This page has been robot translated, sorry for typos if any. Original content here.

Erhöhen Sie die VPN + Abrechnung UTM5 auf Win2003



  • 1. Installieren und Konfigurieren von Routing und RAS
  • 2. Installation der UTM
  • 3. Einstellung der UTM
  • 4. Dateien


  • Also, wo ich anfangen soll VPN + UTM5 Ligamentum auf Windows Server 2003 Implementierung Bevor Sie die RASS müssen Einrichten beginnen überprüfen, ob der Dienst installiert ist IAS (Internet Authentication Service). Um dies zu überprüfen, müssen Sie das Add gehen / Software in der Systemsteuerung finden Sie KOMONENTOV WINDOWS Installation und Blick auf die Zusammensetzung von Networking Services-Komponenten. Wenn dieser Dienst installiert ist, entfernen Sie sie dann mit einem Häkchen (deinstallieren). Dieser Service ist nichts anderes als das Windows RADIUS. Es ist klar, dass zwei RADIUS-Server (UTM-RADIUS und Windows-RADIUS) auf demselben Computer kann nicht funktionieren, weil Sie werden für die gleichen Ports verwendet. Dementsprechend kann, wenn installierte Service IAS UTM-RADIUS einfach nicht laufen.

    Ein weiterer Dienst, der den ordnungsgemäßen Betrieb der UTM verhindert, oder besser gesagt Apache, diese - World Wide Web Service, der in Windows-Komponente enthalten ist - Application Server mit IIS Dienstgruppe (Internet Information Services). Es ist auch notwendig zu deinstallieren, sonst Apache startet nicht, weil Dieser Dienst verwendet Port 80. Wenn der Server WEB-Server benötigt, kann sie erfolgreich durch die gleiche Apache ersetzt wird, über Port 80. UTM liefert über das HTTPS-Protokoll Statistiken Benutzerzugriff und es verbindet auf Port 443 mit Verschlüsselung auf dem Zertifikat basiert. Sie können sicherlich Apache auf Port 8080, aber warum 2 WEB-Server auf dem gleichen Computer installieren?

    Auf dem Server soll nicht auf SQL-Server und MySQL eingestellt werden.
    Nachdem diese Dienste zu deinstallieren, können Sie installieren und die RASS konfigurieren.

    1. Installieren und Konfigurieren von Routing und RAS


    1.1. RASS führen Sie die Installationsassistenten.

    1.2. Wir lehnen alle gängigen Systeme und manuellen Modus auswählen. Es scheint, dass er die letzte in der Liste der Optionen vom Master angeboten wird.
    1.3. Nach dem Start RASS seine Einstellung beginnen.

    1.4. Gehen Sie auf die Eigenschaften RASS-Server (wir drücken Sie die rechte Maustaste auf dem Server-Symbol mit einem grünen Pfeil und wählen Sie Eigenschaften).

    1.5. Auf der Registerkarte Allgemein wählen Sie den Modus der LAN-Router und Byzova ON DEMAND und Server-Fernzugriff, drücken wir OK und die RASS neu starten.

    1.6. Gehen Sie wieder auf den Servereigenschaften RASS der Registerkarte Sicherheit.

    1.7. Hier im Abschnitt SERVICE CHECK
    AUTHENTIZITÄT RADIUS-Authentifizierung angeben und klicken Sie auf die Schaltfläche Konfigurieren und in dem sich öffnenden Fenster klicken Sie auf die Schaltfläche Hinzufügen öffnet.

    1.8. Wenn der UTM-RADIUS basiert auf dem gleichen Computer installiert ist, die Feld SERVER Namen schreiben - 127.0.0.1. Wenn der UTM-RADIUS auf einem anderen Computer steht, geben Sie seine IP.

    1.9. Im SECRET drücken wir auf die Schaltfläche Bearbeiten und Schreib - Geheimnis und bestätigen erneut.

    1.10. Timeout, Erstprüfung und Port nicht berühren. Der Port muss sein - 1812. Achten Sie darauf, eine Zecke Verwenden Sie immer den Zeugenberichte setzen und drücken Sie OK.
    1.11. Jetzt SERVICE ACCOUNT RSDIUS Accounting wählen und Hit SET-Taste.

    1.12. In dem Fenster, das erscheint, drücken wir auf die Schaltfläche Hinzufügen.

    1.13. Servernamen als 127.0.0.1, Secret - Geheimnis, Hafen - 1813 eine Auszeit und eine erste Bewertung, lassen Sie die Standard-RADIUS-Kommunikation tick Ein / Aus-Accounting nicht gesetzt. Wir drücken Sie OK.
    1.14. Wir werden das PPTP-Protokoll für VPN-Verbindungen verwenden, so ticken LASSEN CUSTOM IPSEC-POLITIK FÜR L2TP-CONNECTION interessiert uns nicht, und wir machen es nicht.

    1.15. Gehen Sie auf die Registerkarte IP. Es ist in der Regel ein sehr interessanter vesch.

    1.16. Erstens, wir setzen alle Kontrollkästchen, die auf dieser Registerkarte sind (es gibt drei).
    1.17. Als Adapter DHCP-Adresse, DNS und WINS-Server für VPN-Clients, wählen Sie den Schnittstellenadapter, auf der Suche über das Internet zu erhalten. Mit ihm werden alle Anforderungen an VPN-Benutzer ausgestrahlt werden.

    1.18. Jetzt ist der spaßige Teil. Um eine interne Schnittstelle empfing RASS IP, das als IP-Server verwendet werden, wenn Sie das VPN-Client für PPTP-Tunnel verbinden eine PPP benötigt Vergabe von IP-Adresse statischen Adresspool wählen und diese IP eingeben. Aber tapfer Microsoft hat aus irgendeinem Grund beschlossen, dass die RASS wird nur mit Windows-RADIUS arbeiten und mit mehr. Wenn daher die statischen Pool von Adressen Einstellung schrieb Microsoft eine Überprüfung der Anzahl der Adressen in den Pool und das Gefühl, dass es mindestens zwei sein sollte. Dies gilt allerdings nur, wenn sie mit Windows RADIUS arbeiten, wo die IP-Adresse für den Client und den Server wird aus diesem Pool genommen. In unserem Fall ist dieser Pool nur Adresse für den Server und die Client-Adressen werden UTM zugewiesen genommen. Auf den ersten Blick - kein Problem. Wenn es nicht nick abfällig. Wie gezeigt, wenn ein Benutzer auf ein anderes Login und Passwort auf dem VPN gab und sie verbinden zugleich die erste, aus ihnen heraus knallend erhält eine IP aus dem UTM, und die zweite - aus diesem Pool. Das Problem ist, dass der Verkehr nur auf der IP betrachtet werden, die in der UTM registriert ist, und der zweite Benutzer kostenlos sitzen. Aber es ist nicht so schlimm. Beenden Sie den Server-Eigenschaften RASS (Drücken Sie die OK-Taste an der Unterseite). Wir warten auf die Schaltfläche Start, dann auf Ausführen und Befehl schreiben

    netsh ras add IP - Bereich 192.168.2.254 192.168.2.254

    Gehen Sie wieder auf die Eigenschaften RASS Server in IP-Registerkarte, und zu sehen gibt es einen statischen Pool von Adressen 192.168.2.254. Das Problem ist gelöst. Durch die Art und Weise Netzwerk, das wir für das VPN verwenden, wäre es - 192.168.2.0/255.255.255.0.

    1.19. Wir gehen in der Registerkarte PPP und entfernen Sie das Häkchen aus den Positionen dort Multi und SOFTWARE komprimierten Daten. Setzen Sie ein Häkchen auf dem Punkt der erweiterten Protokollsteuerverbindung (LCP).

    1.20. Gehen Sie auf die Registerkarte Protokollierung. Wählen Sie den Punkt ein Protokoll der Fehler und Warnungen zu halten. Diese Notwendigkeit zur Information, wer und wann eine Verbindung zum VPN-RASS zu kennen. Journal of zusätzliche Informationen enthalten unnötig.

    1.21. Nun mühsame virtuelle Ports für VPN-Verbindungen zu konfigurieren.

    1.22. Gehen Sie zu den Eigenschaften des Hafens (Rechtsklick auf den Hafen und wählen Sie Eigenschaften).

    1.23. konfigurieren konsequent jeden Port-Typ in der Liste .. Wählen Sie L2TP und stochern im SET. Entfernen Sie alle Zecken und die maximale Anzahl der Ports - 0. Wählen Sie PPPoE und klicken Sie auf Konfigurieren. Entfernen Sie alle Zecken. Wählen Sie PPTP, wir SET drücken. Setzen Sie einen Haken NUR ENTHALTEN, entfernen Sie das Häkchen Ein- und ausgehende. Die maximale Anzahl der Ports Erkundigung - 128. (Dies ist, wie viele Menschen an die VPN-Verbindung herstellen können, wenn es nicht so viel zur gleichen Zeit, die notwendig ist, können Sie weniger auf das Wetter setzen ist nicht betroffen ...) Wählen Sie die direkte Parallel und alle Zecken entfernen. Dieser Artikel kann nicht sein, wenn der Server nicht über eine parallele Schnittstelle für den Drucker hat, oder es ist im BIOS deaktiviert.
    Am Ende sollte es ein solches Bild sein.

    1.24. Verschieben Sie auf IP-basiertes Routing.

    1.25. Hier ist es notwendig, sofort die Firewall zu bestimmen. Wenn Sie einen Server sollte kein Drittanbieter-Firewall, dann sollte es separat behandelt werden. Wenn ISA ist, dann muss es abgerissen werden. Es ist für die Arbeit mit einem VPN nicht benötigt wird. Das Problem mit der Firewall ist sehr ernst - die endgültige Entscheidung, wie eine Firewall verwenden - Sie. Ich kann nur sagen, dass im Basisfall, können Sie die integrierte Firewall RASS konfigurieren, obwohl es sehr dürftig ist, aber das Problem mit der Verteilung des Verkehrs führt fast vollständig.

    1.26. Poke eine Maus im Allgemeinen im linken Fenster und prüfen Sie, welche Schnittstellen vorhanden im rechten Fenster ist. Es müssen zwei Netzwerkschnittstelle sein (die mit dem Internet sieht und wer sieht in dem lokalen Netzwerk), interne Schnittstelle und Loopback, das heißt in Ihrem Fall 4-Schnittstelle. Wenn sie es nicht sind, oder fehlen, dann müssen sie durch Klicken mit der Maus auf einen leeren Raum im rechten Bereich hinzuzufügen, und wählen Sie Neue Schnittstelle.

    1.27. In unserem Fall sollte IP-Routing enthält 3 Punkte ALLGEMEINE, statische Routen und NAT / Firewall. Wenn es nicht etwas ist, oder es ist etwas anderes, dann das überschüssige müssen entfernt werden, und Sie müssen durch Klicken auf GENERAL, hinzufügen und dann ein neues Protokoll-Routing-Auswahl.

    1.28. Punkt statische Route ist nicht erforderlich. Es sollte leer sein. Entfernen Sie es, können wir nicht - es ist ein integraler Bestandteil des RASS. Gehen Sie direkt auf die NAT.

    1.29. NAT benötigt wird, um die globale Adresse für lokale und umgekehrt zu konvertieren. Poke eine Maus in der NAT. Im rechten Fenster, fügen Sie eine Schnittstelle, um seine Eigenschaften (klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften) auf das Internet und gehen sieht


    1.30. Wir erklären es eine gemeinsame Schnittstelle zum Internet-Verbindung und setzen ein Häkchen aktivieren NAT auf dieser Schnittstelle. Zweite Zecke enthält grundlegende Firewall für diese Schnittstelle nicht notwendig zu setzen ist, wenn Sie eine Firewall im Wert haben. Wenn der Firewall nicht vorhanden ist, ist es ein Muss, um zu setzen, sonst wird Ihr Server im Internet sichtbar. Hit OK. Mehr in der NAT muss nichts konfigurieren.

    1.31. Nun, wenn Sie eine Firewall steht haben, ist die Einstellung von RASS nun abgeschlossen. Wenn Sie nicht haben, dann müssen Sie Paketfilter konfigurieren Internet Vertriebsnetz für lokal zu blockieren und ihn in die VPN setzen.

    1.32. Zu diesem Zweck stecken wir im Allgemeinen und auf die Eigenschaften der Schnittstelle gehen, in das lokale Netzwerk suchen. Poke-Taste in dem Filterausgang. Im neuen Fenster drücken wir auf die Schaltfläche Erstellen. Wir setzen ein Häkchen Quellnetzwerk und das dort das lokale Netzwerk löschte. In Ihrem Fall 192.168.1.0/255.255.255.0. Wir sagen, OK. Wir drücken ein zweites Mal zu erstellen. Wir setzen Sie ein Häkchen in das ursprüngliche Netzwerk, und es schreibt VPN-Server IP-Adresse. In unserem Fall 192.168.2.254/255.255.255.255. Wir sagen, OK. Die Wahl eines Filteraktion in der Spitze - Löschen Sie alle Pakete mit Ausnahme derjenigen, die niedriger KRETERIYAM erfüllen scheinen und drücken Sie OK.

    1.33. ALLES !!! RASS ist nun eingestellt !!!


    2. Installation der UTM.


    2.1. Führen Sie UTM5Setup. Sprache wählen jeweils Russisch.

    2.2. Die erste Satz JAVA-Maschine.

    2.3. Reruns UTM5Setup. Nun den Rest stellen, das Häkchen aus JAVA entfernen. Wenn keine weiteren Feinheiten installieren. Nach Abschluss der Installation müssen Sie in Dienste gehen und schauen, um MySQL-NT und UTM5_CORE ins Leben gerufen wurden. Wenn es funktioniert, dann groß.

    2.4. Als nächstes setzt RADIUS. Da es nicht passiert nie Probleme.

    2.5. Jetzt NDSAD. Hier gibt es eine Menge Probleme. Um NDSAD Verkehrs Sie WinPCAP Treiber müssen auf dem VPN gesammelt ist Version 3.1 und höher.

    2.6. Nach ndsad Dienst Neustart beginnen sollte. Svo, wenn er nicht starten, wird der Server ist momentan beschäftigt Port 9996, die ndsad mit UTM kommunizieren.

    2.7. So installieren Sie das jetzt (wenn auch nicht in den Leistungen erschienen, der Dienst) utm5_rfw. Um dies zu tun, führen Sie den Befehl:

    utm5_rfw.exe --install.

    Danach muss der Dienst utm5_rfw erscheinen.

    2.8. Jetzt brauchen wir ein weiteres Programm, das im UTM nicht enthalten ist, aber ohne die es unmöglich Ausfälle VPN-Benutzer-Verbindungen zu verwalten, wobei der Rest davon durch eine 0. Dieses Programm utm5_kill_vpn.exe bestanden hat. Als ich zum ersten Mal die UTM gestartet, fand er, dass, wenn sie mit RASS Windows-Entwickler arbeiten nicht bieten einen Mechanismus zu deaktivieren VPN-Verbindungen. By the way, aus dem Internet - ein heikles Thema in der Mehrzahl der Abrechnungssysteme. Es ist gut, dass sie sogar schrieb utm5_rfw, die Ihnen die Verwaltung anderer Programme übertragen können, und dann wäre alles nur ein Rohr gewesen. Dieses Beispiel-Programm an die Wurzel des Laufwerks C kopiert werden: Abschaltschaltung so arbeitet. UTM erkennt, dass die Balance des Benutzers negativ wurde. Es gibt dem Team utm5_rfw, auf dem Benutzer abmeldet. Utm5_rfw verursacht utm5_kill_vpn und sie gibt einen Befehl, die RASS Windows-VPN-Verbindung für einen bestimmten Benutzer zu brechen.

    (Um automatisch erzeugt auftritt =) in UTM gehen zu Firewall-Regeln, drücken wir den Knopf Aktualisieren. Entfernen Sie alle, aber die erste. Der erste Aufruf zur Bearbeitung. Setzen Sie einen Haken - alle Benutzer. Benutzer-ID - 0, ID-Gruppe - 0, ID-Tarif - 0 Vkyuchenie - nichts schreiben (sollte leer sein), Shutdown - c: /utm5_kill_vpn.exe ULOGIN, Firewall-ID - 1. ULOGIN Variable enthält den Namen der VPN-Verbindungen und übertragen utm5_kill_vpn.exe Programm, um die entsprechenden VPN zu deaktivieren.)


    2.9. Wie alles installiert ist. Nun gehen wir zu den Einstellungen.




    3. Einstellung der UTM


    3.1. Konfigurationsdateien.

    3.1.1. UTM5.CFG

    database_type = mysql - Datenbanktyp
    Datenbank = utm5 - der Name der Datenbank
    DATABASE_HOST = 127.0.0.1 - IP-Computer-Datenbank
    database_login = root - Login in die Datenbank
    database_password = - das Passwort für die Datenbank (ohne Passwort)

    urfa_bind_host = 0.0.0.0 - IP mit der mit der Datenbank verbunden ist (any)

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - Bibliotheken für externe Module
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - Anschlussport NDSAD


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - IP, auf dem die UTM
    core_port = 11758 - der mit dem Port verbunden UTM

    radius_login = Radius - das System Benutzer-Login
    radius_password = Radius - das Passwort des Systembenutzer

    radius_auth_mppe = enable - Genehmigung für VPN

    radius_auth_vap = 1 - nicht einen negativen Saldo zu authentifizieren

    radius_ssl_type = none - Art der Verschlüsselung (deaktiviert)

    radius_ippool_timeout = 0 - reauthorization Verzögerung (einmal)
    radius_ippool_acct_timeout = 0 - gibt die IP VPN unmittelbar nach der Pause


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - Name des Firewall (unter Verwendung von IP)

    firewall_type = local - Art von Firewall (local)

    core_host = 127.0.0.1 - IP-Adresse des UTM
    core_port = 11758 - der Port für die Kommunikation mit UTM

    rfw_login = web - Benutzer-Login-System
    rfw_password = web - Benutzerkennwort sistemngo

    3.1.4. NDSAD.CFG

    All dummy - disable Statistikerfassung von jedem Gerät, andere als die in der Eingabekraft, das heißt, Verkehr wird nur auf dem VPN gesammelt werden

    Device \ NPF_GenericDialupAdapter Kraft \ - Modus auf der VPN-Statistikerfassung

    nf_lifetime 1 - sofort trennt die Sitzung, wenn der Benutzer durch das Gleichgewicht von 0 navigiert


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - IP-Adresse des UTM

    web_login = web - Benutzer-Login-System

    web_password = web - das Passwort des Systembenutzers


    3.1.6. Nach den Konfigurationsdateien Patches müssen Sie den Computer neu starten, damit die Änderungen wirksam werden.

    4-Dateien:


    Name: NDSAD_setup_1_33.exe
    Durch die Referenz zum Herunterladen der Datei: http://ifolder.ru/10599261

    Name: utm5_kill_vpn.exe
    Link zum Download: http://ifolder.ru/10599276

    UTM5 herunterladen können http://www.netup.ru/

    Ebenfalls enthalten YUTM Apache und Muskeln. Nur um die Web-admiku eingeben neohodimo Sie die OpenSSL setzen wird und Zeichen sertifikaty.Hotya gesehen und Alternativen Web-Schnauzen.