|
Настройка RAS-(VPN-)сервера |
  
|
|
Настройка RAS-(VPN-)сервера |
|
Использование RAS-сервера службы RRAS позволяет:
| 1. | Реализовать защищенное подключение пользователей через VPN. Поддерживается PPTP и L2TP. Поддерживается подключение как одиночного пользователя, так и нескольких сетей. |
| 2. | Реализовать подключение пользователей через модем. |
RAS-сервер может быть настроен на серверных версиях Windows 2000/2003 на одном компьютере с Traffic Inspector. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS. О настройке этой службы смотрите раздел "Настройка RRAS".
Трафик RAS (Dial-In) пользователей снимается с интерфейса Internal службы RRAS. С точки зрения настройки программы, это такой же интерфейс, и для RAS-пользователей поддерживаются все функции программы. Но отмечаются некоторые особенности:
| • | Для RAS-пользователей не имеет смысла авторизация по MAC-адресу. |
| • | В настройках RAS-пользователей в Traffic Inspector должна быть включена соответствующая галка. Эти пользователи не могут авторизовываться с обычного интерфейса. |
Порядок настройки следующий
Настраиваем RRAS. При этом нужно явно назначить пул IP-адресов для RAS-сервера из отдельной сети (в окне общих настроек RRAS). Самый первый адрес из этого пула возьмет сам сервер, а остальные назначатся пользователям. Если адреса назначены некорректно, то в консоли Traffic Inspector IP-адреса интерфейса RAS-сервера будут выделены красным цветом.
Обратите внимание на количество выделенных портов для PPTP и L2TP для VPN-сервера. По умолчанию их 5. Это значение должно соответствовать максимальному количеству соединений. Если потребуется, измените.
Настраиваем NAT. Интерфейс Internal назначаем в NAT как внутренний.
Если настраиваем VPN-сервер, то следует позаботиться о том, чтобы VPN-трафик со стороны пользователя на сервер был разрешен для всех:
| • | PPTP-сервер, пользователи внутри сети. Если включен внутренний Firewall, то в его настройках включите галку "PPTP-сервер". Если L2TP - включите еще и IPSec. Если внутреннего Firewall нет, то никаких настроек здесь не требуется. |
| • | Пользователи снаружи: подключаются со стороны Интернета. Для PPTP в настройках внешнего Firewall следует включить PPTP-клиент, а также разрешить TCP/1723 на прием. Для L2TP надо дополнительно, там же, разрешить галкой IPSec. |
Рекомендуем для RAS-пользователей использовать авторизацию по IP-адресу - это проще. Пропишите в Windows RAS-пользователей. Если есть домен, то в нем; если нет - локально. В свойствах пользователя на закладке Dial-In пропишите адрес RAS-клиента из пула адресов RAS-сервера.
В реализации RAS-сервера Windows есть одна неприятная особенность: он допускает подключение нескольких пользователей с одним логином. При этом если пользователю назначен постоянный IP-адрес, то для повторных подключений адреса уже назначаются динамически - берется первый свободный снизу пула адресов, что может привести к возникновению коллизий. Рекомендуем следующее решение: назначать IP-адреса пользователей не снизу пула, а пропустив достаточно большой диапазон, примерно равный количеству пользователей.
Далее надо добавить интерфейс Internal в Traffic Inspector, где он будет виден под названием WAN (PPP/SLIP)-interface и IP-адрес на нем будет первый из пула IP-адресов RAS-сервера. Начиная с версии 1.1.3, этот интерфейс добавляется автоматически.
После старта RRAS этот интерфейс сразу, как правило, не активен. Чтобы он появился, надо подключиться хотя бы одному пользователю.
В Traffic Inspector пропишите пользователей. Обязательно на закладке "Авторизация" включите галку Dial-In клиент.
Если у пользователей используется агент, то у него прописываем IP-адрес RAS-сервера. Первый адрес в пуле -это IP-адрес интерфейса Internal. Этот IP также следует использовать и для доступа к другим службам программы (HTTP-прокси и SOCKS).
Процедура более тонкой настройки RAS-сервера описана в справке Windows. Дополнительно может потребоваться настройка PPP-параметров (компрессии, аутентификации, шифрования и т.д.) и фильтрации в политиках RAS-сервера.
По возникновении проблем:
| • | Включите запись всех логов RAS-сервера, остановите Traffic Inspector и проверяйте без него. |
| • | Если без Traffic Inspector VPN-соединение устанавливается, а с ним нет - проверьте, разрешен ли VPN-трафик на сервер. |
| • | Если соединение устанавливается, авторизация есть, но трафик не идет - проверьте, не пересекся ли пул IP-адресов RAS-сервера с сетями других интерфейсов. Наличие авторизации также можно проверить работой через прокси-сервер. |
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?taskrasserv.htm