Піднімаємо VPN + біллінг UTM5 на win2003
Отже, з чого почати реалізацію зв'язки VPN + UTM5 на Windows Server 2003. Перш ніж почати налаштування RASS потрібно перевірити, чи встановлена служба IAS (Internet Authentication Service). Щоб це перевірити, потрібно зайти в установку / видалення програм на панелі управління в розділ УСТАНОВКА КОМОНЕНТОВ WINDOWS і подивитися склад компонентів Networking Services. Якщо ця служба встановлена, то зняти з неї галочку (деінсталювати). Ця служба щось інше, як Windows-RADIUS. Зрозуміло, що 2 RADIUS-сервера (UTM-RADIUS і Windows-RADIUS) на одному комп'ютері працювати не можуть, тому що використовують для роботи одні й ті ж порти. Відповідно при встановленій службі IAS UTM-RADIUS просто не запуститься.
Ще одна служба, яка заважає правильній роботі UTM, точніше Apache, це - World Wide Web Service, яка знаходиться в складі компонента Windows - Application Server в групі сервісів IIS (Internet Information Services). Її теж потрібно деінсталювати, інакше Apache НЕ стартує, тому що ця служба використовує 80 порт. Якщо на сервері необхідний WEB-сервер, то його з успіхом може замінити той же Apache, використовуючи 80-й порт. UTM надає доступ користувача до статистики по HTTPS протоколу, а він з'єднується по 443 порту з шифруванням на основі сертифікату. Можна, звичайно інсталювати Apache на порт 8080, але навіщо 2 WEB-сервера на одному комп'ютері?
На сервері не повинно бути встановлено SQL-сервера і MySQL.
Після деінсталяції цих служб можна приступати до встановлення та налаштування RASS.
1. Встановлення та налаштування Routing and Remote Access
1.1. Запускаємо майстер установки RASS.
1.2. Відмовляємося від всіх стандартних схем і вибираємо ручний режим настройки. Здається він останній в списку пропонованих майстром варіантів.
1.4. Заходимо в властивості сервера RASS (правою кнопкою миші тиснемо на значок сервера з зеленою стрілкою і вибираємо ВЛАСТИВОСТІ).
1.5. На вкладці Загальні вибираємо режим маршрутизатора ЛОКАЛЬНОЇ МЕРЕЖІ І БИЗОВА НА ВИМОГУ і СЕРВЕР віддаленого доступу, тиснемо ОК і перезапускаємо RASS.
1.6. Знову заходимо в властивості сервера RASS на вкладку БЕЗПЕКА.
1.7. Тут в розділі СЛУЖБА ПЕРЕВІРКИ
ДІЙСНОСТІ вказуємо RADIUS Authentication і натискаємо кнопку НАЛАШТУВАТИ і у вікні,, натискаємо кнопку ДОДАТИ.
1.8. Якщо UTM-RADIUS встановлений на цьому ж комп'ютері, то в поле ІМ'Я СЕРВЕРА пишемо - 127.0.0.1. Якщо UTM-RADIUS стоїть на іншому комп'ютері, то вказуємо його IP.
1.9. В поле СЕКРЕТ тиснемо кнопку ЗМІНИТИ і пишемо - secret і підтверджуємо ще раз.
1.10. Тайм-аут, початкову оцінку і порт не чіпаємо. Порт повинен бути - 1812. Обов'язково ставимо галочку ЗАВЖДИ ВИКОРИСТОВУВАТИ ПОСВІДЧЕННЯ ПОВІДОМЛЕННЯ і тиснемо ОК.
1.12. У вікні тиснемо кнопку ДОДАТИ.
1.13. ІМ'Я СЕРВЕРА так само 127.0.0.1, Секрет - secret, порт - 1813, тайм-аут і початкову оцінку залишаємо за замовчуванням, галочку ПОВІДОМЛЕННЯ RADIUS НА ВКЛЮЧЕННЯ / відключенні ОБЛІКУ не ставимо. Тиснемо ОК.
1.14. Ми будемо використовувати протокол PPTP для VPN-підключень, тому галочка ДОЗВОЛЯТИ КОРИСТУВАЛЬНИЦЬКІ IPSEC-ПОЛІТИКИ ДЛЯ L2TP-ПІДКЛЮЧЕННЯ нас не цікавить, і ми її не ставимо.
1.15. Переходимо на вкладку IP. Тут взагалі дуже цікава вещ.
1.16. Спочатку ставимо всі галочки, які є на цій вкладці (їх три).
1.18. Тепер найцікавіше. Для того, щоб внутрішній інтерфейс RASS отримав IP, який буде використовуватися в якості IP-сервера при підключенні VPN-клієнта по PPTP-тунелю за протоколом PPP потрібно в розділі ПРИЗНАЧЕННЯ IP-АДРЕС вибрати СТАТИЧНИЙ ПУЛ АДРЕС і вказати тут цей IP. Але, доблесна фірма Microsoft чомусь вирішила, що RASS буде працювати тільки з Windows-RADIUS і ні з яким більше. Тому при завданні статичного пулу адрес Microsoft написала перевірку на кількість адрес в пулі і порахувала, що їх повинно бути не менше двох. Це справедливо тільки при роботі з Windows-RADIUS, де IP адреси для клієнта і сервера беруться з цього пулу. У нашому випадку з цього пулу береться лише адреса для сервера, а клієнтові адресу призначає UTM. На перший погляд - проблем немає. Якби не підлі юзери. Як показала практика, якщо один юзер дав іншому свій логін і пароль на VPN і вони підключаються одночасно, то перший, який підключився з них отримує IP з UTM, а другий - з цього пулу. Проблема в тому, що трафік буде вважатися тільки на тому IP, який прописаний в UTM, а другий юзер буде сидіти безкоштовно. Але не все так погано. Виходимо з властивостей сервера RASS (тиснемо кнопку ОК внизу). Чекаємо кнопку Пуск, потім Виконати і пишемо команду
netsh ras ip add range 192.168.2.254 192.168.2.254
Знову заходимо в властивості сервера RASS у вкладку IP і спостерігаємо там статичний пул з однієї адреси 192.168.2.254. Проблема вирішена. До речі мережу, яку ми будемо використовувати для VPN, буде - 192.168.2.0/255.255.255.0.
1.19. Заходимо у вкладку PPP і прибираємо там галочки з пунктів багатоканальної ПІДКЛЮЧЕННЯ і ПРОГРАМНЕ СТИСК ДАНИХ. Ставимо галочку на пункті РОЗШИРЕННЯ ПРОТОКОЛУ УПРАВЛІННЯ ЗВ'ЯЗКОМ (LCP).
1.20. Заходимо у вкладку ВЕДЕННЯ ЖУРНАЛУ. Вибираємо пункт ВІСТІ ЖУРНАЛ ПОМИЛОК І ПОПЕРЕДЖЕНЬ. Це потрібно в інформаційних цілях, щоб знати, хто і коли підключався до RASS по VPN. Журнал додаткових відомостей включати непотрібно.
1.21. Тепер нудно налаштувати віртуальні порти для VPN-підключень.
1.22. Заходимо в властивості портів (натискаємо правою кнопкою миші по ПОРТИ і вибираємо властивості).
1.23. Послідовно налаштовуємо кожен тип порту в списку .. Вибираємо L2TP і тикаємо в НАЛАШТУВАТИ. Знімаємо всі галочки і ставимо максимальне число портів - 0. Вибираємо PPPoE і натискаємо НАЛАШТУВАТИ. Знімаємо всі галочки. Вибираємо PPTP, тиснемо НАЛАШТУВАТИ. Встановлюємо галочку ТІЛЬКИ ВХІДНІ, знімаємо галочку Вхідні І ВИХІДНІ. Максимальне число портів задаємо - 128. (Це скільки людей одночасно може підключитися до VPN. Якщо стільки не треба, то можна поставити менше. На погоду це не впливає.) Вибираємо Direct Parallel і знімаємо всі галочки. Цього пункту може не бути, якщо на сервері немає паралельного порту для принтера або він відключений в BIOS.
В кінцевому підсумку повинна бути така картина.
1.24. Переходимо до IP-маршрутизації.
1.25. Тут треба відразу визначитися з файерволом. Якщо у тебе на сервері стоїть не файервол стороннього виробника, то з ним потрібно розбиратися окремо. Якщо стоїть ISA, то її потрібно знести. Вона для роботи з VPN не потрібна. Питання з файерволом дуже серйозний - остаточне рішення, яким файерволом користуватися - за тобою. Я можу лише сказати, що в базовому варіанті можна налаштувати вбудований в RASS фаєрвол, хоча він дуже куций, але завдання з роздачею трафіку виконує практично повністю.
1.26. Тикаємо мишкою в ЗАГАЛЬНІ в лівому вікні і перевіряємо які інтерфейси присутні в правому вікні. Там повинні бути обидва інтерфейсу мережі (який дивиться в Інтернет і який дивиться в локальну мережу), Внутрішній інтерфейс і Замикання на себе, тобто в твоєму випадку 4 інтерфейсу. Якщо їх немає або якого-небудь не вистачає, то їх потрібно додати, клацнувши мишкою по порожньому місці в правому вікні і вибрати пункт НОВИЙ ІНТЕРФЕЙС.
1.27. У нашому випадку IP-маршрутизація повинна містити 3 пункту ЗАГАЛЬНІ, статичних маршрутів і NAT / ПРОСТИЙ Брандмауер. Якщо там немає чогось або присутній що-небудь інше, то зайве потрібно видалити, а необхідне додати, клацнувши мишкою по ЗАГАЛЬНІ і вибравши пункт НОВИЙ ПРОТОКОЛ МАРШРУТИЗАЦІЇ.
1.28. Пункт статичні маршрути нам не потрібен. Там повинно бути порожньо. Видалити ми його не можемо - це невід'ємна частина RASS. Переходимо відразу до NAT.
1.29. NAT потрібен для перетворення глобальних адрес в локальні і навпаки. Тикаємо мишкою в NAT. У правому вікні додаємо інтерфейс, який дивиться в Інтернет і заходимо в його властивості (клікаєм по ньому правою кнопкою мишки і вибираємо властивості)
1.30. Оголошуємо його загальним інтерфейсом підключення до Інтернет і встановлюємо галочку ВКЛЮЧИТИ NAT НА даному інтерфейсі. Другу галочку ВКЛЮЧИТИ ОСНОВНИЙ Брандмауер ДЛЯ ЦЬОГО ІНТЕРФЕЙСУ не потрібно ставити, якщо у тебе стоїть файервол. Якщо брандмауера немає, то ставити її треба обов'язково, інакше твій сервер буде видно в Інтернеті. Тиснемо ОК. Більше в NAT нічого налаштовувати не потрібно.
1.31. Тепер, якщо у тебе стоїть файервол, то настройку RASS можна вважати закінченою. Якщо у тебе його немає, то потрібно налаштувати фільтри пакетів, щоб заблокувати роздачу Інтернету по локльной мережі і пустити його в VPN.
1.32. Для цього тикаємо на ЗАГАЛЬНІ і заходимо в властивості інтерфейсу, що дивиться в локальну мережу. Тикаємо в кнопку ФІЛЬТРИ ВИХОДУ. У вікні, Тиснемо кнопку СТВОРИТИ. Ставимо галочку ВИХІДНА МЕРЕЖА і прописуємо там свою локальну мережу. У твоєму випадку 192.168.1.0/255.255.255.0. Говоримо ОК. Тиснемо вдруге СТВОРИТИ. Ставимо галочку вихідна мережу і прописуємо там IP-адресу VPN-сервера. У нашому випадку 192.168.2.254/255.255.255.255. Говоримо ОК. Вибираємо в верху дію фільтра - відкидає все ПАКЕТИ, КРІМ ТИХ, ЩО ВІДПОВІДАЮТЬ була нижчою за Кретер і тиснемо ОК.
1.33. УСЕ!!! Тепер RASS налаштований !!!
2. Встановлення UTM.
2.1. Запускаємо UTM5Setup. Мова вибираємо відповідно російська.
2.2. Першою ставимо машину JAVA.
2.3. Запускаємо повторно UTM5Setup. Тепер ставимо все інше, знявши галочку з JAVA. При подальшій установці ніяких премудростей немає. Після закінчення установки потрібно зайти в сервіси і подивитися, щоб MySQL-NT і UTM5_CORE були запущені. Якщо все працює, то чудово.
2.4. Далі ставимо RADIUS. З ним проблем не буває ніколи.
2.5. Тепер NDSAD. Ось тут є багато проблем. Для того, щоб NDSAD збирав трафік на VPN потрібно, щоб драйвер WinPCAP був версії 3.1 і вище.
2.6. Після перезавантаження сервіс ndsad повинен запуститися. Якщо він све-таки не запускається, то на сервері зайнятий порт 9996, який ndsad використовує для зв'язку з UTM.
2.7. Тепер інсталюємо (якщо не з'явилася в сервісах дана служба) utm5_rfw. Для цього виконуємо команду:
utm5_rfw.exe --install.
Після цього в сервісах повинен з'явитися utm5_rfw.
2.8. Тепер нам знадобиться ще одна програмка, яка не входить до складу UTM, але без якої не можна управляти відключеннями VPN-з'єднань користувачів, баланс яких перевалив через 0. Це програмка utm5_kill_vpn.exe. Коли я перший раз запустив UTM, то виявив, що при роботі з RASS Windows розробниками не передбачено механізму відключення VPN-з'єднань. До речі, відключення Інтернету - найболючіше питання в більшості білінгових систем. Добре, що вони хоч написали utm5_rfw, який дозволяє передати управління іншим програмам, а то взагалі була б труба. Цю програму треба скопіювати в корінь диска c: Схема відключення працює так. UTM виявляє, що баланс користувача став негативним. Вона дає команду utm5_rfw, про відключення користувача. Utm5_rfw викликає utm5_kill_vpn і та дає команду RASS Windows розірвати VPN-з'єднання для певного користувача.
(Для того щоб автоматом відбувався РОЗРИВ =) в UTM заходимо в ПРАВИЛА FIREWALL, тиснемо кнопку ОНОВИТИ. Видаляємо все, крім першого. Перший викликаємо на редагування. Ставимо галочку - Всі користувачі. ID користувача - 0, ID групи - 0, ID тарифу - 0, Вкюченіе - нічого не пишемо (повинно бути порожньо), Виключення - c: /utm5_kill_vpn.exe ULOGIN, ID брандмауера - 1. Змінна ULOGIN містить назву VPN-з'єднання і передається програмі utm5_kill_vpn.exe для відключення відповідного VPN.)
2.9. Начебто все встановили. Тепер переходимо до налаштувань.
3. Налаштування UTM
3.1. Конфігураційний файли.
3.1.1. UTM5.CFG
database_type = mysql - тип бази даних
database = utm5 - назва бази даних
database_host = 127.0.0.1 - IP комп'ютера з базою даних
database_login = root - логін до бази даних
database_password = - пароль до бази даних (без пароля)
urfa_bind_host = 0.0.0.0 - IP з якого підключаємося до БД (з будь-якого)
urfa_lib_file = liburfa \ librpc.dll
urfa_lib_file = liburfa \ liburfa_utils.dll
urfa_lib_file = liburfa \ liburfa_card.dll
urfa_lib_file = liburfa \ liburfa_hotspot.dll - бібліотеки для роботи зовнішніх модулів
urfa_lib_file = liburfa \ liburfa_graph.dll
urfa_lib_file = liburfa \ liburfa_radius.dll
nfbuffer_port = 9996 - порт підключення NDSAD
3.1.2. RADIUS5.CFG
core_host = 127.0.0.1 - IP, на якому знаходиться UTM
core_port = 11758 - порт підключення до UTM
radius_login = radius - логін системного користувача
radius_password = radius - пароль системного користувача
radius_auth_mppe = enable - авторизація по VPN
radius_auth_vap = 1 - не авторізовиваться з негативним балансом
radius_ssl_type = none - тип шифрування (відключено)
radius_ippool_timeout = 0 - затримка повторної авторизації (відразу)
radius_ippool_acct_timeout = 0 - звільняти IP відразу після розриву VPN
3.1.3. RFW5.CFG
rfw_name = 127.0.0.1 - ім'я брандмауера (використовується IP)
firewall_type = local - тип брандмауера (локальний)
core_host = 127.0.0.1 - IP адреса UTM
core_port = 11758 - порт для зв'язку з UTM
rfw_login = web - логін системного користувача
rfw_password = web - пароль сістемнго користувача
3.1.4. NDSAD.CFG
dummy all - відключення збору статистики з будь-яких пристроїв, крім тих, які вказані в команді force, тобто трафік збирати будемо тільки на VPN
force \ Device \ NPF_GenericDialupAdapter - режим збору статистики на VPN
nf_lifetime 1 - миттєво розриває сесії, при переході балансу користувача через 0
3.1.5. WEB5.CFG
core_host = 127.0.0.1 - IP адреса UTM
web_login = web - логін системного користувача
web_password = web - пароль системного користувача
3.1.6. Після виправлень конфігураційних файлів потрібно перевантажити комп'ютер, щоб всі зміни увійшли в силу.
4. файли:
Назва: NDSAD_setup_1_33.exe
Посилання для скачування файлу: http://ifolder.ru/10599261
Назва: utm5_kill_vpn.exe
Посилання для скачування файлу: http://ifolder.ru/10599276
UTM5 можна скачати на http://www.netup.ru/
Також в комплект ЮТМ входить апач і м'язів. Так само для входу в веб адміку вам неоходімо буде поставити OpenSSL і підписати сертіфікати.Хотя бачив є і альтернативні варіанти веб-морд.
Коментарі
Коментуючи, пам'ятайте про те, що зміст і тон Вашого повідомлення можуть зачіпати почуття реальних людей, проявляйте повагу та толерантність до своїх співрозмовників навіть у тому випадку, якщо Ви не поділяєте їхню думку, Ваша поведінка за умов свободи висловлювань та анонімності, наданих інтернетом, змінює не тільки віртуальний, але й реальний світ. Всі коменти приховані з індексу, спам контролюється.