This page has been robot translated, sorry for typos if any. Original content here.

Wir erhöhen VPN + Abrechnung UTM5 auf win2003



  • 1. Installieren und Konfigurieren von Routing und Remote Access
  • 2. Installation von UTM
  • 3. UTM konfigurieren
  • 4. Dateien


  • Also, wo die Implementierung des VPN + UTM5-Bundles auf Windows Server 2003 gestartet werden soll. Bevor Sie RASS konfigurieren, müssen Sie überprüfen, ob IAS (Internet Authentication Service) installiert ist. Um dies zu überprüfen, müssen Sie bei der Installation / Deinstallation von Programmen im Control Panel im Abschnitt INSTALLING WINDOWS COMONS wechseln und die Komposition der Networking Services-Komponenten sehen. Wenn dieser Dienst installiert ist, dann deaktivieren Sie ihn (deinstallieren). Dieser Service ist etwas anderes, wie Windows-RADIUS. Es ist klar, dass 2 RADIUS-Server (UTM-RADIUS und Windows-RADIUS) nicht auf einem Computer arbeiten können, weil Verwenden Sie die gleichen Ports für die Arbeit. Wenn also der IAS-Service installiert ist, startet UTM-RADIUS einfach nicht.

    Ein weiterer Dienst, der den ordnungsgemäßen Betrieb von UTM oder Apache insbesondere beeinträchtigt, ist der World Wide Web Service, der Teil der Windows Application Server Komponente in der IIS (Internet Information Services) Servicegruppe ist. Es muss auch deinstalliert werden, sonst startet Apache nicht, weil Dieser Dienst verwendet 80 Port. Wenn der Server einen WEB-Server benötigt, kann er denselben Apache erfolgreich durch den 80. Port ersetzen. UTM bietet Benutzer Zugriff auf Statistiken auf dem HTTPS-Protokoll, und es verbindet sich mit 443 Port mit Verschlüsselung basierend auf dem Zertifikat. Sie können natürlich Apache auf Port 8080 installieren, aber warum sollten 2 WEB Server auf einem Computer?

    Der Server sollte nicht SQL Server oder MySQL installiert haben.
    Nach dem Deinstallieren dieser Dienste können Sie mit der Installation und Konfiguration von RASS beginnen.

    1. Installieren und Konfigurieren von Routing und Remote Access


    1.1. Führen Sie den RASS-Installationsassistenten aus.

    1.2 Wir lehnen alle Standardschemata ab und wählen den manuellen Einstellmodus. Es scheint, er ist der letzte in der Liste der Optionen, die vom Meister angeboten werden.
    1.3. Nach dem Start von RASS beginnen wir es zu konfigurieren.

    1.4. Wir gehen in die Eigenschaften des Servers RASS (klicken Sie mit der rechten Maustaste auf das Serversymbol mit grünem Pfeil und wählen Sie EIGENSCHAFTEN).

    1.5 Wählen Sie auf der Registerkarte GENERAL den Modus LOCAL NETWORK AND BENCH ROUGHTER und den REMOTE ACCESS SERVER aus, klicken Sie auf OK und starten Sie RASS neu.

    1.6. Gehen Sie wieder auf die Eigenschaften des RASS-Servers auf der Registerkarte SICHERHEIT.

    1.7 Hier im SERVICE DER INSPEKTION
    AUTHENTIKATION Wir geben die RADIUS-Authentifizierung an und wir drücken die SET-Taste und im geöffneten Fenster drücken wir die Taste ADD.

    1.8 Wenn UTM-RADIUS auf demselben Computer installiert ist, dann im Feld SERVER NAME schreiben - 127.0.0.1. Wenn UTM-RADIUS auf einem anderen Computer ist, dann geben Sie seine IP an.

    1.9 Im SECRET - Feld drücken wir die CHANGE - Taste und schreiben - geheim und bestätigen nochmal.

    1.10 Wir berühren nicht das Timeout, die Erstbewertung und den Hafen. Der Port muss 1812 sein. Achten Sie darauf, IMMER BENUTZEN SIE DIE MESSAGE CERTIFICATE und klicken Sie auf OK.
    1.11 Jetzt im Buchhaltungsdienst wählen Sie RSDIUS Accounting und klicken Sie auf die Schaltfläche SET.

    1.12 Im erscheinenden Fenster drücken Sie die Taste ADD.

    1.13 SERVER NAME ist auch 127.0.0.1, Geheimnis ist geheim, Port ist 1813, Timeout und Anfangsbewertung ist standardmäßig verlassen, das Kontrollkästchen RADIUS MESSAGE MESSAGE ist nicht aktiviert, um die Buchhaltung zu aktivieren / deaktivieren. Drücken Sie OK.
    1.14 Wir verwenden das PPTP-Protokoll für VPN-Verbindungen, also werden wir nicht daran interessiert sein, die USSEC-POLICIES für L2TP-ANSCHLÜSSE zu entschädigen, und das nicht.

    1.15 Gehen Sie auf die Registerkarte IP. Hier im Allgemeinen eine sehr interessante Sache

    1.16 Zuerst setzen wir alle Kontrollkästchen, die auf dieser Registerkarte sind (es gibt drei davon).
    1.17 Als Adapter für den Erhalt von DHCP-Adressen, DNS- und WINS-Servern für VPN-Clients wählen wir die Adapterschnittstelle, die im Internet aussieht. Es sendet alle Anfragen an VPN-Benutzer.

    1.18 Jetzt das interessanteste. Damit die interne RASS-Schnittstelle die IP empfängt, die als IP-Server beim Verbinden des VPN-Clients über den PPTP-Tunnel mit dem PPP-Protokoll verwendet wird, wählen Sie im Abschnitt APPOINTING IP ADDRESSES den STATIC ADDRESS POINT und geben diese IP hier an. Aber die schaurige Firma Microsoft hat irgendwie entschieden, dass RASS nur mit Windows-RADIUS und nicht mehr arbeiten wird. Daher schrieb Microsoft bei der Angabe eines statischen Adresspools einen Scheck für die Anzahl der Adressen im Pool und entschied, dass es mindestens zwei von ihnen geben sollte. Dies gilt nur bei der Arbeit mit Windows-RADIUS, wo die IP-Adressen für den Client und den Server aus diesem Pool genommen werden. In unserem Fall wird nur die Adresse für den Server aus diesem Pool genommen und die Adresse wird dem Client von UTM zugewiesen. Auf den ersten Blick gibt es keine Probleme. Wenn es nicht für mittlere Benutzer wäre. Wie die Praxis zeigt, wenn ein Benutzer ein weiteres Passwort und Passwort für VPN gab und sie gleichzeitig verbinden, erhält der erste, der von ihnen verbindet, IP von UTM und der zweite aus diesem Pool. Das Problem ist, dass der Verkehr nur auf die IP gezählt wird, die in UTM registriert ist, und der zweite Benutzer wird kostenlos sitzen. Aber nicht alles ist so schlimm Beenden Sie die Eigenschaften des Servers RASS (klicken Sie auf die Schaltfläche OK unten). Wir warten auf den Start-Button, dann Run und schreiben Sie den Befehl

    Netsh ras ip add range 192.168.2.254 192.168.2.254

    Wieder gehen wir in die Eigenschaften des RASS-Servers in die IP-Registerkarte und beobachten dort einen statischen Pool von einer Adresse 192.168.2.254. Das Problem ist gelöst. Übrigens wird das Netzwerk, das wir für VPN verwenden werden, 192.168.2.0/255.255.255.0 sein.

    1.19 Wir gehen auf die PPP-Registerkarte und entfernen Sie das Häkchen aus den Punkten MULTI-CHANNEL CONNECTIONS und SOFTWARE COMPRESSION. Setzen Sie ein Häkchen auf die EXPANSION-Position des COMMUNICATION CONTROL PROTOCOL (LCP).

    1,20 Gehen Sie auf die Registerkarte JOURNAL MANAGEMENT. Wählen Sie den Artikel NEUE MAGAZIN FEHLER UND WARNHINWEISE. Es ist notwendig für Informationszwecke zu wissen, wer und wann mit RASS auf VPN verbunden. Das Protokoll der zusätzlichen Informationen ist unnötig.

    1,21 Jetzt müssen Sie virtuelle Ports für VPN-Verbindungen konfigurieren.

    1.22 Gehen Sie zu den Eigenschaften der Ports (klicken Sie mit der rechten Maustaste auf die PORTS und wählen Sie EIGENSCHAFTEN).

    1.23 Sequenziell konfigurieren Sie jede Art von Port in der Liste. Wählen Sie L2TP und Poke in SETUP. Entfernen Sie alle Häkchen und setzen Sie die maximale Anzahl von Ports auf 0. Wählen Sie PPPoE und klicken Sie auf SETTING. Wir entfernen alle Häkchen. Wählen Sie PPTP, klicken Sie auf SETUP. Setzen Sie das Kontrollkästchen NUR INCOMING, deaktivieren Sie den INPUT und OUTPUT. Die maximale Anzahl von Ports ist auf 128 eingestellt. (So können viele Personen gleichzeitig mit dem VPN verbunden sein.) Wenn du nicht so viel brauchst, kannst du weniger setzen.) Bei dem Wetter wirkt sich das nicht aus.) Wählen Sie Direct Parallel und entfernen Sie alle Häkchen. Dieses Element ist möglicherweise nicht, wenn der Server keinen parallelen Anschluss für den Drucker hat oder im BIOS deaktiviert ist.
    Am Ende muss es ein solches Bild geben.

    1,24 Gehen wir zum IP-Routing.

    1,25. Hier müssen wir die Firewall sofort bestimmen. Wenn du auf dem Server bist, ist keine Firewall von Drittanbietern, dann musst du es separat verstehen. Wenn ISA kostet, dann muss es abgerissen werden. Es muss nicht mit VPN arbeiten. Die Frage mit der Firewall ist sehr ernst - die endgültige Entscheidung, welche Firewall zu bedienen ist - für dich. Ich kann nur sagen, dass in der Basisversion, können Sie die integrierte RASS-Firewall konfigurieren, obwohl es sehr kooky ist, aber die Aufgabe mit der Verteilung von Verkehr führt fast vollständig.

    1,26 Pute die Maus im GENERAL im linken Fenster und prüfe, welche Schnittstellen im rechten Fenster vorhanden sind. Es sollten sowohl Netzwerkschnittstellen (die im Internet aussehen und die ins lokale Netzwerk schauen), die interne Schnittstelle und die Schließung zu sich selbst, d.h. In Ihrem Fall 4 Schnittstellen. Wenn sie fehlen oder fehlen, fügen Sie sie hinzu, indem Sie auf den leeren Raum im rechten Fenster klicken und NEUE SCHNITTSTELLE auswählen.

    1,27 In unserem Fall sollte das IP-Routing 3 Items GENERAL, STATIC ROUTES und NAT / SIMPLE FIREWALL enthalten. Wenn es nicht etwas gibt oder etwas anderes vorhanden ist, dann musst du das Unnötige löschen und die notwendigen hinzufügen, indem du auf das GENERAL klickst und das Item NEUES ROUTE PROTOCOL auswählst.

    1,28 Item STATIC ROUTES brauchen wir nicht. Es muss leer sein Wir können es nicht entfernen - es ist ein integraler Bestandteil des RASS. Wir passieren direkt an NAT.

    1,29 NAT wird benötigt, um globale Adressen in lokale Adressen umzuwandeln und umgekehrt. Poke die Maus in NAT. Im rechten Fenster fügen Sie eine Schnittstelle hinzu, die das Internet ansieht und in ihre Eigenschaften geht (klicken Sie mit der rechten Maustaste darauf und wählen Sie EIGENSCHAFTEN)


    1.30 Wir erklären es als die gemeinsame Schnittstelle für die Verbindung zum Internet und legen Sie die NAT ENABLE NAT auf dieser Schnittstelle. Der zweite Tick ON MAIN FIREWALLER FÜR DIESE INTERFACE muss nicht gesetzt werden, wenn du eine Firewall hast. Wenn die Firewall nicht vorhanden ist, muss sie installiert werden, sonst wird Ihr Server im Internet sichtbar. Wir drücken OK. Mehr in NAT, du brauchst nichts zu konfigurieren.

    1.31 Nun, wenn Sie eine Firewall haben, kann die RASS-Einstellung als vollständig betrachtet werden. Wenn Sie es nicht haben, müssen Sie Paketfilter konfigurieren, um die Verteilung des Internets über ein lokales Netzwerk zu sperren und es in das VPN zu legen.

    1,32 Dafür stoßen wir auf GENERAL und gehen in die Eigenschaften der Schnittstelle, die auf das lokale Netzwerk schaut. Drücken Sie die OUTPUT FILTER-Taste. Im geöffneten Fenster klicken Sie auf die Schaltfläche CREATE. Wir setzen das INITIAL NETWORK Tick und registrieren unser lokales Netzwerk dort. In Ihrem Fall, 192.168.1.0/255.255.255.0. Wir sagen OK. Wir drücken das zweite Mal CREATE. Wir markieren das Quellnetzwerk und registrieren dort die IP-Adresse des VPN-Servers. In unserem Fall 192.168.2.254/255.255.255.255. Wir sagen OK. Wir wählen die Aktion des Filters in der Oberseite - DISCARD ALLE PAKETE, AUSSERHALB DIESE, DIE AN DEN CASHNER BELOW CRETERIA ANGEBEN und klicken Sie auf OK.

    1,33. ALLE !!! Jetzt ist RASS gestimmt !!!


    2. Installation von UTM.


    2.1. Führen Sie das UTM5Setup aus. Sprache wird entsprechend Russisch gewählt.

    2.2 Zuerst das Auto JAVA.

    2.3 Wir starten UTM5Setup neu. Setzen Sie den Rest, indem Sie JAVA deaktivieren. Bei weiterer Installation gibt es keine Tricks. Nachdem die Installation abgeschlossen ist, müssen Sie in die Dienste gehen und sehen, dass MySQL-NT und UTM5_CORE gestartet werden. Wenn alles funktioniert, ist es toll.

    2.4 Dann setzen wir RADIUS. Mit ihm gibt es nie ein Problem.

    2.5 Jetzt NDSAD. Hier gibt es viele Probleme. Damit NDSAD den VPN-Verkehr sammeln kann, muss der WinPCAP-Treiber ab Version 3.1 sein.

    2.6 Nach dem Neustart sollte der ndsad-Dienst starten. Wenn es nicht startet, dann ist der Server belegt Port 9996, die ndsad verwendet, um mit UTM zu kommunizieren.

    2.7 Jetzt installieren (wenn der Dienst nicht in den Diensten erscheint) utm5_rfw. Um dies zu tun, führen Sie den Befehl aus:

    Utm5_rfw.exe --installieren

    Danach sollte utm5_rfw in den Diensten erscheinen.

    2.8 Jetzt brauchen wir noch ein Programm, das nicht Teil von UTM ist, aber ohne das man keine Ausfälle von VPN-Verbindungen von Benutzern auslösen kann, deren Saldo 0 überschritten hat. Das ist utm5_kill_vpn.exe. Als ich zum ersten Mal UTM gestartet habe, fand ich, dass bei der Arbeit mit RASS Windows-Entwickler keinen Mechanismus zum Deaktivieren von VPN-Verbindungen haben. Übrigens ist das Deaktivieren des Internets das schmerzhafteste Problem in den meisten Abrechnungssystemen. Es ist gut, dass sie sogar utm5_rfw geschrieben haben, was Ihnen erlaubt, die Kontrolle auf andere Programme zu übertragen, sonst würde es eine Pipe geben. Dieses Programm muss in die Wurzel des Datenträgers kopiert werden c: Der Shutdown-Schaltkreis funktioniert wie folgt. UTM erkennt, dass die Balance des Benutzers negativ geworden ist. Es gibt den Befehl utm5_rfw, über die Deaktivierung des Benutzers. Utm5_rfw ruft utm5_kill_vpn auf und es gibt dem RASS Windows-Befehl, die VPN-Verbindung für einen bestimmten Benutzer zu brechen.

    (Damit der Automaten GAP =) in UTM passieren kann, gehen Sie zu den FIREWALL RULES, klicken Sie auf die UPDATE-Taste. Wir löschen alles außer dem ersten. Zuerst rufen wir die Bearbeitung an. Setzen Sie ein Häkchen - Alle Benutzer. Benutzer-ID ist 0, Gruppen-ID ist 0, Tarif-ID ist 0, einschalten - nichts schreiben (sollte leer sein), Shutdown ist c: /utm5_kill_vpn.exe ULOGIN, Firewall-ID ist 1. Die ULOGIN-Variable enthält den Namen der VPN-Verbindung und wird übertragen Programm utm5_kill_vpn.exe, um das entsprechende VPN zu deaktivieren.)


    2.9 Wie alles ist installiert. Gehen Sie nun zu den Einstellungen.




    3. UTM konfigurieren


    3.1. Konfigurationsdateien

    3.1.1. UTM5.CFG

    Database_type = mysql - Art der Datenbank
    Datenbank = utm5 - Name der Datenbank
    Datenbank_host = 127.0.0.1 - IP des Rechners mit der Datenbank
    Datenbank_login = root - Login in die Datenbank
    Datenbank_passwort = - Datenbankpasswort (kein Passwort)

    Urfa_bind_host = 0.0.0.0 - IP, von dem aus wir eine Verbindung zur Datenbank herstellen (von jedem)

    Urfa_lib_file = liburfa \ librpc.dll
    Urfa_lib_file = liburfa \ liburfa_utils.dll
    Urfa_lib_file = liburfa \ liburfa_card.dll
    Urfa_lib_file = liburfa \ liburfa_hotspot.dll - Bibliotheken für das Ausführen von externen Modulen
    Urfa_lib_file = liburfa \ liburfa_graph.dll
    Urfa_lib_file = liburfa \ liburfa_radius.dll

    Nfbuffer_port = 9996 - NDSAD-Anschluss


    3.1.2. RADIUS5.CFG

    Core_host = 127.0.0.1 - Die IP, auf der sich UTM befindet
    Core_port = 11758 - Port der Verbindung zu UTM

    Radius_login = Radius - Systembenutzeranmeldung
    Radius_password = radius - das Passwort des Systembenutzers

    Radius_auth_mppe = enable - VPN-Berechtigung

    Radius_auth_vap = 1 - nicht mit negativem Gleichgewicht autorisieren

    Radius_ssl_type = none - Verschlüsselungstyp (deaktiviert)

    Radius_ippool_timeout = 0 - Verzögerung der Reautorisierung (sofort)
    Radius_ippool_acct_timeout = 0 - IP sofort nach einem VPN-Pause freigeben


    3.1.3. RFW5.CFG

    Rfw_name = 127.0.0.1 - der Name der Firewall (IP wird verwendet)

    Firewall_type = local - Firewall-Typ (lokal)

    Core_host = 127.0.0.1 - IP-Adresse von UTM
    Core_port = 11758 - Port für die Kommunikation mit UTM

    Rfw_login = Web-System Benutzeranmeldung
    Rfw_password = web - system Benutzerkennwort

    3.1.4. NDSAD.CFG

    Dummy all - Deaktivieren Sie die Sammlung von Statistiken von jedem Gerät, mit Ausnahme derjenigen, die in der Kraft Befehl, d.h. Der Verkehr wird nur auf dem VPN gesammelt

    Force \ Device \ NPF_GenericDialupAdapter - die Art des Sammelns von Statistiken auf dem VPN

    Nf_lifetime 1 - sofort bricht Sessions, wenn die Balance des Benutzers durch 0 geht


    3.1.5. WEB5.CFG

    Core_host = 127.0.0.1 - IP-Adresse von UTM

    Web_login = Web-System Benutzeranmeldung

    Web_password = Web-System Benutzer Passwort


    3.1.6. Nach dem Beheben der Konfigurationsdateien müssen Sie den Computer neu starten, damit alle Änderungen wirksam werden.

    4. Dateien:


    Name: NDSAD_setup_1_33.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599261

    Name: utm5_kill_vpn.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599276

    UTM5 kann unter http://www.netup.ru/ heruntergeladen werden.

    Apache und Muskel sind auch im UTM Kit enthalten. Auch, um den Web-Admin zu betreten, musst du OpenSSL setzen und Zertifikate signieren. Obwohl ich gesehen habe, gibt es alternative Versionen von Webmastern.