Настройка RAS (VPN) сервера.
|
Настройка RAS (VPN) сервера. |
|
Использование RAS сервера службы RRAS позволяет -
| 1. | Реализовать защищенное подключение клиентов через VPN. Поддерживается PPTP и L2TP. Поддерживается подключение как одиночного клиента, так и нескольких сетей. |
| 2. | Реализовать подключение клиентов через модем. |
RAS сервер может быть настроен на серверных версиях Windows 2000/2003 на одном компьютере с Traffic Inspector. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS. О настройке этой службы смотрите раздел "Настройка RRAS".
Трафик RAS (Dial-In) клиентов снимается с интерфейса Internal службы RRAS. С точки зрения настройки программы это такой-же интерфейс и для RAS клиентов поддерживаются все функции программы, но имеются некоторые особенности -
| • | Для RAS клиентов не имеет смысла авторизация по MAC адресу. |
| • | В настройках RAS клиентов в Traffic Inspector должна быть включена соотв. галка. Эти клиенты не могут авторизовываться с обычного интерфейса. |
Порядок настройки следующий:
Настраиваем RRAS. При этом обязательно явно назначаем пул IP-адресов для RAS-сервера из отдельной сети (в окне общих настроек RRAS). Самый первый адрес из этого пула возьмет сам сервер, а остальные распределяются клиентам. Если адреса назначены некорректно, то в консолиTraffic Inspector IP адреса интерфейса RAS сервера будут выделены красным цветом.
Обратите внимание на количество выделенных портов для PPTP и L2TP для VPN сервера. По умолчанию там 5. Это значение должно соответствовать максимальному количеству соединений. Измените, если надо.
Настраиваем NAT. Интерфейс Internal назначаем в NAT как внутренний.
Если настраиваем VPN сервер, то надо позаботиться, что-бы VPN трафик со стороны клиента на сервер был разрешен "для всех" -
| • | PPTP сервер, клиенты внутри сети. Если включен внутренний firewall, то в его настройках надо включить галку PPTP сервер. Если L2TP, то там-же надо еще включить IPSec. Если внутреннего firewall нет, то никаких настроек тут не надо. |
| • | Клиенты снаружи - подключаются со стороны Интернет. Для PPTP надо в настройках внешнего firewall включить PPTP клиент, а также разрешить TCP/1723 на прием. Для L2TP надо дополнительно там-же разрешить галкой IPSec. |
Мы рекомендуем для RAS клиентов использовать авторизацию по IP адресу, это проще. Пропишите в Windows RAS клиентов. Если есть домен, то в нем, если нет, то локально. В свойствах клиента на закладке Dial-In пропишите адрес RAS клиента из пула адресов RAS-сервера.
В реализации RAS сервера Windows есть одна неприятная особенность - он допускает подключение нескольких клиентов с одним логином. При этом если клиенту назначен постоянный IP адрес, то для повторных подключений адреса уже назначаются динамически - берется первый свободный снизу пула адресов и тут могут быть коллизии. Мы рекомендуем следующее решение - назначать IP адреса клиентам не снизу пула, а пропустив достаточно большой диапазон, примерно равный количеству клиентов.
Далее надо добавить интерфейс Internal в Traffic Inspector. Там он будет виден под названием WAN (PPP/SLIP)-interface и IP-адрес на нем будет первый из пула IP адресов RAS-сервера. Начиная с версии 1.1.3 этот интерфейс добавляется автоматически.
После старта RRAS этот интерфейс сразу, как правило, не активен. Чтобы он появился, надо подключиться хотя бы одним клиентом.
В Traffic Inspector пропишите клиентов. Обязательно на закладке Авторизация включите галку Dial-In клиент.
Если у клиента используется агент, то у него прописываем IP-адрес RAS-сервера. Это первый адрес в пуле, тот, который у интерфейса Internal. Этот IP также следует использовать и для доступа к другим службам программы (HTTP прокси и SOCKS).
Процедура более тонкой настройки RAS сервера описана в справке Windows. Дополнительно может потребоваться настройка PPP-параметров (компрессии, аутентификации, шифрования и т.д.) и фильтрации в политиках RAS сервера.
Если что-то не работает, то:
| • | Включите запись всех логов RAS сервера, остановите Traffic Inspector и проверяйте без него. |
| • | Если без Traffic Inspector VPN соединение устанавливается, а с ним нет, то проверьте, разрешен ли VPN трафик на сервер. |
| • | Если соединение устанавливается, авторизация есть, но трафик не идет, то проверьте, не пересекся ли пул IP адресов RAS сервера с сетями других интерфейсов. Наличие авторизации также можно проверить работой через прокси сервер. |
Текущая страница справки: help.smart-soft.ru/index.html?taskrasserv.htm