RRAS Routing and Remote Access Service (Farsi User Guide)
Resource: Windows 2000 Server Resource kit Internetworking Guide

Winteacher.com > Part2 > RRAS > Step1 > Remote Access Policies (RAP)

Remote Access Policies

در Windows 2000 یک Connection اول باید درقسمتProperty User Account دارای موارد لازم برای استفاده از یک RAS Server باشد و در مرحله بعد نیز باید RAP موجود بر روی سرور

نیز اجازه استفاده آنAccount را از سرویس Remote Access را بدهد پس دو مرحله وجود دارد در این قسمت بیشتر در مورد مرحله دوم یعنی RAP Remote Access Policy صحبت می شود .

در RAP شما موارد زیر را می توانید برای به رسمیت شناختن یک Connection در نظر بگیرید .

 

time of day and day of the week

زمانهای از روز که سرور اجازه استفاده از سرویس Remote Access را می دهد و روزهای موجود در هفته نیز همینطور.

the Windows 2000 group to which the dial-in user belongs

گروه بندی افراد و دادن این دسترسی به گروهای خاص مورد نظر Admin.

the type of remote access client (dial-up or VPN)

همچنین نوع بر قراری ارتباط افراد با سرور نیز می توان مشخص کرد .

در قسمت  NAS-Port-Type می توان این انتخاب را کرد.

 NAS-Port-Type : (Network Access Server-Port-Type)

البته کلیه مواردیکه درFigure1 می بینید می توان در RAP از آنها استفاده کرد .

 
 
 
 
 
 
 

Figure 1

 
 

Dial-in Constrains Tab

maximum session time

همچنین مشخص کردن مدت زمانی که یک Connection  می تواند فعالیت کند .

idle disconnect time

مدت زمانی که یک Connection می تواند برقرار باشد بدون فعالیت را نیز می توان مشخص کرد .

required secure authentication methods

می توان مواردی را که در مورد امنیت یک Connection وجود دارد را نیز چک کرد و از Protocol خاصی

برای  امنیت عمل Authentication از آن استفاده کرد .

 required encryption

همچنین می توان Encryption  Level را نیز مشخص کرد 40Bit,56Bit,128Bit .

 

شکل Figure 2 قسمت Profile یک RAP می باشد که موارد مهمی همانند موارد بالا در آن وجود دارد.

 
 
 

Figure 2

 
 
 

IP Tab

IP Address assignment (Framed-IP-Address)

دراین قسمت شما می توانید مشخص کنید که IP Address که قرار است توسط DHCP و یا Static Pool به 

RAS Client ها داده شود سرور چگونه با آن برخورد کند بهترین گزینه در شکل Figure 3 انتخاب شده که نسبت به

تنظیمات سرور دادن آدرس ها به Client ها انجام شود .

 
IP Filters

در این قسمت می توان عبور Packet ها را کنترل کرد .

 
 
 
 
 
 
 

Figure 3

 
 

Multilink Tab

Multilink Setting

در این قسمت تعداد Port های که RAS Server می تواند با آنها با RAS Client ارتباط برقرار کند را مشخص می کند.

 
Bandwidth Allocation Protocol (BAP) Setting

در صد استفاده از Bandwidth برای هر Connection را می توان مشخص کرد .

 
 
 
 
 
 
 
 
 

Figure 4

 
Multiple Remote Access Policies

شما می توانید چندین RAP برای چندین گروه RAS Client ایجاد کنید و یا چندین RAP برای یک گروه RAS Client ایجاد کنید .

With multiple remote access policies, different sets of conditions can be applied to different remote access clients or different requirements can be applied to the same remote access client based on the parameters of the connection attempt. For example, multiple remote access policies can be used to:

  • Allow or deny connections if the user account belongs to a specific group.

  • Define different days and times for different user accounts based on group membership.

  • Configure different authentication methods for dial-up and VPN remote access clients.

  • Configure different authentication or encryption settings for Point-to-Point Tunneling Protocol (PPTP) or Layer Two Tunneling Protocol (L2TP) connections.

  • Configure different maximum session times for different user accounts based on group membership.

  • Send network access server–specific RADIUS attributes to a RADIUS client.

 
RADIUS Server

زمانی که شما چندین RAS Server دارید مثلا یک VPN Server و یک Remote Access Server برای متمرکز کردن RAP این دو سرور می توانید از سرویس IAS استفاده کنید .

زمانی که شما از این سرویس استفاده کنید می توانید RAS Server های گوناگون را به عنوان Client این RADIUS Server در نظر بگیرید و سپس بر روی RADIUS Serv یک RAP ایجاد کنید

که بر روی  کلیه Client های خود اعمال کند در واقع بر روی VPN سرور و RAS سرور اعمال کند و آنها بر روی Client های خود .پس RAP موجود بر روی RADIUS Server بر کلیه RAP های موجود

در RAS Server ها Overwrite می شود و دارای قدرت بیشتر  می باشد .نقش RADIUS Server در شکل زیر کاملا مشخص می شود .

در مثال زیر اگر در RADIUS Server یک RAP مبنی بر اینکه فقط روز های شنبه و یکشنبه ارتباطات بر قرار شود وجود داشته باشند هر دو سرور VPN و RAS اجازه برقراری Connection را فقط در این

دو روز معرفی شده به Client های خود می دهند .

IAS : Internet Authentication Service

 

RADIUS server that provides authentication and accounting for the VPN server and the remote access server.

 

در مثال بالا VPN Serv برای اینکه افراد بتوانند با Electronic,Inc Intranet  ارتباط برقرار کند ایجاد شده و توسط RADIUS Serv کلیه User Account هایش مدیریت می شود این مثال در مورد

RAS Serv نیز به همین گونه می باشد . تذکر دلیل وجود Router در جلوی Electronic,Inc Network به این دلیل می باشد که در این Subnet از Class C استفاده می شود .

به همین دلیل باید باید در قسمت Routing Table موجود در VPN سرور موارد زیر تنظیم شود . قبل از هر چیز قسمت Network Configuration را کاملا بررسی کنید .

 

(The network configuration) The key elements of the network configuration are:

 

The Electronic, Inc. corporate intranet uses the private networks of 172.16.0.0 with a subnet mask of 255.240.0.0 and 192.168.0.0 with a subnet mask of 255.255.0.0. The corporate campus network segments use subnets of 172.16.0.0 and the branch offices use subnets of 192.168.0.0.

The VPN server computer is directly attached to the Internet by using a T3 (also known as a DS-3) dedicated WAN link.

The IP address of the WAN adapter on the Internet is 207.209.68.1 as allocated by the Internet service provider (ISP) for Electronic, Inc. The IP address of the WAN adapter is referred to on the Internet by the domain name vpn.electronic.microsoft.com.

The VPN server computer is directly attached to an intranet network segment that contains a RADIUS server, a file and Web server for business partner access, and a router that connects to the rest of the Electronic, Inc. corporate campus intranet. The intranet network segment has the IP network ID of 172.31.0.0 with the subnet mask of 255.255.0.0.

The VPN server computer is configured with a static pool of IP addresses to allocate to remote access clients and calling routers. The static pool of IP addresses is a subset of the intranet network segment (an on-subnet address pool).

 
 

1. Install hardware in the VPN server

The network adapter that is used to connect to the intranet segment and the WAN adapter that is used to connect to the Internet are installed according to the adapter manufacturer's instructions. Once drivers are installed and functioning, both adapters appear as local area connections in the Network Connections folder.

2. Configure TCP/IP on the LAN and WAN adapter

For the LAN adapter, an IP address of 172.31.0.1 with a subnet mask 255.255.0.0 is configured. For the WAN adapter, an IP address of 207.209.68.1 with a subnet mask 255.255.255.255 is configured. A default gateway is not configured for either adapter. DNS and WINS server addresses are also configured.

3. Install the Routing and Remote Access service

The Routing and Remote Access Server Setup Wizard is run. Within the wizard, the Remote Access (dial-up or VPN) option is selected.

While running the wizard, a static IP address pool with a starting IP address of 172.31.255.1 and an ending IP address of 172.31.255.254 is configured. This creates a static address pool for up to 253 VPN clients.

The default method of authenticating remote access and demand-dial connections is to use Windows authentication, which is appropriate in this configuration containing only one VPN server.

4. Enable the EAP authentication method

To enable the use of smart card-based remote access VPN clients and certificate-based calling routers, the network administrator enables Extensible Authentication Protocol (EAP) on the VPN server.

5. Configure static routes on the VPN server to reach intranet and Internet locations

To reach intranet locations, a static route is configured with the following settings:

  • Interface: The LAN adapter attached to the intranet
  • Destination: 172.16.0.0
  • Network mask: 255.240.0.0
  • Gateway: 172.31.0.2
  • Metric: 1

This static route simplifies routing by summarizing all destinations on the Electronic, Inc. intranet. This static route is used so that the VPN server does not need to be configured with a routing protocol.

 

در این قسمت به VPN سرور در Routing table گفته شده که هر Traffic که از طرف VPN Client ها ارسال می شود را توسط LAN Adapter خود به Gateway:172.31.0.2 که همان

Router می باشد ارسال کند توجه داشته باشید منظور ما از ایجاد یک VPN Server در اینجا برقراری ارتباط با امنیت بالا با Electronic,Inc Network می باشد . پس باید Traffic Packet را به

طرف Router موجود در سر راه ارسال کرد تا از آنجا به بعد را Router ترافیک را به داخل  Electronic,Inc ارسال کند .یادمان باشد که در قسمت Network Configuration توضیح داده شد که VPN

سرور به VPN Client از Range 172.16.0.0 Mask 255.240.0.0 آدرس می دهد در زمان بر قراری ارتباط با آنها .

 
To reach Internet locations, a static route is configured with the following settings:
  • Interface: The WAN adapter attached to the Internet
  • Destination: 0.0.0.0
  • Network mask: 0.0.0.0
  • Gateway: 0.0.0.0
  • Metric: 1

This static route summarizes all destinations on the Internet. This route allows the VPN server to respond to a remote access client or demand-dial router VPN connection from anywhere on the Internet.

Note

  • Because the WAN adapter creates a point-to-point connection to the ISP, any address can be entered for the gateway. The gateway address of 0.0.0.0 is an example. 0.0.0.0 is the unspecified IP address.

در این قسمت برای اینکه  VPN Server بتواند به کلیه PC های موجود در Internet جواب Packet های ارسالی آنها را بدهد باید از این Static Route استفاده کرد .

 

Configure a static route on the intranet ROUTER to reach all branch offices

To reach branch office locations from the intranet router, a static route is configured with the following settings:

  • Interface: The LAN adapter attached to the intranet

  • Destination: 192.168.0.0

  • Network mask: 255.255.0.0

  • Gateway: 172.31.0.1

  • Metric: 1

This static route simplifies routing by summarizing all destinations at branch offices of Electronic, Inc.

 

در این قسمت این Routing Table را برای سیستم های درون Electronic,Inc ایجاد می کنیم برای اینکه کلیه Traffic آنها از طریق LAN  Adapter خود Router که به سوی VPN Server است

به آدرس Gateway 172.31.0.1 که همان  VPN Server می باشد ارسال شود . ترافیکی که از طرف VPN Client به طرف Electronic,inc می آید توسط این Route باید جواب داده شود .

البته این Route  بر روی Intermediate System موجود که همان Router می باشد باید  تعریف کرد .

 
Connection Attempt Processing
 

برای برقراری یک Connection مجموعه ای از User,Pass و Property یک User Account و

یک یا جند RAP باید دست به دست هم بدهند تا بعد از اینکه یک Account همع این مراحل را رد کرد این ارتباط

برقرار شود در Figure 7.15 می توانید این مراحل را که بر روی Account اعمال می شود را مشاهده کنید.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Figure 7.15 Connection Attempt Processing

 
Troubleshooting Remote Access Policies

زمانی که یک مشکل برای Remote Access Policy رخ می دهد که شما دو یا چند RAP که با هم مشکل ایجاد می کنند تعریف کرده باشید در واقع نادرست RAP ها را تعریف کرده اید بیسشتر مواقع نیز امکان دارد

مشکل از RAS Clientو Connection های که بر روی انها تعریف شده باشد .

برای اینکه متوجه شوید کدام RAP باعث شده که  از برقراری ارتباط Connection ها با RAS Server جلوگیری کرده می توانید در قسمت Remote Access Logging به دنبال RAP مورد نظر که

باعث Reject شدن یک Connection شده بگردید .

 
RRAS Routing and Remote Access Service (Farsi User Guide)

LastUpdate:2005/04/05

Winteacher.com > Part2 > RRAS > Step1 > Remote Access Policies (RAP)