This page has been robot translated, sorry for typos if any. Original content here.

Erhöhen Sie die UTM5-Abrechnung für VPN + auf win2003



  • 1. Installieren und Konfigurieren von Routing und RAS
  • 2. Installieren von UTM
  • 3. Konfigurieren Sie UTM
  • 4. Dateien


  • Bevor Sie mit der Konfiguration von RASS beginnen, müssen Sie überprüfen, ob der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) installiert ist. Um dies zu überprüfen, müssen Sie das Installations- / Deinstallationsprogramm in der Systemsteuerung im Abschnitt INSTALLIEREN VON WINDOWS-KOMPONENTEN aufrufen und den Inhalt der Networking Services-Komponenten anzeigen. Wenn dieser Dienst installiert ist, deaktivieren Sie ihn (deinstallieren). Dieser Dienst ist so etwas wie Windows-RADIUS. Es ist klar, dass 2 RADIUS-Server (UTM-RADIUS und Windows-RADIUS) nicht auf demselben Computer arbeiten können, da Verwenden Sie für den Betrieb dieselben Ports. Entsprechend startet UTM-RADIUS bei der Installation von IAS einfach nicht.

    Ein weiterer Dienst, der den ordnungsgemäßen Betrieb von UTM oder genauer gesagt von Apache beeinträchtigt, ist der World Wide Web-Dienst, der Teil der Windows-Komponente Application Server in der Gruppe Internetinformationsdienste (IIS) ist. Es muss auch deinstalliert werden, sonst startet Apache nicht, weil Dieser Dienst verwendet Port 80. Wenn ein WEB-Server auf dem Server benötigt wird, kann derselbe Apache ihn über Port 80 erfolgreich ersetzen. UTM bietet dem Benutzer über das HTTPS-Protokoll Zugriff auf Statistiken und stellt mit zertifikatbasierter Verschlüsselung eine Verbindung zu Port 443 her. Sie können Apache natürlich auf Port 8080 installieren, aber warum befinden sich 2 WEB-Server auf einem Computer?

    SQL Server und MySQL sollten nicht auf dem Server installiert werden.
    Nach der Deinstallation dieser Dienste können Sie RASS installieren und konfigurieren.

    1. Installieren und Konfigurieren von Routing und RAS


    1.1. Führen Sie den Installationsassistenten RASS aus.

    1.2. Wir verzichten auf alle Standardschemata und wählen den manuellen Einstellmodus. Es scheint, dass er der letzte in der Liste der vom Meister angebotenen Optionen ist.
    1.3. Nach dem Start von RASS starten wir die Konfiguration.

    1.4. Gehen Sie zu den Eigenschaften des Servers RASS (klicken Sie mit der rechten Maustaste auf das Serversymbol mit dem grünen Pfeil und wählen Sie EIGENSCHAFTEN aus).

    1.5. Wählen Sie auf der Registerkarte ALLGEMEIN den Modus LAN AND ROLLER ROUTER ON REQUIREMENT und den REMOTE ACCESS SERVER aus, klicken Sie auf OK und starten Sie RASS neu.

    1.6. Wechseln Sie erneut zu den Eigenschaften des RASS-Servers auf der Registerkarte SICHERHEIT.

    1.7. Hier im Abschnitt SERVICE PRÜFEN
    AUTHENTITY Wir geben die RADIUS-Authentifizierung an und klicken auf die Schaltfläche SET UP. In dem sich öffnenden Fenster klicken Sie auf die Schaltfläche ADD.

    1.8. Wenn UTM-RADIUS auf demselben Computer installiert ist, schreiben wir in das Feld SERVER NAME - 127.0.0.1. Wenn sich UTM-RADIUS auf einem anderen Computer befindet, geben Sie dessen IP an.

    1.9. Im SECRET-Feld drücken wir die CHANGE-Taste und schreiben das Geheimnis und bestätigen es erneut.

    1.10. Wir berühren nicht das Timeout, die anfängliche Schätzung und den Port. Der Port sollte - 1812 sein. Vergewissern Sie sich, dass Sie das ZERTIFIKAT IMMER BENUTZEN und klicken Sie auf OK.
    1.11. Wählen Sie nun im ACCOUNTING SERVICE die Option RSDIUS Accounting und klicken Sie auf die Schaltfläche SETUP.

    1.12. In dem erscheinenden Fenster drücken wir die ADD-Taste.

    1.13. Der SERVER NAME lautet ebenfalls 127.0.0.1, Secret - Secret, Port - 1813, wir belassen die Standardzeitüberschreitung und die anfängliche Bewertung. Kreuzen Sie das RADIUS MESSAGE ON / DISABLE ACCOUNT nicht an. Lassen Sie uns OK drücken.
    1.14. Wir werden PPTP für VPN-Verbindungen verwenden, daher ist das Kontrollkästchen BENUTZER-IPSEC-RICHTLINIEN FÜR L2TP-VERBINDUNGEN AKTIVIEREN nicht für uns und wir richten es nicht ein.

    1.15. Gehen Sie zur Registerkarte IP. Es ist im Allgemeinen eine sehr interessante Sache.

    1.16. Setzen Sie zuerst alle Häkchen auf dieser Registerkarte (es gibt drei).
    1.17. Als Adapter zum Empfangen von DHCP-, DNS- und WINS-Serveradressen für VPN-Clients wählen wir einen Schnittstellenadapter mit Blick auf das Internet. Alle Anfragen an VPN-Benutzer werden von dort aus übertragen.

    1.18. Nun der lustige Teil. Damit die interne RASS-Schnittstelle eine IP empfängt, die als IP-Server verwendet wird, wenn ein VPN-Client über einen PPTP-Tunnel über PPP verbunden ist, wählen Sie im Abschnitt BESTIMMUNGSORT DER IP-ADRESSEN die Option STATISCHE ADRESSENBOX und geben Sie diese IP hier an. Aber aus irgendeinem Grund entschied das glorreiche Microsoft-Unternehmen, dass RASS nur mit Windows-RADIUS und mit keinem anderen funktionieren würde. Daher hat Microsoft beim Festlegen eines statischen Adresspools die Anzahl der Adressen im Pool überprüft und entschieden, dass mindestens zwei Adressen vorhanden sein sollten. Dies gilt nur, wenn Sie mit Windows-RADIUS arbeiten, wobei die IP-Adressen für den Client und den Server aus diesem Pool entnommen werden. In unserem Fall wird nur die Adresse des Servers aus diesem Pool entnommen und dem Client von der UTM eine Adresse zugewiesen. Auf den ersten Blick gibt es keine Probleme. Wenn nicht für abscheuliche Benutzer. Wie die Praxis gezeigt hat, erhält ein Benutzer, der einem anderen Benutzer sein Login und Passwort für das VPN gegeben hat und gleichzeitig eine Verbindung herstellt, die IP von UTM und die zweite von diesem Pool. Das Problem ist, dass der Datenverkehr nur für die in der UTM registrierte IP gezählt wird und der zweite Benutzer kostenlos sitzt. Aber nicht alles ist so schlimm. Beenden Sie die Eigenschaften des Servers RASS (klicken Sie unten auf OK). Wir warten auf die Schaltfläche Start, dann Ausführen und schreiben einen Befehl

    netsh ras ip add range 192.168.2.254 192.168.2.254

    Wieder gehen wir in die Eigenschaften des RASS-Servers in der Registerkarte IP und beobachten dort einen statischen Pool von der gleichen Adresse 192.168.2.254. Das Problem ist gelöst. Das Netzwerk, das wir für VPN verwenden, wird übrigens - 192.168.2.0/255.255.255.0 sein.

    1.19. Gehen Sie zur Registerkarte PPP und entfernen Sie dort die Häkchen mit den Einträgen MULTICHANNEL CONNECTIONS und PROGRAM COMPRESSION OF DATA. Setzen Sie ein Häkchen bei ERWEITERUNG DES KOMMUNIKATIONSKONTROLLPROTOKOLLS (LCP).

    1.20. Gehen Sie zum Tab MAGAZIN. Wählen Sie den Punkt NEWS MAGAZINE ERRORS AND WARNINGS. Es ist zu Informationszwecken erforderlich, um zu wissen, wer und wann über VPN mit dem RASS verbunden ist. Es ist nicht erforderlich, das Protokoll mit zusätzlichen Informationen einzuschließen.

    1.21. Jetzt mühsam, virtuelle Ports für VPN-Verbindungen zu konfigurieren.

    1.22. Gehen Sie zu den Eigenschaften der Ports (klicken Sie mit der rechten Maustaste auf den PORT und wählen Sie PROPERTIES aus).

    1.23. Konfigurieren Sie nacheinander jeden Porttyp in der Liste. Wählen Sie L2TP und rufen Sie SETUP auf. Entfernen Sie alle Kontrollkästchen und setzen Sie die maximale Anzahl der Ports auf 0. Wählen Sie PPPoE und klicken Sie auf SETUP. Entfernen Sie alle Häkchen. Wählen Sie PPTP und klicken Sie auf SETUP. Aktivieren Sie das Kontrollkästchen NUR EINSCHLIESSLICH und deaktivieren Sie das Kontrollkästchen EINTRAG UND AUSGANG. Die maximale Anzahl von Ports ist auf 128 festgelegt. (So viele Personen können gleichzeitig eine Verbindung zum VPN herstellen. Wenn Sie nicht so viel benötigen, können Sie weniger verwenden. Dies hat keine Auswirkungen auf das Wetter.) Wählen Sie "Direkt parallel" und entfernen Sie alle Kontrollkästchen. Dieses Element ist möglicherweise nicht vorhanden, wenn der Server keinen parallelen Anschluss für den Drucker hat oder im BIOS deaktiviert ist.
    Letztendlich sollte es so ein Bild geben.

    1.24. Weiter mit IP-Routing.

    1,25. Hier ist es notwendig, die Firewall sofort zu ermitteln. Wenn es sich bei Ihrem Server nicht um eine Firewall eines Drittanbieters handelt, müssen Sie diese separat behandeln. Wenn es ISA ist, muss es abgerissen werden. Es ist nicht erforderlich, mit einem VPN zu arbeiten. Das Problem mit der Firewall ist sehr ernst - die endgültige Entscheidung über die Verwendung der Firewall liegt bei Ihnen. Ich kann nur sagen, dass Sie in der Basisversion die in RASS integrierte Firewall konfigurieren können, obwohl sie sehr kurz ist, aber die Aufgabe mit der Datenverkehrsverteilung fast vollständig ausgeführt wird.

    1.26. Wir stecken die GENERAL-Maus in das linke Fenster und prüfen, welche Schnittstellen im rechten Fenster vorhanden sind. Es müssen beide Netzwerkschnittstellen (die auf das Internet und das lokale Netzwerk ausgerichtet sind), die interne Schnittstelle und die Kurzschlussschnittstelle für sich selbst vorhanden sein in deinem fall 4 schnittstellen. Wenn es keine gibt oder einige fehlen, müssen sie hinzugefügt werden, indem Sie auf eine leere Stelle im rechten Fenster klicken und den Punkt NEUE SCHNITTSTELLE auswählen.

    1,27. In unserem Fall sollte IP-Routing drei Elemente enthalten: ALLGEMEINE, STATISCHE ROUTEN und NAT / SIMPLE BRANDMAUER. Wenn etwas nicht vorhanden ist oder etwas anderes vorhanden ist, sollte das Extra entfernt und das Notwendige hinzugefügt werden, indem Sie auf ALLGEMEIN klicken und das NEUE ROUTING-PROTOKOLL auswählen.

    1.28. Item STATISCHE ROUTEN brauchen wir nicht. Es muss leer sein. Wir können es nicht löschen - es ist ein wesentlicher Bestandteil von RASS. Gehe direkt zu NAT.

    1,29. NAT wird benötigt, um globale Adressen in lokale zu konvertieren und umgekehrt. Stecke die Maus in NAT. Fügen Sie im rechten Fenster eine Schnittstelle hinzu, die auf das Internet ausgerichtet ist, und rufen Sie deren Eigenschaften auf (klicken Sie mit der rechten Maustaste darauf und wählen Sie EIGENSCHAFTEN aus).


    1,30. Wir erklären es zu einer gemeinsamen Schnittstelle für die Verbindung mit dem Internet und aktivieren das Kontrollkästchen NAT AN DIESER SCHNITTSTELLE EINSCHALTEN. Das zweite Häkchen ENABLE MAIN BRANDMAUER FOR THIS INTERFACE muss nicht gesetzt werden, wenn Sie eine Firewall haben. Wenn keine Firewall vorhanden ist, müssen Sie diese installieren, sonst wird Ihr Server im Internet angezeigt. Klicken Sie auf OK. In NAT ist nichts mehr zu konfigurieren.

    1,31. Wenn Sie eine Firewall haben, kann die RASS-Einrichtung als abgeschlossen betrachtet werden. Wenn Sie es nicht haben, müssen Sie Paketfilter konfigurieren, um die Verteilung des Internets über das lokale Netzwerk zu blockieren und es in VPN zu stellen.

    1,32. Dazu stöbern wir im ALLGEMEINEN und gehen in die Eigenschaften der Schnittstelle und schauen in das lokale Netzwerk. Drücken Sie die FILTERS OUTPUT-Taste. Klicken Sie im geöffneten Fenster auf die Schaltfläche ERSTELLEN. Wir kreuzen das INITIAL NETWORK an und registrieren dort unser lokales Netzwerk. In Ihrem Fall 192.168.1.0/255.255.255.0. Wir sagen OK. Wir drücken zum zweiten Mal auf CREATE. Wir kreuzen das Quellnetz an und registrieren dort die IP-Adresse des VPN-Servers. In unserem Fall 192.168.2.254/255.255.255.255. Wir sagen OK. Wir wählen oben in der Filteraktion "Alle Pakete verwerfen" aus, mit Ausnahme derjenigen, die unter "Kriterien" angegeben wurden, und klicken auf "OK".

    1,33. ALLE !!! Nun ist RASS eingerichtet !!!


    2. Installieren von UTM.


    2.1. Führen Sie das UTM5Setup aus. Sprache, wählen Sie jeweils Russisch.

    2.2. Zuerst das Auto JAVA setzen.

    2.3. Wir starten UTM5Setup neu. Jetzt setzen wir alles andere durch Entfernen des Häkchens aus JAVA. Bei weiterer Installation gibt es keine Weisheit. Nach Abschluss der Installation müssen Sie zu den Diensten gehen und feststellen, dass MySQL-NT und UTM5_CORE ausgeführt werden. Wenn alles funktioniert, dann großartig.

    2.4. Als nächstes setzen wir RADIUS. Es gibt nie Probleme mit ihm.

    2.5. Jetzt NDSAD. Hier gibt es viele Probleme. Damit NDSAD Datenverkehr über ein VPN erfassen kann, muss der WinPCAP-Treiber Version 3.1 oder höher sein.

    2.6. Nach dem Neustart sollte der NDSAD-Dienst gestartet werden. Wenn es immer noch nicht startet, wird Port 9996 auf dem Server verwendet, über den NDSAD mit UTM kommuniziert.

    2.7. Jetzt installieren wir (falls dieser Dienst nicht in den Diensten erscheint) utm5_rfw. Führen Sie dazu den folgenden Befehl aus:

    utm5_rfw.exe --install.

    Danach sollte utm5_rfw in den Diensten erscheinen.

    2.8. Jetzt benötigen wir ein anderes Programm, das nicht Teil der UTM ist, ohne das Sie jedoch die Trennung der VPN-Verbindungen der Benutzer, deren Kontostand über 0 liegt, nicht verwalten können. Dies ist das Programm utm5_kill_vpn.exe. Als ich UTM zum ersten Mal startete, stellte ich fest, dass Entwickler bei der Arbeit mit RASS Windows keinen Mechanismus zum Deaktivieren von VPN-Verbindungen haben. Das Ausschalten des Internets ist übrigens in den meisten Abrechnungssystemen das heikelste Problem. Es ist gut, dass sie sogar utm5_rfw geschrieben haben, wodurch Sie die Kontrolle auf andere Programme übertragen können, sonst wäre es eine Pipe. Dieses Programm muss in das Stammverzeichnis der Festplatte kopiert werden. C: Das Shutdown-Schema funktioniert folgendermaßen. UTM erkennt, dass der Kontostand des Benutzers negativ geworden ist. Sie gibt den Befehl utm5_rfw, um den Benutzer zu trennen. Utm5_rfw ruft utm5_kill_vpn auf und gibt den RASS-Windows-Befehl zum Beenden der VPN-Verbindung für einen bestimmten Benutzer aus.

    (Damit der GAP automatisch auftritt =) Wechseln Sie in der UTM zu den FIREWALL-REGELN, und klicken Sie auf die Schaltfläche UPDATE. Entferne alles außer dem ersten. Erster Aufruf zur Bearbeitung. Setzen Sie ein Häkchen - Alle Benutzer. Benutzer-ID - 0, Gruppen-ID - 0, Tarif-ID - 0, Ein - nichts schreiben (muss leer sein), Herunterfahren - c: /utm5_kill_vpn.exe ULOGIN, Firewall-ID - 1. Die Variable ULOGIN enthält den Namen der VPN-Verbindung und wird übergeben utm5_kill_vpn.exe, um das entsprechende VPN zu deaktivieren.)


    2.9. Anscheinend ist alles installiert. Gehen Sie nun zu den Einstellungen.




    3. Konfigurieren Sie UTM


    3.1. Konfigurationsdateien

    3.1.1. UTM5.CFG

    database_type = mysql - Datenbanktyp
    database = utm5 - Datenbankname
    database_host = 127.0.0.1 - IP des Computers mit der Datenbank
    database_login = root - Anmeldung an der Datenbank
    database_password = - Datenbankpasswort (ohne Passwort)

    urfa_bind_host = 0.0.0.0 - IP, von der aus wir eine Verbindung zur Datenbank herstellen (von jeder beliebigen)

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - Bibliotheken für externe Module
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - NDSAD-Verbindungsport


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - IP, auf der sich die UTM befindet
    core_port = 11758 - UTM-Verbindungsport

    radius_login = radius - Benutzeranmeldung des Systems
    radius_password = radius - Systembenutzerkennwort

    radius_auth_mppe = enable - VPN-Autorisierung

    radius_auth_vap = 1 - Keine Autorisierung mit negativem Saldo

    radius_ssl_type = none - Verschlüsselungstyp (deaktiviert)

    radius_ippool_timeout = 0 - Verzögerung der erneuten Autorisierung (sofort)
    radius_ippool_acct_timeout = 0 - IP sofort nach einer VPN-Unterbrechung freigeben


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - Firewall-Name (IP wird verwendet)

    firewall_type = local - Firewall-Typ (lokal)

    core_host = 127.0.0.1 - UTM-IP-Adresse
    core_port = 11758 - Port für die Kommunikation mit UTM

    rfw_login = Web - System - Benutzeranmeldung
    rfw_password = Benutzerpasswort für das Web-System

    3.1.4. NDSAD.CFG

    Dummy all - Deaktiviert die Statistikerfassung von allen Geräten mit Ausnahme der im Befehl force angegebenen Geräte, d. h. Wir werden den Datenverkehr nur über VPN sammeln

    force \ Device \ NPF_GenericDialupAdapter - Erfassungsmodus für VPN-Statistiken

    nf_lifetime 1 - Beendet Sitzungen sofort, wenn der Kontostand eines Benutzers 0 überschreitet


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - UTM-IP-Adresse

    web_login = Benutzeranmeldung für das Web - System

    web_password = Benutzerpasswort des Websystems


    3.1.6. Nachdem die Konfigurationsdateien korrigiert wurden, müssen Sie den Computer neu starten, damit alle Änderungen wirksam werden.

    4. Dateien:


    Name: NDSAD_setup_1_33.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599261

    Name: utm5_kill_vpn.exe
    Link zum Herunterladen der Datei: http://ifolder.ru/10599276

    UTM5 kann unter http://www.netup.ru/ heruntergeladen werden.

    Ebenfalls im Kit YuTM Apache and muscle enthalten. Sie müssen auch OpenSSL installieren und Zertifikate signieren, um sich beim Webadministrator anzumelden.