Предистория. У одного клиента есть офис. В офисе своя локальная сеть, выходящая в мир через proxy- SQUID (squid потому, что надо ограничивать трафик определенным группам пользователей, блокировать некоторый интернет ресурсы). Так, вот понадобилось некоторым сотрудникам вход в их офисную сеть из интернета. Ну и попросили меня настроить им такой доступ, за определенную мзду. Дальше мы и рассмотрим установку и настройку PPTPD.
Сразу хочу отметить, что у нас есть сервер под управлением ОС Ubuntu Server, у сервера есть две сетевые карты: eth0 - смотрит в мир и имеет постоянный ip адрес (например 192.168.0.1) и eth1 - смотрит в локальную сеть и имеет ip адрес (например 192.168.10.1).
Итак, исходные данные у нас есть.
Установка.
Приступаем к установке VPN сервера - PPTPD. Для установки PPTPD в Ubuntu необходимо набрать следующую команду: sudo apt-get install pptpd. Ждем, когда установиться наш VPN сервер.
Настройка.
Основные конфигурационные файлы pptpd находяться в /etc/ и имеет название pptpd.conf. И в папке /etc/ppp/
Приступим к редактированию файла pptpd.conf. Предварительно рекоменндую сделать backup данного файла. Откройте pptpd.conf в любом текстовом редакторе под root правами.
В данном файле должно быть следующее:
option /etc/ppp/pptpd-options
localip 192.168.0.1
remoteip 192.168.1.1-10
Первая строка указывает, где искать файл с дополнительными настройками ppp.
Во второй строке localip указываем ip адрес VPN сервера по которому будем осуществлять подключение.
В третьей строке remoteip прописываем адрес или диапазон адресов, которые будут выдаваться подключенным клиентам. Например:
remoteip 192.168.1.1 - клиенту выдается всего один адрес 192.168.1.1
remoteip 192.168.1.1,192.168.1.2 - клиентам выдаются адреса 192.168.1.1 и 192.16.1.2
remoteip 192.168.1.1-10 - клиентам выдаются адреса из диапазона с 192.168.1.1 до 192.168.1.10
Также Вы можете совмещать все методы: remoteip 192.168.1.1,192.168.2.1-10
Эти правила справедливы и для localip.
Сохраняем данный файл и переходим к настройке файла pptpd-options, который находиться в следующем каталоге /etc/ppp
Файл дополнительных настроек содержит следующее:
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
nodefaultroute
lock
nobsdcomp
auth
logfile /var/log/pptpd.log
В первой строке name pptpd мы указываем имя локального сервиса для авторизации.
Во второй, в третьей и четветой строках refuse-pap, refuse-chap, refuse-mschap мы отказываемся от авторизации методами pap, chap и mschap соответственно.
В пятой строке require-mschap-v2 мы указываем, что авторизация должна проходить по протоколу mschap-v2
В шестой строке require-mppe-128 мы указываем метод шифрования данных.
Cедьмая строка nodefaultroute означает, что не надо заменять роут используемый по умолчанию.
В восьмой строке lock мы создаем UUCP-стиль блокировки файла для псевдо терминала для обеспечения эксклюзивного доступа.
В девятой строке nobsdcomp мы отключаем сжатие.
В десятой строке auth указываем, что для подключения к VPN серверу надо пройти авторизацию.
В одиннадцатой строке мы указываем путь для log файла.
В данном файле Вы также можете указать какие использовать DNS сервера: ms-dns <ip_address>
На этом настройка файла дополнительных настроек ppp для pptpd завершен. Сохраняем и переходим к настройке аутентификации.
Открываем файл chap-secret, который находиться в папке /etc/ppp. И добавляем пользователей:
user1 pptpd password1 192.168.1.1
user2 pptpd password2 *
В первой строчке мы создали пользователя с логином user1 и паролем password1, которому при регистрации будет выдаваться ip адрес 192.168.1.1
Во второй строке мы добавили пользователя с логином user2 и паролем password2, которому будет присваиваться любой ip адрес из заданного диапазона remoteip.
Сохраняем файл.
Все на этом сервер VPN настроен. Перезапускаем сервер pptpd и может пользоваться VPN соединениями.
Команды PPTPD:
- sudo /etc/init.d/pptpd restart - перезапуск pptpd
- sudo /etc/init.d/pptpd start - запуск pptpd
- sudo /etc/init.d/pptpd stop - останов pptpd
Теперь можете создать VPN соединение на клиенте и проверить работоспособность нашего сервера. Единственное, для доступа в локальную сеть нужно настроить iptables, но это не должно вызвать затруднений. А на это я с Вами прощаюсь.
Если у Вас возникли вопросы, то задавайте их в комментариях. Я обязательно на них отвечу. Вы также можете подписаться на RSS-рассылку данного блога для того, чтобы не пропустить выхода новых материалов.
0 коммент.:
Отправить комментарий