Настройка RAS (VPN) сервера.

Previous pageReturn to chapter overviewNext page

 

Использование RAS сервера службы RRAS позволяет -

 

1.Реализовать защищенное подключение клиентов через VPN. Поддерживается PPTP и L2TP. Поддерживается подключение как одиночного клиента, так и нескольких сетей.
2.Реализовать подключение клиентов через модем.

 

RAS сервер может быть настроен на серверных версиях Windows 2000/2003 на одном компьютере с Traffic Inspector. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS. О настройке этой службы смотрите раздел "Настройка RRAS".

 

Трафик RAS (Dial-In) клиентов снимается с интерфейса Internal службы RRAS. С точки зрения настройки программы это такой-же интерфейс и для RAS клиентов поддерживаются все функции программы, но имеются некоторые особенности -

 

Для RAS клиентов не имеет смысла авторизация по MAC адресу.
В настройках RAS клиентов в Traffic Inspector должна быть включена соотв. галка. Эти клиенты не могут авторизовываться с обычного интерфейса.

 

Порядок настройки следующий:

 

Настраиваем RRAS. При этом обязательно явно назначаем пул IP-адресов для RAS-сервера из отдельной сети (в окне общих настроек RRAS). Самый первый адрес из этого пула возьмет сам сервер, а остальные распределяются клиентам. Если адреса назначены некорректно, то в консолиTraffic Inspector IP адреса интерфейса RAS сервера будут выделены красным цветом.

 

Обратите внимание на количество выделенных портов для PPTP и L2TP для VPN сервера. По умолчанию там 5. Это значение должно соответствовать максимальному количеству соединений. Измените, если надо.

 

Настраиваем NAT. Интерфейс Internal назначаем в NAT как внутренний.

 

Если настраиваем VPN сервер, то надо позаботиться, что-бы VPN трафик со стороны клиента на сервер был разрешен "для всех" -

 

PPTP сервер, клиенты внутри сети. Если включен внутренний firewall, то в его настройках надо включить галку PPTP сервер. Если L2TP, то там-же надо еще включить IPSec. Если внутреннего firewall нет, то никаких настроек тут не надо.
Клиенты снаружи - подключаются со стороны Интернет. Для PPTP надо в настройках внешнего firewall включить PPTP клиент, а также разрешить TCP/1723 на прием. Для L2TP надо дополнительно там-же разрешить галкой IPSec.

 

Мы рекомендуем для RAS клиентов использовать авторизацию по IP адресу, это проще. Пропишите в Windows RAS клиентов. Если есть домен, то в нем, если нет, то локально. В свойствах клиента на закладке Dial-In пропишите адрес RAS клиента из пула адресов RAS-сервера.

 

В реализации RAS сервера Windows есть одна неприятная особенность - он допускает подключение нескольких клиентов с одним логином. При этом если клиенту назначен постоянный IP адрес, то для повторных подключений адреса уже назначаются динамически - берется первый свободный снизу пула адресов и тут могут быть коллизии. Мы рекомендуем следующее решение - назначать IP адреса клиентам не снизу пула, а пропустив достаточно большой диапазон, примерно равный количеству клиентов.

 

Далее надо добавить интерфейс Internal в Traffic Inspector. Там он будет виден под названием WAN (PPP/SLIP)-interface и IP-адрес на нем будет первый из пула IP адресов RAS-сервера. Начиная с версии 1.1.3 этот интерфейс добавляется автоматически.

 

После старта RRAS этот интерфейс сразу, как правило, не активен. Чтобы он появился, надо подключиться хотя бы одним клиентом.

 

В Traffic Inspector пропишите клиентов. Обязательно на закладке Авторизация включите галку Dial-In клиент.

 

Если у клиента используется агент, то у него прописываем IP-адрес RAS-сервера. Это первый адрес в пуле, тот, который у интерфейса Internal. Этот IP также следует использовать и для доступа к другим службам программы (HTTP прокси и SOCKS).

 

Процедура более тонкой настройки RAS сервера описана в справке Windows. Дополнительно может потребоваться настройка PPP-параметров (компрессии, аутентификации, шифрования и т.д.) и фильтрации в политиках RAS сервера.

 

Если что-то не работает, то:

 

Включите запись всех логов RAS сервера, остановите Traffic Inspector и проверяйте без него.
Если без Traffic Inspector VPN соединение устанавливается, а с ним нет, то проверьте, разрешен ли VPN трафик на сервер.
Если соединение устанавливается, авторизация есть, но трафик не идет, то проверьте, не пересекся ли пул IP адресов RAS сервера с сетями других интерфейсов. Наличие авторизации также можно проверить работой через прокси сервер.

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?taskrasserv.htm

Сайт разработчиков Traffic Inspector