linux VPN设置装备摆设声名一、PPTP情形需遗敉件包:1.Dkms2.kernel_ppp_mppe MPPE (Microsoft Point to Point Encryption,微软点对点加密)3.ppp PPP(Point-to-Point Protocol,获得点和谈)4.pptpd二、设置装备摆设轨范如下:1.查看还需安装哪些软件,因为RHEL 5 的 2.6.18 内核已经集成了MPPE和高版本的ppp [root@viong ~]# rpm -q pppppp-2.4.4-2.el5[root@viong ~]# strings ‘/usr/sbin/pppd’|grep -i mppe|wc -l42搜检PPP是否撑持MPPE,若结不美观显示0则暗示不撑持,而30或更年夜的数字就暗示撑持。[root@viong ~]# modprobe ppp-compress-18 echo ok! MPPE was found !ok! MPPE was found !搜检内核MPPE补丁是否安装成功:若结不美观显示ok! MPPE was … 继续阅读
linux VPN设置装备摆设声名一、PPTP情形需遗敉件包:1.Dkms2.kernel_ppp_mppe MPPE (Microsoft Point to Point Encryption,微软点对点加密)3.ppp PPP(Point-to-Point Protocol,获得点和谈)4.pptpd二、设置装备摆设轨范如下:1.查看还需安装哪些软件,因为RHEL 5 的 2.6.18 内核已经集成了MPPE和高版本的ppp [root@viong ~]# rpm -q pppppp-2.4.4-2.el5[root@viong ~]# strings ‘/usr/sbin/pppd’|grep -i mppe|wc -l42搜检PPP是否撑持MPPE,若结不美观显示0则暗示不撑持,而30或更年夜的数字就暗示撑持。[root@viong ~]# modprobe ppp-compress-18 echo ok! MPPE was found !ok! MPPE was found !搜检内核MPPE补丁是否安装成功:若结不美观显示ok! MPPE was found !则暗示成功。[root@viong ~]# rpm -q dkmspackage dkms is not installed[root@viong ~]# rpm -q pptpdpackage pptpd is not installed2. 安装软件[root@viong soft]# rpm ivh dkms-2.0.17.5-1.noarch.rpm[root@viong soft] rpm ivh pptpd-1.3.4-1.rhel5.1.i386.rpm3.改削pptpd.conf设置装备摆设参数[root@viong soft]# vi /etc/pptpd.conf95 # (Recommended) 96 #localip 192.168.100.110 97 #remoteip 192.168.100.130-150 改削为: 95 # (Recommended) 96 localip 192.168.100.110 97 remoteip 192.168.100.130-150注: /etc/pptpd.conf 常用设置装备摆设option /etc/ppp/options.pptpdPPP组件将使用的设置装备摆设文件;stimeout 120起头PPTP节制毗连的超不时刻,以秒计;debug把所有debug信息记入系统日志/var/log/messages;localip 192.168.1.10处事器VPN虚拟接口将分配的IP地址,可设置为与VPN处事器内网地址不异网段的IP,也可设置为另一网段的IP;remoteip 192.168.1.11-30客户端VPN毗连成功后将分配的IP地址段,同样可设置为与VPN处事器内网地址不异网段的IP地址段,也可以设置为另一网段的IP地址段;logwtmp 该功能项的浸染是使用wtmp记实客户端的毗连与断开信息4.改削options.pptpd设置装备摆设参数/etc/ppp/options.pptpd 默认设置装备摆设就ok注:/etc/ppp/options.pptpd常用设置装备摆设name pptpdpptpd server 的名称。refuse-pap拒绝 pap 身份验证模式。refuse-chap拒绝 chap 身份验证模式。refuse-mschap拒绝 mschap 身份验证模式。require-mschap-v2在端点进行毗连握手时需要使用微软的 mschap-v2 进行自身验证。require-mppe-128MPPE 模块使用 128 位加密。ms-dns 61.139.2.69ms-dns 202.98.96.68ppp 为 Windows 客户端供给 DNS 处事器 IP 地址,第一个 ms-dns 为 DNS Master,第二个为 DNS Slave。proxyarp成立 ARP 代办代庖键值。debug开启调试模式,相关信息同样记其实 /var/logs/message 中。lock锁定客户端 PTY 设备文件。nobsdcomp禁用 BSD 压缩模式。novjnovjccomp禁用 Van Jacobson 压缩模式。nologfd禁止将错误信息记实到尺度错误输出设备(stderr)5.改削chap-secrets设置装备摆设参数[root@viong soft]# vi /etc/ppp/chap-secrets# Secrets for authentication using CHAP# client serversecret IP addressezhongyingnan * 123 *注:zhongyingnan用户账号*代表自动识别当前处事器主机名,也可以手动设置装备摆设123 用户密码*代表自动分配可用的IP地址,可按照需要指定IP地址也可以使用vpnuser呼吁来进行设置装备摆设:# vpnuser add viong 123添加一个viong用户6.开启路由转发因为VPN客户端在拨号后现实是经由过程处事器外网网卡进行数据通信的,那么要访谒内网网段的地址就必需开启数据包转发,使外网网卡的数据包能够转发到内网网卡上[root@viong soft]# vi /etc/sysctl.conf6 # Controls IP packet forwarding7 net.ipv4.ip_forward = 0 改削为:6 # Controls IP packet forwarding7 net.ipv4.ip_forward = 1[root@viong soft]# sysctl -p /etc/sysctl.conf路由转发当即生效7. 防火墙设置装备摆设对于默认开启了SELinux认证:需执行以下呼吁使pppd与pptp穿透SELinux[root@viong soft]# setsebool pppd_disable_trans 1[root@viong soft]# setssebool pptp_diable_trans 1附上封锁SELinux认证体例:编纂vi /etc/sysconfig/selinux文件,设置装备摆设以下选项SELINUX=disabled如不美观不重启生效就执行以下呼吁使改削生效[root@viong soft]# setenforce 0对于开启了iptables过滤的主机,需要开放VPN处事的端口:47 1723 和gre和谈编纂 /etc/sysconfig/iptables文件,插手以下轨则-A RH-Firewall-1-INPUT -p gre -j ACCEPT (这个和谈我在2.6的防火墙开欠亨)-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 47 -j ACCEPT-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 1723 -j ACCEPT[root@viong soft]# service iptables restart重启iptables直接生效 用Iptables做NAT处事在VPN客户端成功拨号往后,当地收集的默认网关会变为VPN处事器的VPN内网地址,这样会导致客户端只能够毗连VPN处事器及其地址的内网,而不能访谒互联网;[root@viong ~]#iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -j SNAT –to 192.168.15.50[root@viong ~]#echo iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -j SNAT –to 192.168.15.50 /etc/rc.local插手到/etc/rc.local开机自动启动8.启动pptp[root@viong ~]#service pptpd restart[root@viong ~]#netstat -ntpl |grep 1723tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 2585/pptpd三、测试拨号是否成功客户端:Win XPC:Documents and SettingsAdministratoripconfigWindows IP ConfigurationEthernet adapter 当地毗连: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 172.168.100.183 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 172.168.100.127PPP adapter test: Connection-specific DNS Suffix. : IP Address. . . . . . . . . . . . : 192.168.100.100 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : 192.168.100.100C:Documents and SettingsAdministratorping 192.168.100.110Pinging 192.168.126.1 with 32 bytes of data:Reply from 192.168.126.1: bytes=32 time=144ms TTL=127Reply from 192.168.126.1: bytes=32 time=4ms TTL=127C:Documents and SettingsAdministratorping www.baidu.com Pinging www.a.shifen.com [119.75.216.20] with 32 bytes of data:Reply from 119.75.216.20: bytes=32 time=33ms TTL=52Reply from 119.75.216.20: bytes=32 time=27ms TTL=52经由过程以上测试,声名已经成功生效了.本文出自 “起飞与胡想携行” 博客,请务必保留此出处http://lovevickie.blog.51cto.com/1576116/521466
No comments:
Post a Comment