美创科技技术社区

注册

 

发新话题 回复该主题

搭建VPN手记 [复制链接]

1#


应用场景
实现任何时间,任何地点通过internet连接自己的测试环境。
环境架构
remote: 可以在任何的外网(理论上)
internet: 本案例中是走上海铁通的网络
adsl: 上海贝尔的家用ADSL modem
router: TP-LINK WR340G v5 081520C2 家用的,100元一个 173.10.10.1
test host: 一个内网的服务器 173.10.10.191
vpn ser: ole5.5_64 还是台虚拟机 173.10.10.103
安装过程
1. 关闭iptables,图简单。
2. 需要软件
dkms-2.0.10-1.noarch.rpm
kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
pptpd-1.3.4-1.rhel5.1.x86_64.rpm
3. 2个测试
测试 验证加密模块
# modprobe ppp-compress-18 && echo ok
我当时是在安装
dkms-2.0.10-1.noarch.rpm
kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
并且重启主机后才验证通过的
测试
# cat /dev/net/tun
这个我也不知道是干什么用的,只是照着做
附:
[root@localhost ~]# modprobe ppp-compress-18 && echo ok
ok
[root@localhost ~]# cat /dev/net/tun
cat: /dev/net/tun: File descriptor in bad state
4. 修改内核参数
# vim /etc/sysctl.conf
net.ipv4.ip_forward=1
# sysctl –p
开启ip转发功能,这个是针对有跨网段访问来说,不过很多参考中都开启,所以,我也开启。
主要配置
/etc/pptpd.conf #核心文件
/etc/ppp/options.pptpd #参数文件
/etc/ppp/chap-secrets #vpn client用户名密码
[root@localhost ~]# vim /etc/pptpd.conf
option /etc/ppp/options.pptpd
logwtmp
localip 173.10.10.103 #vpn ser的地址
remoteip 173.10.10.40-99 #client连入后,被分配到的地址
[root@localhost ~]# vim /etc/ppp/options.pptpd
name localhost.localdomain #需要和/etc/ppp/chap-secrets中的server名字一致
refuse-pap #这是密码验证的方式refuse代表拒绝,require代表采用
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128 #这个应该和前面的RPM包相关
ms-dns 173.10.10.1 #client进入网络后使用的DNS地址
proxyarp
debug #开启后有详细日志
dump
lock
nobsdcomp
novj
novjccomp
nologfd
注:其实大部分是默认的,不需要修改
[root@localhost ~]# vim /etc/ppp/chap-secrets
用户名 主机名 密码 ip地址
test localhost.localdomain 1234 *
日志设置
[root@localhost ~]# vim /etc/syslog.conf
# Save pptd messages in pptpd.log
daemon.debug /var/log/pptpd.log
将日志单独存放,否则就需要到/var/log/message里面去大海捞针
网络设置
将VPN ser 放入ROUTER的DMZ区
最好内网不要是 192.168.1.x
注意事项
本案例没有考虑安全加固,比如iptables,比如独立网段,所以任何搭建后可能发生的安全事故,需要自己衡量;
其实搭建的过程中有很长一部分是在测试,这里提供一个思路:
先通过内网连接vpn,确保配置准确
再通过外网连接,确保isp支持(在测试过程中,发现isp竟然不支持,后和isp供应商沟通后,修改了adsl账号,实现对vpn的支持)
分享 转发
TOP
发新话题 回复该主题