|
基于PPTP協(xié)議的VPN服務(wù)器的實現(xiàn)
由于開放源代碼的Linux操作系統(tǒng)具有安全��、穩(wěn)定和高效等特性,使其迅速成為主要的服務(wù)器操作系統(tǒng)之一。下面將介紹Linux操作系統(tǒng)(這里選擇與RedHat兼容的Linux發(fā)行版)下基于PPTP協(xié)議完全免費的VPN服務(wù)器解決方案����。
這里選擇了“Poptop-ThePPTPServerforLinux”作為Linux下的VPN服務(wù)器的軟件實現(xiàn)��。Poptop是一個開放源代碼項目,基于PPTP點對點隧道協(xié)議開發(fā),支持Windows95/98/Me/NT/2000/XP及Linux的PPTP客戶端����。Poptop與微軟的加密和認(rèn)證協(xié)議(MSCHAPv2,MPPE40-128bitRC4加密)完全兼容�����,如果使用RADIUS插件還可以與微軟網(wǎng)絡(luò)環(huán)境(LDAP、SAMBA)進(jìn)行無縫整合。
pptpd是Poptop中最重要的程序,它是Poptop的PPTP守護(hù)進(jìn)程,用來管理所有的基于PPTP隧道協(xié)議的VPN連接。當(dāng)pptpd接收到用戶的VPN接入請求后會自動調(diào)用pppd程序去完成相應(yīng)的認(rèn)證過程����,然后建立VPN連接�����。所以,要使Poptop正常工作必須安裝PPP軟件套件�����。下面將詳細(xì)介紹Poptop的安裝����、配置和應(yīng)用���。
1.PPP軟件包的安裝
一般的Linux發(fā)行版本都自帶PPP軟件包�,這里推薦使用Poptop官方站點(www.poptop.org)最新發(fā)布的PPP軟件包升級Linux發(fā)行版自帶的PPP包��。下載ppp-2.4.3-5.rhl9.i386.rpm后,使用命令“rpm-Uvhppp-2.4.3-5.rhl9.i386.rpm”完成對操作系統(tǒng)自帶PPP軟件包的升級。
2.Poptop服務(wù)器的安裝
從Poptop的官方發(fā)布站點下載最新的穩(wěn)定版本�����。本文選擇1.3.0的預(yù)編譯版pptpd-1.3.0-0.i386.rpm(此版本要求PPP版本高于2.4.3)�����。使用命令“rpm-ivhpptpd-1.3.0-0.i386.rpm”完成軟件的安裝�。
3.配置Poptop服務(wù)器
Poptop服務(wù)器的配置文件是/etc/pptpd.conf�����,主要配置如下:
debug
ppp/usr/sbin/pppd
option/etc/ppp/options.pptpd
localip192.168.0.1
remoteip192.168.0.128-254
上面代碼中����,debug指令打開調(diào)試模式���,將調(diào)試信息發(fā)送到系統(tǒng)日志(syslogd)�。ppp指令用來指定pppd程序的具體位置。option指令指明pptpd程序所需的配置文件的位置。localip指明建立VPN連接時VPN服務(wù)器端分配的IP地址����。remoteip指明建立VPN連接時其客戶端的IP地址��。這里需要指出IP地址的寫法,可以寫多個IP地址用逗號隔開,或者指定IP地址范圍,例如“192.168.0.234,192.168.0.245-249,192.168.0.254”��。這里要注意���,如果不設(shè)置localip����,VPN服務(wù)器將對每一個VPN連接在服務(wù)器端各分配一個IP地址和對應(yīng)的VPN客戶通信����。如果設(shè)置localip為單一的IP地址,則VPN服務(wù)器將對每一個VPN連接在服務(wù)器端都使用指定的IP地址和對應(yīng)的VPN客戶通信�。如果設(shè)置localip為一個IP地址范圍�,VPN服務(wù)器將對每一個VPN連接在服務(wù)器端都使用指定的IP地址和對應(yīng)的VPN客戶通信��;若地址分配完�����,則新的VPN連接將被拒絕。
4.有關(guān)PPP的配置
編輯PPP的配置文件/etc/ppp/options.pptpd(在poptop配置文件中option指令指定)為如下命令:
debugnamepptpdauthrequire-chapproxyarp
上面代碼中�����,name指令用來指定服務(wù)器名�����;auth用來設(shè)置需要使用/etc/ppp/chap-secrets文件進(jìn)行身份驗證��,require-chap設(shè)置使用chap認(rèn)證;proxyarp用來實現(xiàn)arp代理功能���。
接下來編輯chap安全認(rèn)證文件/etc/ppp/chap-secrets為如下一行命令:
testpptpd123*
其中test是ppp賬號;pptpd是在/etc/ppp/options.pptpd中設(shè)置的服務(wù)器名�;123是test賬號的密碼�����;“*”表示允許test賬號從任何主機(jī)登入PPP服務(wù)器,類似的可以添加其它VPN用戶��。
5.將Poptop的運行情況加入系統(tǒng)日志
編輯syslogd的配置文件/etc/syslog.conf���,增加如下一行命令:
daemon.debug/var/log/pptpd.log
然后重新啟動syslogd守護(hù)進(jìn)程�,這樣VPN服務(wù)器的運行日志將被保存在/var/log/pptpd.log文件中。
6.啟動Poptop服務(wù)器
使用如下指令啟動Poptop服務(wù):
servicepptpdstart
或
/etc/rc.d/init.d/pptpdstart
至此�,VPN服務(wù)器已經(jīng)可以接受VPN客戶端撥入��,如果有問題,可以查看日志/var/log/pptpd.log
Windows客戶端遠(yuǎn)程撥入VPN服務(wù)器
Poptop支持Windows和Unix等多種類型操作系統(tǒng)的VPN客戶端�,這里以WindowsXP為客戶端介紹撥號進(jìn)入VPN服務(wù)器����。由于Windows系統(tǒng)內(nèi)置PPTP協(xié)議的支持���,所以可以直接進(jìn)行撥號進(jìn)入VPN服務(wù)器�,以下是詳細(xì)過程。
1.建立VPN連接
通過新建網(wǎng)絡(luò)連接向?qū)Ы⒁粋VPN連接���。“網(wǎng)絡(luò)連接類型”選擇“連接到我的工作場所的網(wǎng)絡(luò)(O)”,“網(wǎng)絡(luò)連接”選擇“虛擬專用網(wǎng)絡(luò)連接(V)”�,“連接名”可以輸入自己要連接的公司名稱�����,“VPN服務(wù)器選擇”輸入VPN服務(wù)器的公網(wǎng)IP地址。單擊“完成”即可建立VPN連接�。
2.撥號進(jìn)入VPN服務(wù)器
雙擊新建立的VPN連接的快捷方式��,在“連接”對話窗口中輸入在VPN服務(wù)器上設(shè)置的用戶名和密碼。
取消“屬性”中“安全”標(biāo)簽下的“要求數(shù)據(jù)加密(沒有加密就斷開)(I)”復(fù)選框����。
3.查看已建立的VPN連接
在VPN客戶端查看連接的狀態(tài)���。
在VPN服務(wù)器上使用ifconfig命令查看網(wǎng)絡(luò)狀態(tài)�����。
為VPN服務(wù)器啟用MPPE加密
上面的設(shè)置雖然可以實現(xiàn)遠(yuǎn)程用戶撥入VPN服務(wù)器,但是由于還沒有啟動更安全的加密�,所以存在一定的安全隱患�����。這里介紹在VPN服務(wù)器上啟用MPPE加密��,以增強(qiáng)VPN通信的安全性�。
RFC3078文檔對MPPE加密進(jìn)行了詳細(xì)的描述��,它的全稱是微軟點到點加密協(xié)議�。這里需要注意��,Linux2.6.15內(nèi)核以后的版本都內(nèi)置了對MPPE的支持�,之前的版本則不支持MPPE�����,如果使用的內(nèi)核是2.6.15以前的版本�����,就必須對內(nèi)核升級,加入對MPPE的支持。
1.MPPE加密功能的安裝與配置
首先需要安裝動態(tài)內(nèi)核模塊支持DKMS(DynamicKernelModuleSupport)。DKMS創(chuàng)建了允許內(nèi)核的依賴模塊駐留的一個框架����,利用這個框架使得升級內(nèi)核時內(nèi)核模塊的重建變得非常容易��。利用DKMS還可以使Linux的銷售商在新內(nèi)核發(fā)布之前可以提供驅(qū)動程序。這里將使用DKMS在Linux內(nèi)核中加入支持MPPE功能的模塊。DKMS的最新版本可以從www.poptop.org獲得����,使用“rpm-ivhdkms-2.0.10-1.noarch.rpm”命令完成安裝��。
接下來需要安裝內(nèi)核的MPPE支持包“kernel_ppp_mppe”可以從 www.poptop.org下載最新的二進(jìn)制RPM包,使用rpm-ivhkernel_ppp_mppe-1.0.2-3dkms.noarch.rpm命令完成安裝。需要注意的是,必須先從Linux安裝光盤安裝內(nèi)核的源代碼包,否則“kernel_ppp_mppe”無法進(jìn)行正常的安裝��。
需要測試一下MPPE模塊��,如果系統(tǒng)內(nèi)核已經(jīng)加載了“ppp_generic”模塊,則必須先將其卸載(使用“rmmodppp_generic”命令)或者重新啟動操作系統(tǒng)后再測試。測試指令為“modprobeppp-compress-18&&echosuccess”�,如果輸出“success”���,則表明模塊加載成功�。運行指令“lsmod”可以看到內(nèi)核模塊����。
另外���,由于MPPE需要使用“MSChapV2”進(jìn)行認(rèn)證�,所以需要在PPP的配置文件中加入“require-mschap-v2”����。
2.Windows客戶端的配置
在VPN撥號的“連接”對話窗口中選擇“屬性”,選中“屬性”中“安全”標(biāo)簽下的“要求數(shù)據(jù)加密(沒有加密就斷開)(I)”復(fù)選框,這樣就可以使用MPPE的128位加密來保證VPN連接的安全性�。在VPN客戶端查看連接的狀態(tài)����,可以看到已經(jīng)使用了MPPE的128位加密��。
Linux客戶端遠(yuǎn)程撥入VPN服務(wù)器
目前的Linux操作系統(tǒng)發(fā)行版本一般都沒有內(nèi)置PPTP協(xié)議的支持��,使用Linux撥號進(jìn)入VPN服務(wù)器之前必須完成相關(guān)的協(xié)議軟件和配置。下面以RedHat9.0為例介紹其詳細(xì)過程。
本文將使用一個開放源代碼的基于Linux的PPTPClient軟件套件作為PPTP服務(wù)器的客戶端程序�。
首先是安裝MPPE的相關(guān)模塊�����,其安裝過程和VPN服務(wù)器的安裝過程相同。然后升級PPP軟件包�����,軟件包的下載和安裝與上面“Linux下基于PPTP協(xié)議的VPN服務(wù)器的實現(xiàn)”中的第一步完全相同����,這里不再贅述��。
PPTPClient軟件包需要從其官方網(wǎng)站pptpclient.sourceforge.net下載���,這里使用1.7.0版本�。安裝命令為“rpm-ivhpptp-1.7.0-1.src.rpm”���。
PPTPClient的圖形化配置工具需要使用解釋器php-pcntl和GTK+圖形接口��,它們的下載地址是prdownloads.sourceforge.net/pptpclient/選擇最新版本�,安裝命令分別是“rpm-ivhphp-pcntl-4.3.10-1.i386.rpm”和“rpm-ivhphp-gtk-pcntl-1.0.2-1.i386.rpm”�����。接下來從上面的鏈接下載最新的圖形配置程序“pptpconfig-20060214-1.noarch.rpm”��,安裝命令為“rpm-ivhpptpconfig-20060214-1.noarch.rpm”。
配置程序pptpconfig需要以root用戶運行�,在Linux圖形界面的終端中輸入“pptpconfig”命令����,出現(xiàn)配置界面���。
◆在配置窗口中輸入相關(guān)的VPN服務(wù)器的信息�����,在Encryption標(biāo)簽下選中“RequireMicrosoftPoint-to-PointEncryption(MPPE)”�。選擇“Add”按鈕之后�����,完成VPN連接的配置。選擇“starting...”按鈕��,出現(xiàn)VPN連接窗口����。
◆單擊“Ping”按鈕向VPN服務(wù)器的內(nèi)部網(wǎng)絡(luò)地址發(fā)送測試數(shù)據(jù)包。
◆在終端中使用“ifconfig”可以看到新建立的VPN連接����。
至此���,Linux客戶端已經(jīng)和VPN服務(wù)器建立了連接��,可以通過“PPP0”接口訪問部門的內(nèi)部網(wǎng)絡(luò)�����。
通過本文的介紹,可以看出基于Linux的VPN解決方案有穩(wěn)定可靠���,為企業(yè)提供了是一種行之有效的VPN解決方案。
本文出自:億恩科技【www.zuiquanben.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
