Настройка UTM5 на Win Server 2003 для работы по VPN в RASS

Форум для размещения материалов по реализации различных схем использования ПО, решению частых проблем и предупреждению частых ошибок
Закрыто
Lexx_1971
Сообщения: 13
Зарегистрирован: Вт дек 12, 2006 12:10
Откуда: Ростов-на-Дону

Настройка UTM5 на Win Server 2003 для работы по VPN в RASS

Сообщение Lexx_1971 »

Очень многие, особенно начинающие администраторы задают вопрос о реализации схемы раздачи трафика по VPN, используя в качестве сервера VPN службу RASS на Windows Server 2003.
Итак, с чего начать реализацию связки VPN + UTM5 на Windows Server 2003. Прежде чем начать настройку RASS нужно проверить, установлена ли служба IAS (Internet Authentication Service). Чтобы это проверить, нужно зайти в установку/удаление программ на панели управления в раздел УСТАНОВКА КОМОНЕНТОВ WINDOWS и посмотреть состав компонентов Networking Services. Если эта служба установлена, то снять с неё галочку (деинсталлировать). Эта служба нечто иное, как аналог сервера RADIUS и используется для авторизации пользователей службой RASS. Понятно, что 2 RADIUS-сервера (UTM-RADIUS и IAS) на одном компьютере работать не могут, т.к. используют для работы одни и те же порты, да это и не нужно, т.к. служба RASS может работать либо со службой IAS, либо со сторонним RADIUS-сервером. Соответственно при установленной службе IAS UTM-RADIUS просто не запустится.
Ещё одна служба, которая мешает правильной работе UTM, точнее Apache, это – World Wide Web Service, которая находится в составе компонента Windows – Application Server в группе сервисов IIS (Internet Information Services). Её тоже нужно деинсталлировать, иначе Apache не стартует, т.к. эта служба использует 80 порт. Если необходимо использовать два WEB-сервера одновременно, то при инсталляции Apache нужно ставить на порт 8080.
По правилам конфиденциальности UTM должна предоставлять доступ пользователя к статистике по HTTPS протоколу, а он соединяется по 443 порту с SSL-шифрованием на основе сертификата. В базовой поставке UTM5 под Windows сервер Apache идёт без поддержки SSL. Поэтому, для того, чтобы сервер Apache начал работать по протоколу HHTPS, нужно установить пакет Openssl-0.9.7e-Win32 и сгенерировать сертификат.
Одним словом, перед установкой UTM5 на Windows Server 2003 нужно проверить, чтобы порты 80 или 8080, 1812, 1813 были свободными.

По ходу повествования будет рассмотрен пример с сетями 192.168.1.0 – локальная сеть, 192.168.2.0 – пул для VPN, 192.168.2.254 – IP-адрес VPN-сервера.

Перед установкой UTM на сервер нужно настроить RASS. Рассмотрим, как это делается.

1. Установка и настройка Routing and Remote Access

1.1. Запускаем мастер установки RASS.
1.2. Отказываемся от всех стандартных схем и выбираем ручной режим настройки, он последний в списке предлагаемых мастером вариантов.
1.3. После запуска RASS начинаем его настройку.
1.4. Заходим в свойства сервера RASS (правой кнопкой мыши давим на значок сервера с зелёной стрелкой и выбираем СВОЙСТВА).
1.5. На вкладке ОБЩИЕ выбираем галочками режимы МАРШРУТИЗАТОР ЛОКАЛЬНОЙ СЕТИ И БЫЗОВА ПО ТРЕБОВАНИЮ и СЕРВЕР УДАЛЁННОГО ДОСТУПА, жмём ОК и перезапускаем RASS.
1.6. Опять заходим в свойства сервера RASS на вкладку БЕЗОПАСНОСТЬ.
1.7. Здесь в разделе СЛУЖБА ПРОВЕРКИ ПОДЛИННОСТИ указываем RADIUS Authentication и нажимаем кнопку НАСТРОИТЬ, а в открывшемся окне, нажимаем кнопку ДОБАВИТЬ.
1.8. Если UTM-RADIUS будет устанавливаться на этом же компьютере, то в поле ИМЯ СЕРВЕРА пишем – 127.0.0.1. Если UTM-RADIUS стоит на другом компьютере, то указываем его IP.
1.9. В поле СЕКРЕТ давим кнопку - ИЗМЕНИТЬ и пишем – secret (это ключевое слово используется в UTM5 по умолчанию, можно указать другое слово, но тогда его нужно будет вписать в настройках UTM5 в список NAS) и подтверждаем еще раз.
1.10. Тайм-аут, начальную оценку и порт не трогаем. Порт должен быть – 1812. Обязательно ставим галочку ВСЕГДА ИСПОЛЬЗОВАТЬ УДОСТОВЕРЕНИЕ СООБЩЕНИЯ и жмём ОК.
1.11. Теперь в СЛУЖБЕ УЧЁТА выбираем RSDIUS Accounting и жмём кнопку НАСТРОИТЬ.
1.12. В появившемся окне давим кнопку - ДОБАВИТЬ.
1.13. ИМЯ СЕРВЕРА так же 127.0.0.1, если UTM-RADIUS стоит на другом компьютере, то указываем его IP, секрет – secret, порт – 1813, тайм-аут и начальную оценку оставляем по умолчанию, галочку СООБЩЕНИЯ RADIUS О ВКЛЮЧЕНИИ/ОТКЛЮЧЕНИИ УЧЁТА не ставим. Давим ОК.
1.14. Мы будем использовать протокол PPTP для VPN-подключений, поэтому галочка РАЗРЕШАТЬ ПОЛЬЗОВАТЕЛЬСКИЕ IPSEC-ПОЛИТИКИ ДЛЯ L2TP-ПОДКЛЮЧЕНИЯ нас не интересует, и мы её не ставим.
1.15. Переходим на вкладку IP.
1.16. Сначала ставим все галочки, которые есть на этой вкладке (их три).
1.17. В качестве адаптера для получения адресов DHCP, DNS- и WINS-серверов для клиентов VPN выбираем адаптер интерфейса, смотрящего в Internet. С него будут транслироваться все запросы к VPN пользователям.
1.18. Теперь самое интересное. Для того, чтобы внутренний интерфейс RASS получил IP, который будет использоваться в качестве IP-сервера при подключении VPN-клиента по PPTP-тоннелю по протоколу PPP нужно в разделе НАЗНАЧЕНИЕ IP-АДРЕСОВ выбрать СТАТИЧЕСКИЙ ПУЛ АДРЕСОВ и указать здесь этот IP. Но, доблестная фирма Microsoft почему-то решила, что RASS будет работать только со службой IAS и ни с каким больше RADIUS-сервером. Поэтому при задании статического пула адресов Microsoft написала проверку на количество адресов в пуле и посчитала, что их должно быть не меньше двух. Это справедливо только при авторизации службой IAS, где IP адреса для клиента и сервера берутся из этого пула. В нашем случае из этого пула берётся лишь адрес для сервера, а клиенту адрес назначает UTM. На первый взгляд – проблем нет, ну будет ещё один IP и что с того? Если бы не подлые юзеры.
Представим такую ситуацию. Один юзер дал другому свой логин и пароль на VPN и они подключаются одновременно. Первый подключившийся из них получает IP от UTM, а второму UTM дать IP не может (он уже занят), а “добрая” Windows выдаёт ему IP из этого пула. Следовательно, трафик будет считаться только на том IP, который прописан в UTM, а второй юзер будет сидеть бесплатно.
Но не всё так плохо. Выходим из свойств сервера RASS (жмём кнопку ОК внизу). Ждём кнопку ПУСК, затем ВЫПОЛНИТЬ и пишем команду

netsh ras ip add range ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх,

где ххх.ххх.ххх.ххх – IP-адрес, который нужно добавить в статический пул, и который будет присваиваться внутреннему интерфейсу (Например - 192.168.2.254)

Опять заходим в свойства сервера RASS во вкладку IP и наблюдаем там статический пул из одного адреса ххх.ххх.ххх.ххх, например из адреса 192.168.2.254. Проблема решена. Не забываем теперь указать, что IP адреса мы должны брать из этого пула, т.е. устанавливаем переключатель на СТАТИЧКСКИЙ ПУЛ АДРЕСОВ и жмём ПРИМЕНИТЬ.
1.19. Заходим во вкладку PPP и убираем там галочки с пунктов МНОГОКАНАЛЬНЫЕ ПОДКЛЮЧЕНИЯ и ПРОГРАММНОЕ СЖАТИЕ ДАННЫХ. Ставим галочку на пункте РАСШИРЕНИЯ ПРОТОКОЛА УПРАВЛЕНИЯ СВЯЗЬЮ (LCP).
1.20. Заходим во вкладку ВЕДЕНИЕ ЖУРНАЛА. Выбираем пункт ВЕСТИ ЖУРНАЛ ОШИБОК И ПРЕДУПРЕЖДЕНИЙ. Это нужно в информационных целях, чтобы знать, кто и когда подключался к RASS по VPN. Журнал дополнительных сведений включать необязательно.
1.21. Теперь нудно настроить виртуальные порты для VPN-подключений.
1.22. Заходим в свойства портов (кликаем правой кнопкой мыши по ПОРТЫ и выбираем СВОЙСТВА).
1.23. Последовательно настраиваем каждый тип порта в списке.. Выбираем L2TP и тыкаем - НАСТРОИТЬ. Снимаем все галочки, и ставим максимальное число портов – 0. Выбираем PPPoE и нажимаем НАСТРОИТЬ. Снимаем все галочки. Выбираем PPTP, жмём НАСТРОИТЬ. Устанавливаем галочку ТОЛЬКО ВХОДЯЩИЕ, снимаем галочку ВХОДЯЩИТЕ И ИСХОДЯЩИЕ. Максимальное число портов задаём – 128. (Это сколько людей одновременно может подключиться к VPN. Если столько не надо, то можно поставить меньше.) Выбираем Direct Parallel и снимаем все галочки. Этого пункта может не быть, если на сервере нет параллельного порта для принтера или он отключён в BIOS.
1.24. Переходим к IP-маршрутизации.
1.25. Здесь надо сразу определиться с файерволом. Если на сервере стоит файервол стороннего производителя, то с ним нужно разбираться отдельно. Вопрос с файерволом очень серьёзный – окончательное решение, каким файерволом пользоваться – за администратором. Я могу лишь сказать, что в базовом варианте можно настроить встроенный в RASS файервол (так называемый фильтр пакетов), и хотя он очень куцый, но задачу с раздачей трафика выполняет практически полностью. Лично у меня стоит KERIO Firewall. Он мне очень нравится своей многофункциональностью и одновременно простотой, но у него один недостаток – сильно тормозит машину и жрёт много ресурсов. Есть неплохая программа IPFilter (http://www.kssware.net/ipfilter.html) она существенно расширяет возможности настройки базового фильтра RASS, кроме того, она позволяет регламентировать скорость, используя управление контролем качества QoS, что необходимо для анлимщиков.
1.26. Продолжаем настройку. Тыкаем мышкой в ОБЩИЕ в левом окне и проверяем, какие интерфейсы присутствуют в правом окне. Там должны быть оба интерфейса сети (который смотрит в Интернет и который смотрит в локальную сеть), Внутренний интерфейс и Замыкание на себя, т.е. в минимальном варианте 4 интерфейса. Если их нет, или какого-нибудь не хватает, то их нужно добавить, щёлкнув мышкой по пустому месту в правом окне и выбрать пункт НОВЫЙ ИНТЕРФЕЙС.
1.27. В нашем случае IP-маршрутизация должна содержать 3 пункта ОБЩИЕ, СТАТИЧЕСКИЕ МАРШРУТЫ и NAT/ПРОСТОЙ БРАНДМАУЭР. Если там нет чего-то или присутствует что-нибудь другое, то лишнее нужно удалить, а необходимое добавить, щелкнув мышкой по ОБЩИЕ и выбрав пункт НОВЫЙ ПРОТОКОЛ МАРШРУТИЗАЦИИ.
1.28. Пункт СТАТИЧЕСКИЕ МАРШРУТЫ нам не нужен. Там должно быть пусто. Переходим сразу к NAT.
1.29. NAT - нужен для преобразования глобальных адресов в локальные и наоборот. Тыкаем мышкой в NAT. В правом окне добавляем интерфейс, который смотрит в Интернет и заходим в его свойства (кликаем по нему правой кнопкой мышки и выбираем СВОЙСТВА)
1.30. Объявляем его общим интерфейсом подключения к Интернет и устанавливаем галочку ВКЛЮЧИТЬ NAT НА ДАННОМ ИНТЕРФЕЙСЕ. Вторую галочку ВКЛЮЧИТЬ ОСНОВНОЙ БРАНДМАУЭР ДЛЯ ЭТОГО ИНТЕРФЕЙСА не нужно ставить, если стоит файервол. Если файервола нет, то ставить её нужно обязательно, иначе сервер будет виден в Интернете. Жмём ОК. Больше в NAT ничего настраивать не нужно.
1.31. Теперь, если стоит файервол, то настройку RASS можно считать законченной. Если его нет, то нужно настроить фильтры пакетов, чтобы заблокировать раздачу Интернета по локальной сети и пустить его в VPN.
1.32. Для этого тыкаем в ОБЩИЕ и заходим в свойства интерфейса, смотрящего в локальную сеть. Тыкаем в кнопку - ФИЛЬТРЫ ВЫХОДА. В открывшемся окне Жмём кнопку - СОЗДАТЬ. Ставим галочку - ИСХОДНАЯ СЕТЬ и прописываем там свою локальную сеть, например 192.168.1.0/255.255.255.0. Говорим ОК. Жмём второй раз СОЗДАТЬ. Ставим галочку исходная сеть и прописываем там IP-адрес VPN-сервера, например 192.168.2.254/255.255.255.255. Говорим ОК. Выбираем в верху действие фильтра – ОТБРАСЫВАТЬ ВСЕ ПАКЕТЫ, КРОМЕ ТЕХ, ЧТО ОТВЕЧАЮТ КАЗАННЫМ НИЖЕ КРЕТЕРИЯМ и жмём ОК.
1.33. Теперь RASS настроен.

2. Установка UTM

2.1. Запускаем UTM5Setup. Язык выбираем соответственно русский.
2.2. Первой ставим машину JAVA. Снимаем все галочки, кроме JAVA и производим установку.
2.3. Запускаем повторно UTM5Setup. Теперь ставим всё остальное, сняв галочку с JAVA. При дальнейшей установке никаких премудростей нет. После окончания установки нужно зайти в сервисы и посмотреть, чтобы MySQL-NT и UTM5_CORE были запущены. Если всё работает, то замечательно.
2.4. Далее ставим RADIUS. С ним проблем не бывает никогда, если свободны порты 1812 и 1813.
2.5. Теперь NDSAD. Вот тут есть много проблем. Для того, чтобы NDSAD собирал трафик на VPN нужно, чтобы драйвер WinPCAP был версии 3.1 и выше. В комплекте же с UTM идёт WinPCAP 3.0, который не умеет собирать трафик на VPN. Поэтому после инсталляции NDSAD нужно не перегружая компьютер зайти в УСТАНОВКУ И УДАЛЕНИЕ ПРОГРАММ на панели управления и деинсталлировать WinPCAP 3.0. Затем обязательно перезагрузить компьютер.
2.6. После перезагрузки NDSAD конечно не запустится из-за отсутствия драйвера WinPCAP. Теперь нужно инсталлировать отдельно WinPCAP 3.1 и после инсталляции переписать два файла wpcap.dll и packet.dll из каталога c:\windows\system32 в каталог c:\Program Files\NetUP\UTM5\winpcap и затем перезагрузить компьютер.
2.7. После перезагрузки сервис ndsad должен запуститься. Если он всё-таки не запускается, то на сервере занят порт 9996, который ndsad использует для связи с UTM.
2.8. Теперь инсталлируем utm5_rfw. Для этого выполняем команду:

utm5_rfw.exe --install.

После этого в сервисах должен появиться utm5_rfw.
2.9. Теперь нам понадобится ещё одна программка, которая не входит в состав UTM, но без которой нельзя управлять отключениями VPN-соединений пользователей, баланс которых перевалил через 0. Это программка utm5_kill_vpn.exe. Когда я первый раз запустил UTM, то обнаружил, что при работе с RASS Windows разработчиками не предусмотрен механизм отключения VPN-соединений. Схема отключения работает так. UTM обнаруживает, что баланс пользователя стал отрицательным. Она даёт команду utm5_rfw, об отключении пользователя. Utm5_rfw вызывает utm5_kill_vpn.exe и та даёт команду RASS Windows разорвать VPN-соединение для определённого пользователя.
Если конкретнее, то UTM передаёт utm5_rfw только две команды – ВКЛЮЧТЬ ИНТЕРНЕТ и ВЫКЛЮЧИТЬ ИНТЕРНЕТ. Содержание этих команд записывается в настройках UTM5 в ПРАВИЛАХ FIREWALL и представляет собой команду, которая передаётся консольному файерволу с переменной, содержащей IP пользователя или его логин. Это системная переменная – ULOGIN. Т.е. запись вида c:/utm5_kill_vpn.exe ULOGIN – вызовет программу utm5_kill_vpn.exe из корневого каталога диска c: и передаст ей логин пользователя, которого нужно отключить. Так как в Windows название VPN-соединения совпадает с логином пользователя в UTM, то, получив, таким образом, название VPN соединения от UTM5 его можно разорвать командой netsh для RASS (см. help для netsh в RASS). Программа utm5_kill_vpn.exe запрашивает командой для RASS перечень активных VPN-соединений, проверяет наличие в этом перечне того соединения, которое нужно разорвать и даёт команду RASS - разорвать это соединение.
Возможен и второй вариант блокировки трафика с помощью консольного файервола wipfw, но с помощью него можно лишь заблокировать трафик, а не разорвать VPN.

3. Настройка UTM

3.1. Конфигурационный файлы.

3.1.1. UTM5.CFG

database_type=mysql - тип базы данных
database=utm5 - название базы данных
database_host=127.0.0.1 - IP компьютера с базой данных
database_login=root - логин к базе данных
database_password= - пароль к базе данных (без пароля)

urfa_bind_host= 0.0.0.0 - IP с которого подключаемся к БД (с любого)

urfa_lib_file=liburfa\librpc.dll
urfa_lib_file=liburfa\liburfa_utils.dll
urfa_lib_file=liburfa\liburfa_card.dll
urfa_lib_file=liburfa\liburfa_hotspot.dll - библиотеки для работы внешних модулей
urfa_lib_file=liburfa\liburfa_graph.dll
urfa_lib_file=liburfa\liburfa_radius.dll

nfbuffer_port=9996 – порт подключения NDSAD


3.1.2. RADIUS5.CFG

core_host=127.0.0.1 - IP, на котором находится UTM
core_port=11758 - порт подключения к UTM

radius_login=radius - логин системного пользователя
radius_password=radius - пароль системного пользователя

radius_auth_mppe=enable - авторизация по VPN
radius_auth_vap=1 - не авторизовывать с отрицательным балансом

radius_ssl_type=none - тип шифрования (отключено)

radius_ippool_timeout=0 - задержка повторной авторизации (сразу)
radius_ippool_acct_timeout=0 - освобождать IP сразу после разрыва VPN


3.1.3. RFW5.CFG

rfw_name=127.0.0.1 - имя файервола (используется IP)

firewall_type=local - тип файервола (локальный)

core_host=127.0.0.1 - IP адрес UTM
core_port=11758 - порт для связи с UTM

rfw_login=web - логин системного пользователя
rfw_password=web - пароль системнго пользователя

3.1.4. NDSAD.CFG

dummy all - отключения сбора статистики с любых устройств, кроме тех, которые указаны в команде force, т.е. трафик собирать будем только на VPN

force \Device\NPF_GenericDialupAdapter - режим сбора статистики на VPN

nf_lifetime 1 - мгновенно разрывает сессии, при переходе баланса пользователя через 0

3.1.5. UTM5ADMIN.CFG

login=init
server=localhost
secure=SSLv3
port=11758
lang=ru eng
payment_inet_switch=on

Ну здесь комментарии не нужны.


3.1.6. WEB5.CFG

core_host=127.0.0.1 - IP адрес UTM

web_login=web - логин системного пользователя

web_password=web - пароль системного пользователя


3.1.7. После исправлений конфигурационных файлов нужно перегрузить компьютер, чтобы все изменения вошли в силу.


3.2. Настройка Apache

В начале я уже писал, что разработчики не поставляют Apach с поддержкой SSL. Для подключения этого модуля нам понадобится пакет Openssl-0.9.7e-Win32.
Распаковываем пакет и копируем из него файлы ssleay32.dll и libeay32.dll в папку SYSTEM32. Теперь нужно скачать два файла - файл openssl.cnf и положить его в папку с Openssl-0.9.7e-Win32 и файл ssl.conf и положить его в Apache2/conf.
Теперь нужно произвести генерацию сертификатов. Для того, чтобы сгенерировать сертификат нужно в любом программном менеджере (например FAR) зайти в каталог Openssl-0.9.7e-Win32 и выполнить следующие команды:

openssl req -config openssl.cnf -new -out my-server.csr

Здесь нужно задать пароль (какой значения не имеет, например 123456). Указать страну – ru, область – Moskovskaya, город – Moskva, и т.д. Единственное, что нужно указать точно, это название сервера (в программке оно звучит как название сайта). Здесь нужно указать точное имя сервера. Например, если сервер lacon.drvp.ru, то нужно задать имя lacon.

openssl rsa -in privkey.pem -out my-server.key

Здесь просто набираем пароль, который мы задали в предыдущей команде и всё.

openssl x509 -in my-server.csr -out my-server.cert -req -signkey my-server.key -days 365

Тут вообще ничего вводить не нужно.
В результате этих действий мы получим два нужных нам файла – my-server.cert и my-server.key. Эти файлы нужно скопировать в папку c:\Program Files\Apache Group\Apache2\conf\ssl\.
Теперь редактируем файл httpd.conf. Ищем, где в нём добавляются модули и дописываем там:

LoadModule ssl_module modules/mod_ssl.so

После записи </IfModule> добавляем:

SSLMutex default
SSLRandomSeed startup builtin
SSLSessionCache none

В разделе VirtualHost directives добавляем:

SSLEngine On
SSLCertificateFile conf/ssl/my-server.cert
SSLCertificateKeyFile conf/ssl/my-server.key
</VirtualHost>

Теперь редактируем файл ssl.conf.
В начале корректируем www.my-domain.com в соответствии с названием домена. Далее заменяем DocumentRoot "D:/secure" на DocumentRoot "C:\Program Files\Apache Group\Apache2\cgi-bin\utm5". Потом изменяем <Directory "cgi-bin">.

Все необходимые материалы лежат здесь:
http://raibledesigns.com/wiki/Wiki.jsp?page=ApacheSSL
http://tud.at/programm/apache-ssl-win32-howto.php3

Теперь можно запустить Apache.

3.3. Настройка параметров UTM

Вся остальная настройка делается из администраторской консоли UTM в следующем порядке.

3.3.1. Запускаем админку и заходим в НАСТРОЙКИ, жмём кнопку обновить. Здесь нам нужно отредактировать только 2 параметра с ID 20 и 21. Параметр 20 определяет сколько байт в килобайте. Можно оставить их 1024, как на самом деле есть, но куда девать транспортный трафик? Кто за него будет платить? Поэтому рекомендую выставить чуть-чуть меньше, хотя бы 1000. Второй параметр – traffic_agregation_interval – нужно задать равным 30 - 60. Это значение подбирается экспериментально и зависит от количества пользователей в сети и мощности сервера. В этом случае сброс трафика в UTM из коллектора ndsad будет производиться каждые 30 - 60 секунд.
3.3.2. Заходим в СПИСОК NAS, жмём кнопку ОБНОВИТЬ. Удаляем все NAS, кроме первого. Вызываем его на редактирование и вводим в поле Auth Secret наш секрет, который мы указали при настройке RASS, т.е. – secret (или другое слово). Также поступаем и с полем Acct Secret. В результате должно получиться ID - 1, NAS ID – 127.0.0.1, Тип – 0, Auth Secret – secret, Acct Secret – secret.
3.3.3. Заходим в СПИСОК БРАНДМАУЭРОВ, жмем кнопку ОБНОВИТЬ. Удаляем все, кроме первого. Вызываем его на редактирование. Устанавливаем: Тип – Local, IP-адрес – 127.0.0.1, Логин – web, Пароль – web, Комментарии – Windows Local. В результате должно получиться: ID – 1, Тип – 0, IP – 127.0.0.1, Логин – web, Пароль – web, Комментарии – Windows Local.
3.3.4. Заходим в ПРАВИЛА FIREWALL, жмём кнопку ОБНОВИТЬ. Удаляем всё, кроме первого. Первый вызываем на редактирование. Ставим галочку – Все пользователи. ID пользователя - 0, ID группы – 0, ID тарифа – 0, Вкючение – ничего не пишем (должно быть пусто), Выключение – c:/utm5_kill_vpn.exe ULOGIN, ID брандмауэра – 1. Переменная ULOGIN содержит название VPN-соединения и передаётся программе utm5_kill_vpn.exe для отключения соответствующего VPN. В случае использования wipfw сюда нужно записать соответствующее правило для файервола, перекрывающее трафик пользователю.
3.3.5. Заходим в СПИСОК IP-ЗОН, жмём кнопку обновить. Добавляем IP-зону VPN. Даём ей название (например, название твоей организации). Далее задаём нужную нам подсеть, например 192.168.2.0/255.255.255.0, шлюз это адрес VPN-сервера , например - 192.168.2.254.
3.3.6. Заходим в ДОМА, жмем кнопку ОБНОВИТЬ. Выбираем созданную нами IP-зону. В поле Подключён ничего не трогаем. Далее заполняем параметры здания в котором ты находишься.
3.3.7. Список банков, Шаблоны документов и провайдер нас не интересует и на работу системы это никак не влияет.

3.4. Настройка тарификации UTM

3.4.1. Заходим в РАСЧЁТНЫЙ ПЕРИОД, жмём кнопку ОБНОВИТЬ. Здесь должен быть создан автоматически расчётный период. Он нужен для правильного списания трафика. Здесь сложно дать рекомендации, потому, что значение расчётного периода зависит от конструкции услуги или тарифа. Но в любом случае, хотя бы один расчетный период здесь должен быть. Как правило - это ежедневный период.
3.4.2. Заходим во ВРЕМЕННЫЕ ДИАПАЗОНЫ, жмём кнопку ОБНОВИТЬ. Если цена на трафик не меняется в зависимости от дня недели или времени суток, то здесь достаточно одного круглосуточного диапазона – с воскресенья 00.00.00 по субботу 23.59.59.
3.4.3. Заходим в КЛАССЫ ТРАФИКА, жмём кнопку ОБНОВИТЬ. Тут минимум должно быть три класса трафика. Входящий, исходящий и локальный. По умолчанию UTM создаёт 2 класса с идентификаторами 10 – входящий и 20 – исходящий. Еще нужно создать класс – локальный с идентификатором – 1000. Редактируем входящий трафик (10). Открываем его на редактирование. Название класса трафика – Входящий. Временной диапазон – выбираем нужный. Теперь удаляем все подклассы. Затем нажимаем кнопку ДОБАВИТЬ и добавляем нужные подклассы. Например: Источник: Адрес – 0.0.0.0, Маска – 0.0.0.0. Получатель (Distination part): Адрес – 192.168.2.0, Маска – 255.255.255.0. Теперь редактируем исходящий трафик (20). Также удаляем из него всё и добавляем Источник: Адрес - 192.168.2.0, Маска – 255.255.255.0, Получатель: Адрес – 0.0.0.0, Маска – 0.0.0.0. Создаём класс трафика – локальный (1000) и добавляем в него подкласс: Источник: Адрес – 192.168.1.0, Маска – 255.255.255.0, Получатель: Адрес – 192.168.2.0, Маска – 255.255.255.0
3.4.4. Заходим в УСЛУГИ, жмём кнопку ОБНОВИТЬ. Добавляем услугу – передача IP-трафика. В границах услуги задаём так: Идентификатор класса – Входящий, Количество – 0, Стоимость – 1 руб. Потом Идентификатор класса – Исходящий, Количество – 0, Стоимость – 0 руб. И затем Идентификатор класса – Локальный, Количество – 0, Стоимость – 0 руб.

3.5. Создание пользователей в UTM

3.1. Заходим в ПОЛЬЗОВАТЕЛИ И ГРУППЫ во вкладку ГРУППЫ, жмём кнопку ОБНОВИТЬ. Здесь оставляем только две группы пользователей ID – 1 (Administrators) и ID – 102 (Users). Остальные группы можно удалить, если таковые не нужны или наоборот – добавить нужные.
3.2. Заходим во вкладку ПОЛЬЗОВАТЕЛИ, жмём кнопку ДОБАВИТЬ. Задаём пользователю логин и пароль на вход по WEB-интерфейсу к серверу статистики. Указываем ID дома, который мы создали в настройках ранее. Открываем вкладку ГРУППЫ и задаём там группу Users. Теперь жмём кнопку добавления сервисной связки. Выбираем услугу. Указываем расчётный период и жмём кнопку добавления IP-группы. Здесь будет выдан свободный IP из диапазона, заданного нами в настройках (192.168.2.0). Маска подсети – 255.255.255.255. MAC-адрес указывать не нужно. Задаём логин, под которым пользователь будет подключаться к VPN и соответственно пароль. Если нужно, чтобы пользователь не смог подключаться с чужой машины, то в параметре Разрешенные CID нужно указать IP адрес сетевой карты пользователя, имеющего право подключаться к VPN под заданным логином/паролем. Если нужно подключаться с разных машин, то нужно оставить это поле пустым.
3.3. Кладём деньги пользователю на счёт. Для проверки – немного.

После всего этого можно считать, что настройка UTM на сервере закончена и можно переходить к настройке компьютера пользователя.

4. Настройка компьютера пользователя.

4.1. Создание VPN-подключения.

Заходим в свойства сетевого окружения и запускаем мастер новых подключений. Выбираем пункт – ПОДКЛЮЧИТЬ К СЕТИ НА РАБОЧЕМ МЕСТЕ (VPN), далее выбираем пункт – ПОДКЛЮЧЕНИЕ К ВИРТУАЛЬНОЙ ЧАСТНОЙ СЕТИ (VPN), далее пишем название VPN-соединения, далее указываем IP-адрес VPN-сервера (в нашем примере - 192.168.1.1). Соединение создано. Запускаем его, вводим логин и пароль пользователя и соединяемся с VPN. Пытаемся работать в Интернете. Если всё работает, идём на сервер и в отчетах смотрим детальный трафик пользователя.

4.2. Установка UTM_Wintray

Устанавливаем на машинке пользователя utm_wintray. После установки прописываем параметры – ip-адрес сервера (192.168.1.1), логин и пароль пользователя на сервер статистики (не путать с логином/паролем на VPN), и ip-адрес web-сервера (192.168.1.1). После применения параметров в трее должен появиться UTM и светиться зелёным глазком.
Теперь можно попытаться зайти в личный кабинет по web-интерфейсу. Щелкаем правой кнопкой по значку UTM в трее и выбираем вход в WEB.

seger
Сообщения: 1
Зарегистрирован: Сб мар 22, 2008 00:08

Сообщение seger »

оно будет работать когда на этой же машине стоит ISA2004 ???

хватит ли сервера двухпроцессорного (по 4 ядра, ксеоны) с 4 гигами памяти???


300 человек нагрузки

Lexx_1971
Сообщения: 13
Зарегистрирован: Вт дек 12, 2006 12:10
Откуда: Ростов-на-Дону

Сообщение Lexx_1971 »

По всем вопросам пишите в ICQ 499122078 или на почту lexx_1971@mail.ru

Аватара пользователя
mioan
Сообщения: 37
Зарегистрирован: Вт апр 15, 2008 21:57
Откуда: Тверь
Контактная информация:

Сообщение mioan »

seger писал(а):оно будет работать когда на этой же машине стоит ISA2004 ???

хватит ли сервера двухпроцессорного (по 4 ядра, ксеоны) с 4 гигами памяти???


300 человек нагрузки
Да уж... С такими параметрами можно с десяток виртуальных машин на вашем сервере запустить, а в них еще с десяток.. а потом в каждой по биллингу :)
У меня на cisco 2801 ~1500 абонентов крутится + сервер, где биллинг стоит обычный core2duo с 2 гигами оперативы.... И ничего, запас еще есть... :)

DEW
Сообщения: 28
Зарегистрирован: Пн ноя 24, 2008 15:33

Сообщение DEW »

mioan писал(а): У меня на cisco 2801 ~1500 абонентов крутится + сервер, где биллинг стоит обычный core2duo с 2 гигами оперативы.... И ничего, запас еще есть... :)
А можешь конфигу на свою циску выкинуть? у меня такая же, но не получается настроить netflow :(

viewtopic.php?p=39105#39105

Lexx_1971
Сообщения: 13
Зарегистрирован: Вт дек 12, 2006 12:10
Откуда: Ростов-на-Дону

Управление таблицами ARP

Сообщение Lexx_1971 »

Разработана программа автоматического управления таблицами ARP на коммутаторах D-Link. Тестировалось на D-Link DES-3852.
Программа позволяет добавлять и удалять записи из таблицы ARP на коммутаторах в зависимости от состояния баланса пользователя в базе данных UTM5 5.2.1-006 и выше. Используется при блокировке доступа пользователя к локальной сети при неуплате абонентской платы за пользованием сетью. Работает по протоколу Telnet.
Кому интересно - пишите в ICQ 499122078.

Valentine
Сообщения: 1
Зарегистрирован: Вс окт 07, 2012 22:34

Сообщение Valentine »

Ребята, нужна консультация:
Я работаю в колледже, где нужно по-разному раздать интернет с модема.
У меня сейчас локальная сеть 192.168.1.0/255.255.255.0. (ADSL-модем - (комп-прокси) - сеть/инет).
Пользователей контролирую с помощью UserGate 5 (правила, фильтры сайтов, время когда есть интернет, скорость и т.д.).

Есть компьютер (1 сетевая, раздача DHCP от UserGate, Windows XP поскольку он же и мой раб для нужных дел), который я использую как прокси-сервер и пользователи: сотрудники (~100 компов) и студенты в общежитии (~200 ноутов через Wi-Fi).

Контроль над сотрудниками через UserGate меня устраивает, но студентам нужно сделать биллинг, потому что они согласны оплачивать интернет для расширения канала.
К нам уже приходят провайдеры с тарифами, что студент не потянет, но зачем "кормить" других если можно "съесть" самому, поэтому...
Моя цель: Возможно установить отдельно биллинг UMT5 под Windows на этот же комп с UserGate (порт 3128)? Хочу оставить контроль над сотрудниками по использованию интернету (через UserGate), а для студентов ввести платную форму пользования интернетом (UMT5 через VPN, если реально).

В будущем, если "фишка" пойдет (после реализации "Моей цели"), будут деньги на отдельный ADSL-интернет с двумя интерфейсами. Но пока - денег нет.

Закрыто