstgruppe ist. Es muss auch deinstalliert werden, sonst startet Apache nicht, weil Dieser Dienst verwendet 80 Ports. Wenn der Server einen WEB-Server benötigt, kann er den gleichen Apache über den 80. Port erfolgreich ersetzen. UTM bietet Benutzern Zugriff auf Statistiken zum HTTPS-Protokoll und stellt eine Verbindung mit Port 443 mit zertifikatsbasierter Verschlüsselung her. Sie können natürlich Apache auf Port 8080 installieren, aber warum sollten 2 WEB-Server auf einem Computer?

    Auf dem Server sollte SQL Server oder MySQL nicht installiert sein.
    Nach der Deinstallation dieser Dienste können Sie mit der Installation und Konfiguration von RASS beginnen.

    1. Installieren und Konfigurieren von Routing und RAS


    1.1. Führen Sie den RASS-Installationsassistenten aus.

    1.2. Wir lehnen alle Standardschemata ab und wählen den manuellen Einstellungsmodus. Es scheint, dass er der letzte in der Liste der vom Meister angebotenen Optionen ist.
    1.3. Nach dem Start von RASS beginnen wir mit der Konfiguration.

    1.4. Wir gehen in die Eigenschaften des RASS-Servers (klicken Sie mit der rechten Maustaste auf das Server-Icon mit dem grünen Pfeil und wählen Sie EIGENSCHAFTEN).

    1.5. Wählen Sie auf der Registerkarte ALLGEMEIN den LOKALEN NETZWERK- UND BENCH-RAUCHER nach REQUIREMENT und dem REMOTE ACCESS SERVER aus, klicken Sie auf OK, und starten Sie RASS neu.

    1.6. Wechseln Sie erneut zu den Eigenschaften des RASS-Servers auf der Registerkarte SICHERHEIT.

    1.7. Hier im DIENST DER INSPEKTION
    AUTHENTIFIZIERUNG Wir spezifizieren RADIUS Authentifizierung und wir drücken die SET Taste und im geöffneten Fenster drücken wir den Knopf HINZUFÜGEN.

    1.8. Wenn UTM-RADIUS auf demselben Computer installiert ist, schreiben Sie in das Feld SERVER NAME - 127.0.0.1. Wenn sich UTM-RADIUS auf einem anderen Computer befindet, geben Sie seine IP-Adresse an.

    1.9. Im SECRET-Feld drücken wir die CHANGE-Taste und schreiben - secret und bestätigen es erneut.

    1.10. Wir berühren nicht die Auszeit, die Anfangsbewertung und den Hafen. Der Port muss 1812 lauten. Achten Sie darauf, IMMER das NACHRICHTENZERTIFIKAT zu verwenden, und klicken Sie auf OK.
    1.11. Wählen Sie nun im Buchhaltungsservice die Funktion RSDIUS Accounting und klicken Sie auf die Schaltfläche SET.

    1.12. Im erscheinenden Fenster drücken Sie den Knopf HINZUFÜGEN.

    1.13. SERVER NAME ist auch 127.0.0.1, Secret ist Secret, Port ist 1813, Timeout und anfängliche Bewertung ist standardmäßig belassen, das RADIUS MESSAGE-Häkchen ist nicht aktiviert / deaktiviert. Drücken Sie OK.
    1.14. Wir werden PPTP für VPN-Verbindungen verwenden, daher sind wir nicht daran interessiert, USER-IPSEC-Richtlinien für L2TP-Verbindungen zu lösen, und wir tun dies auch nicht.

    1.15. Gehe zur Registerkarte IP. Hier im Allgemeinen eine sehr interessante Sache.

    1.16. Zuerst setzen wir alle Checkboxen, die auf dieser Registerkarte sind (es gibt drei).
    1.17. Als Adapter zum Erhalt von DHCP-Adressen, DNS- und WINS-Servern für VPN-Clients wählen wir den Adapter der Schnittstelle aus, der im Internet aussieht. Es sendet alle Anfragen an VPN-Benutzer.

    1.18. Jetzt das Interessanteste. Damit die interne Schnittstelle RASS die IP-Adresse erhält, die beim Verbinden des VPN-Clients über den PPTP-Tunnel mit dem PPP-Protokoll als IP-Server verwendet wird, wählen Sie im Abschnitt IP-ADRESSEN den STATISCHEN ADRESSPUNKT und geben Sie diese IP hier an. Aber die tapfere Firma Microsoft hat irgendwie entschieden, dass RASS nur mit Windows-RADIUS und nicht mehr funktionieren wird. Daher schrieb Microsoft beim Angeben eines statischen Adresspools eine Überprüfung der Anzahl der Adressen im Pool und entschied, dass mindestens zwei davon vorhanden sein sollten. Dies gilt nur, wenn Sie mit Windows-RADIUS arbeiten, wobei die IP-Adressen für den Client und den Server aus diesem Pool stammen. In unserem Fall wird nur die Adresse für den Server aus diesem Pool genommen und die Adresse wird dem Client von UTM zugewiesen. Auf den ersten Blick gibt es keine Probleme. Wenn es nicht für gemeine Benutzer wäre. Wie die Praxis zeigt, erhält der erste Benutzer, der eine Verbindung herstellt, die IP-Adresse von UTM und die zweite Verbindung aus diesem Pool. Das Problem ist, dass der Verkehr nur auf der IP-Adresse berücksichtigt wird, die in UTM registriert ist, und der zweite Benutzer wird kostenlos sitzen. Aber nicht alles ist so schlecht. Wir beenden die Eigenschaften des Servers RASS (klicken Sie auf die Schaltfläche OK unten). Wir warten auf den Start-Button, dann auf Run und schreiben den Befehl

    netsh ras ip add Bereich 192.168.2.254 192.168.2.254

    Wieder gehen wir in die Eigenschaften des RASS-Servers in der Registerkarte IP und beobachten dort einen statischen Pool von einer Adresse 192.168.2.254. Das Problem ist gelöst. Übrigens wird das Netzwerk, das wir für VPN verwenden werden, - 192.168.2.0/255.255.255.0 sein.

    1.19. Wir gehen zur Registerkarte PPP und entfernen das Häkchen von den Punkten MULTI-CHANNEL CONNECTIONS und SOFTWARE COMPRESSION. Wir haben den Punkt EXPANSION des KOMMUNIKATIONSSTEUERPROTOKOLLS (LCP) markiert.

    1.20. Wechseln Sie zur Registerkarte JOURNAL MANAGEMENT. Wir wählen den Artikel NEUE MAGAZIN FEHLER UND WARNUNGEN. Zu Informationszwecken ist es notwendig zu wissen, wer und wann mit RASS über VPN verbunden ist. Das Protokoll zusätzlicher Informationen ist nicht erforderlich.

    1.21. Jetzt müssen Sie virtuelle Ports für VPN-Verbindungen konfigurieren.

    1.22. Gehen Sie zu den Eigenschaften der Ports (klicken Sie mit der rechten Maustaste auf die PORTS und wählen Sie PROPERTIES).

    1.23. Sequenziell konfigurieren Sie jeden Porttyp in der Liste Wählen Sie L2TP und drücken Sie SETUP. Entfernen Sie alle Häkchen und legen Sie die maximale Anzahl der Ports auf 0 fest. Wählen Sie PPPoE und klicken Sie auf EINSTELLUNG. Wir entfernen alle Häkchen. Wählen Sie PPTP, klicken Sie auf SETUP. Wir setzen die Checkbox ONLY INCOMING und deaktivieren die Option INPUT und OUTPUT. Die maximale Anzahl der Ports ist auf 128 festgelegt. (Auf diese Weise können sich mehrere Personen gleichzeitig mit dem VPN verbinden.) Wenn Sie nicht so viel benötigen, können Sie weniger setzen.) Auf das Wetter hat dies keinen Einfluss.) Wählen Sie Direkt Parallel und entfernen Sie alle Häkchen. Dieses Element ist möglicherweise nicht vorhanden, wenn der Server keinen parallelen Anschluss für den Drucker hat oder im BIOS deaktiviert ist.
    Am Ende muss es ein solches Bild geben.

    1.24. Kommen wir zum IP-Routing.

    1.25. Hier müssen wir sofort die Firewall ermitteln. Wenn Sie auf dem Server keine Firewall eines Drittanbieters sind, müssen Sie diese separat verstehen. Wenn ISA kostet, muss es abgerissen werden. Es muss nicht mit VPN arbeiten. Die Frage mit der Firewall ist sehr ernst - die endgültige Entscheidung welche Firewall zu verwenden ist - für Sie. Ich kann nur sagen, dass man in der Basisversion die eingebaute RASS-Firewall konfigurieren kann, obwohl es sehr unheimlich ist, aber die Aufgabe mit der Verteilung des Datenverkehrs fast vollständig erfüllt.

    1.26. Setzen Sie die Maus in das GENERAL im linken Fenster und prüfen Sie, welche Schnittstellen im rechten Fenster vorhanden sind. Es sollte sowohl Netzwerkschnittstellen (die im Internet aussehen und die auf das lokale Netzwerk schauen) als auch die interne Schnittstelle und die Closure für sich selbst, d.h. in deinem Fall 4 Schnittstellen. Wenn sie fehlen oder fehlen, fügen Sie sie hinzu, indem Sie auf den leeren Bereich im rechten Fenster klicken und NEW INTERFACE auswählen.

    1.27. In unserem Fall sollte das IP-Routing 3 Elemente GENERAL, STATIC ROUTES und NAT / SIMPLE FIREWALL enthalten. Wenn dort nichts vorhanden ist oder etwas anderes vorhanden ist, müssen Sie das überflüssige entfernen und die erforderlichen hinzufügen, indem Sie auf COMMON klicken und das Element NEW ROUTE PROTOCOL auswählen.

    1.28. Artikel STATISCHE ROUTEN, die wir nicht brauchen. Es muss leer sein. Wir können es nicht entfernen - es ist ein integraler Bestandteil des RASS. Wir gehen direkt zu NAT.

    1.29. NAT wird benötigt, um globale Adressen in lokale Adressen umzuwandeln und umgekehrt. Stupse die Maus in NAT. Im rechten Fenster fügen Sie eine Schnittstelle hinzu, die das Internet betrachtet und in seine Eigenschaften geht (klicken Sie mit der rechten Maustaste darauf und wählen Sie EIGENSCHAFTEN).


    1.30. Wir erklären es als die allgemeine Schnittstelle für die Verbindung mit dem Internet und setzen das Kontrollkästchen, um NAT auf dieser Schnittstelle zu aktivieren. Das zweite Häkchen zum Aktivieren der Hauptfirewall für diese Schnittstelle muss nicht gesetzt werden, wenn Sie eine Firewall haben. Wenn die Firewall nicht vorhanden ist, muss sie installiert werden, andernfalls ist Ihr Server im Internet sichtbar. Wir drücken OK. Mehr in NAT, Sie müssen nichts konfigurieren.

    1.31. Wenn Sie jetzt eine Firewall haben, kann die RASS-Einstellung als abgeschlossen betrachtet werden. Wenn Sie es nicht haben, müssen Sie Paketfilter konfigurieren, um die Verteilung des Internets über das lokale Netzwerk zu blockieren und es im VPN zu starten.

    1.32. Dazu stupsen wir auf GENERAL und gehen in die Eigenschaften der Schnittstelle, die auf das lokale Netzwerk schaut. Drücken Sie die Taste OUTPUT FILTER. Im geöffneten Fenster klicken Sie auf die Schaltfläche ERSTELLEN. Wir kreuzen das Quellnetzwerk an und registrieren dort unser lokales Netzwerk. In Ihrem Fall 192.168.1.0/255.255.255.0. Wir sagen OK. Wir drücken das zweite Mal CREATE. Wir kreuzen das Quellnetzwerk an und registrieren dort die IP-Adresse des VPN-Servers. In unserem Fall 192.168.2.254/255.255.255.255. Wir sagen OK. Wir wählen die Aktion des Filters in der oberen - DISCARD ALL PACKAGES, außer denen, die auf den CASHNER unter CRETERIA reagieren und klicken Sie auf OK.

    1.33. Alles !!! Jetzt ist RASS dran !!!


    2. Installation von UTM.


    2.1. Führen Sie das UTM5-Setup aus. Sprache wird entsprechend Russisch gewählt.

    2.2. Setzen Sie zuerst das Auto JAVA.

    2.3. Wir starten UTM5Setup neu. Jetzt legen Sie den Rest, indem Sie JAVA deaktivieren. Bei weiterer Installation gibt es keine Tricks. Nachdem die Installation abgeschlossen ist, müssen Sie in die Dienste gehen und sehen, dass MySQL-NT und UTM5_CORE gestartet sind. Wenn alles funktioniert, ist es großartig.

    2.4. Dann setzen wir RADIUS. Mit ihm gibt es nie ein Problem.

    2.5. Jetzt NDSAD. Hier gibt es viele Probleme. Damit NDSAD Datenverkehr zum VPN sammeln kann, muss der WinPCAP-Treiber Version 3.1 und höher sein.

    2.6. Nach dem Neustart sollte der ndsad-Dienst starten. Wenn es nicht startet, ist der Server mit dem Port 9996 beschäftigt, den ndsad für die Kommunikation mit UTM verwendet.

    2.7. Jetzt installieren (wenn der Dienst nicht in den Diensten erscheint) utm5_rfw. Führen Sie dazu den folgenden Befehl aus:

    utm5_rfw.exe --install.

    Danach sollte utm5_rfw in den Diensten erscheinen.

    2.8. Jetzt brauchen wir ein weiteres Programm, das nicht Teil von UTM ist, aber ohne dass Sie Ausfälle von VPN-Verbindungen von Benutzern verwalten können, deren Kontostand 0 überschritten hat. Dies ist utm5_kill_vpn.exe. Als ich UTM zum ersten Mal gestartet habe, habe ich festgestellt, dass Entwickler bei der Arbeit mit RASS keinen Mechanismus zum Deaktivieren von VPN-Verbindungen haben. Die Deaktivierung des Internets ist übrigens in den meisten Abrechnungssystemen das schmerzhafteste Problem. Es ist gut, dass sie sogar utm5_rfw geschrieben haben, mit dem Sie die Kontrolle auf andere Programme übertragen können, sonst würde es eine Pipe geben. Dieses Programm sollte in das Stammverzeichnis der Festplatte kopiert werden. C: Die Shutdown-Schaltung funktioniert so. UTM erkennt, dass das Guthaben des Benutzers negativ geworden ist. Es gibt den Befehl utm5_rfw, um den Benutzer zu trennen. Utm5_rfw ruft utm5_kill_vpn auf und gibt den RASS-Windows-Befehl an, um die VPN-Verbindung für einen bestimmten Benutzer zu unterbrechen.

    (Damit der Automat GAP =) in UTM passiert, gehe zu den FIREWALL RULES, klicke auf den UPDATE Button. Wir löschen alles außer dem ersten. Zuerst rufen wir zur Bearbeitung auf. Setzen Sie ein Häkchen - Alle Benutzer. Benutzer-ID ist 0, Gruppen-ID ist 0, Tarif-ID ist 0, Einschalten - nichts wird geschrieben (sollte leer sein), Herunterfahren ist c: /utm5_kill_vpn.exe ULOGIN, Firewall-ID ist 1. Die ULOGIN-Variable enthält den Namen der VPN-Verbindung und wird übertragen Programm utm5_kill_vpn.exe um das entsprechende VPN zu deaktivieren.)


    2.9. Wie alles ist installiert. Gehe jetzt zu den Einstellungen.




    3. Konfigurieren von UTM


    3.1. Konfigurationsdateien.

    3.1.1. UTM5.CFG

    database_type = mysql - Typ der Datenbank
    Datenbank = utm5 - Name der Datenbank
    database_host = 127.0.0.1 - IP des Computers mit der Datenbank
    database_login = root - Loggen Sie sich in die Datenbank ein
    database_password = - Datenbank Passwort (kein Passwort)

    urfa_bind_host = 0.0.0.0 - IP, von dem aus wir eine Verbindung zur Datenbank herstellen

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - Bibliotheken zum Ausführen externer Module
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - NDSAD-Verbindungsport


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - Die IP, auf der sich UTM befindet
    core_port = 11758 - Port der Verbindung zu UTM

    radius_login = Radius - Benutzeranmeldung des Systems
    radius_password = radius - das Passwort des Systembenutzers

    radius_auth_mppe = aktivieren - VPN-Autorisierung

    radius_auth_vap = 1 - Autorisieren Sie nicht mit negativem Saldo

    radius_ssl_type = none - Verschlüsselungstyp (deaktiviert)

    radius_ippool_timeout = 0 - Verzögerung der erneuten Autorisierung (sofort)
    radius_ippool_acct_timeout = 0 - IP sofort nach einer VPN-Pause freigeben


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - der Name der Firewall (IP wird verwendet)

    firewall_type = local - Firewalltyp (lokal)

    core_host = 127.0.0.1 - IP-Adresse von UTM
    core_port = 11758 - Port für die Kommunikation mit UTM

    rfw_login = Web - System Benutzer Login
    rfw_password = Web - System Benutzer Passwort

    3.1.4. NDSAD.CFG

    dummy all - Deaktiviert die Erfassung von Statistiken von jedem Gerät außer den im Befehl force angegebenen, d. h. Verkehr wird nur auf dem VPN gesammelt

    force \ Device \ NPF_GenericDialupAdapter - der Modus zum Sammeln von Statistiken über das VPN

    nf_lifetime 1 - unterbricht sofort Sitzungen, wenn der Kontostand des Benutzers 0 überschreitet


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - IP-Adresse von UTM

    web_login = Web - System Benutzeranmeldung

    web_password = Web - System Benutzer Passwort


    3.1.6. Nachdem Sie die Konfigurationsdateien repariert haben, müssen Sie den Computer neu starten, damit alle Änderungen wirksam werden.

    4. Dateien:


    Name: NDSAD_setup_1_33.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599261

    Name: utm5_kill_vpn.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599276

    UTM5 kann unter http://www.netup.ru/ heruntergeladen werden

    Auch im Kit von UTM ist Apache und Muskel. Um den Web Admin zu betreten, müssen Sie OpenSSL installieren und Zertifikate signieren, obwohl ich gesehen habe, dass es alternative Versionen von Webmastern gibt.