pptpd | Записки системного администратора

Записи с меткой ‘pptpd’

Установка и настройка PPTP-сервера на Debian8/Centos7

Июль 5th, 2016

Evgeniy Kamenev

Установка PPTPD-сервера Debian8

# apt-get install pptpd

1	# apt-get install pptpd

Centos7

# yum install pptpd

1	# yum install pptpd

Настройка PPTPD-сервера

# cp /etc/pptpd.conf /etc/pptpd.conf~

1	# cp /etc/pptpd.conf /etc/pptpd.conf~

# nano /etc/pptpd.conf

1	# nano /etc/pptpd.conf

# Указывает демону pptpd на путь к файлу с остальными настройками PPTP-соединения, такими как используемое шифрование канала и способ авторизации PPTP-пользователей
option /etc/ppp/pptpd-options

# Передача PPTP-серверу лог аутентификации пользователей через стандартную функцию logwtmp, что даст возможность автоматизировать процесс сбора информации по заходам клиентов
logwtmp

# Данная опция позволяет явным образом указать диапазон IP-адресов или отдельный IP-адрес, который будет использоваться в качестве адреса PPTP-сервера в виртуальной сети. Если указан один IP-адрес, то он применяется для всех PPTP-клиентов, в противном случае (если указан диапазон адресов) каждому клиенту назначается свой виртуальный адрес сервера, поэтому их количество должно совпадать со значением, описанным в опции remoteip. Задавать несколько IP-адресов сервера необходимо в тех случаях, когда для каждого клиента указывается персональный IP-адрес (например, в файле chap-secrets), благодаря чему можно ограничить доступ каждого клиента в определенный участок локальной сети на основании правил iptables. Параметр ip-address может выглядеть следующим образом: 10.0.0.1, когда указан один адрес для всех клиентов, либо 10.0.0.2-254, когда указывается диапазон адресов.
localip 10.0.0.1

# Диапазон адресов для клиентов PPTP-сервера
remoteip 10.0.0.100-200

# Указывает демону pptpd на путь к файлу с остальными настройками PPTP-соединения, такими как используемое шифрование канала и способ авторизации PPTP-пользователей

option /etc/ppp/pptpd-options

# Передача PPTP-серверу лог аутентификации пользователей через стандартную функцию logwtmp, что даст возможность автоматизировать процесс сбора информации по заходам клиентов

logwtmp

# Данная опция позволяет явным образом указать диапазон IP-адресов или отдельный IP-адрес, который будет использоваться в качестве адреса PPTP-сервера в виртуальной сети. Если указан один IP-адрес, то он применяется для всех PPTP-клиентов, в противном случае (если указан диапазон адресов) каждому клиенту назначается свой виртуальный адрес сервера, поэтому их количество должно совпадать со значением, описанным в опции remoteip. Задавать несколько IP-адресов сервера необходимо в тех случаях, когда для каждого клиента указывается персональный IP-адрес (например, в файле chap-secrets), благодаря чему можно ограничить доступ каждого клиента в определенный участок локальной сети на основании правил iptables. Параметр ip-address может выглядеть следующим образом: 10.0.0.1, когда указан один адрес для всех клиентов, либо 10.0.0.2-254, когда указывается диапазон адресов.

localip 10.0.0.1

# Диапазон адресов для клиентов PPTP-сервера

remoteip 10.0.0.100-200

Настройка файла с опциями pptp-сервера Debian8

# cp /etc/ppp/pptpd-options /etc/ppp/pptpd-options~

1	# cp /etc/ppp/pptpd-options /etc/ppp/pptpd-options~

# nano /etc/ppp/pptpd-options

1	# nano /etc/ppp/pptpd-options

Centos7

# cp /etc/ppp/options.pptpd /etc/ppp/options.pptpd~

1	# cp /etc/ppp/options.pptpd /etc/ppp/options.pptpd~

# nano /etc/ppp/options.pptpd

1	# nano /etc/ppp/options.pptpd

# Название сервиса(имя) для аутентификации. Должно совпадать с именем во втором поле файла аутентификации /etc/ppp/chap-secrets entries
name pptpd

# Запрет авторизации по старым протоколам аутентификации
refuse-pap
refuse-chap
refuse-mschap

# Аутентификация пользователей по самому защищенному протоколу MS CHAP v2
require-mschap-v2

# Максимально возможный для PPTP механизм шифрования
require-mppe-128

# Всего в конфигурационном файле может существовать две записи этой опции. С ее помощью можно указать первичный и вторичный DNS сервера для PPTP-клиентов
ms-dns 8.8.8.8
ms-dns 8.8.4.4

#Включение этого параметра позволяет PPTP-клиентам работать с локальной сетью без добавления правил маскарадинга (NAT) в цепочки брандмауэра iptables.
#Данная функция действует через средства ARP (Address Resolution Protocol) и его таблицы.
#Однако таким образом нельзя регулировать доступ в разные подсети клиентов и доступ конкретных клиентов.
#Чтобы эта функция работала, необходимо, чтобы осуществлялось перенаправление пакетов ядром (чтобы функция ip_forward была равна единице).
#Если используются цепочки iptables, этот параметр следует закомментировать.
#По умолчанию данная опция включена.
#proxyarp

#Выполняем блокировку соединения
lock

#Отключаем компрессию
nobsdcomp

#Параметры запрещают компрессию, которая используется в ранних клиентах Windows 9x/Mе. По # умолчанию опция включена.
novj
novjccomp

#Данная опция блокирует запись в системный журнал через системную функцию stderr. По умолчанию она активна. Для получения отладочной информации ее необходимо закомментировать
nologfd

# Название сервиса(имя) для аутентификации. Должно совпадать с именем во втором поле файла аутентификации /etc/ppp/chap-secrets entries

name pptpd

# Запрет авторизации по старым протоколам аутентификации

refuse-pap

refuse-chap

refuse-mschap

# Аутентификация пользователей по самому защищенному протоколу MS CHAP v2

require-mschap-v2

# Максимально возможный для PPTP механизм шифрования

require-mppe-128

# Всего в конфигурационном файле может существовать две записи этой опции. С ее помощью можно указать первичный и вторичный DNS сервера для PPTP-клиентов

ms-dns 8.8.8.8

ms-dns 8.8.4.4

#Включение этого параметра позволяет PPTP-клиентам работать с локальной сетью без добавления правил маскарадинга (NAT) в цепочки брандмауэра iptables.

#Данная функция действует через средства ARP (Address Resolution Protocol) и его таблицы.

#Однако таким образом нельзя регулировать доступ в разные подсети клиентов и доступ конкретных клиентов.

#Чтобы эта функция работала, необходимо, чтобы осуществлялось перенаправление пакетов ядром (чтобы функция ip_forward была равна единице).

#Если используются цепочки iptables, этот параметр следует закомментировать.

#По умолчанию данная опция включена.

#proxyarp

#Выполняем блокировку соединения

lock

#Отключаем компрессию

nobsdcomp

#Параметры запрещают компрессию, которая используется в ранних клиентах Windows 9x/Mе. По # умолчанию опция включена.

novj

novjccomp

#Данная опция блокирует запись в системный журнал через системную функцию stderr. По умолчанию она активна. Для получения отладочной информации ее необходимо закомментировать

nologfd

Настройка файла для аутентификации пользователей

# nano /etc/ppp/chap-secrets

1	# nano /etc/ppp/chap-secrets

# Если пользователь должен динамически получать IP-адрес из диапазона remoteip
user1 pptpd mypassword1 *
# Если мы хотим привязать определённый IP к логину:
user2 pptpd mypassword2 10.0.0.120

# Если пользователь должен динамически получать IP-адрес из диапазона remoteip

user1 pptpd mypassword1 *

# Если мы хотим привязать определённый IP к логину:

user2 pptpd mypassword2 10.0.0.120

# chmod 600 /etc/ppp/chap-secrets &&a chown root:root /etc/ppp/chap-secrets

1	# chmod 600 /etc/ppp/chap-secrets &&a chown root:root /etc/ppp/chap-secrets

Более детальное описание настроек всех файлов доступно здесь http://open-life.org/blog/1288.html http://compress.ru/article.aspx?id=18183 Перезапуск PPTPD-сервера Debian8

# /etc/init.d/pptpd restart

1	# /etc/init.d/pptpd restart

Centos7

# systemctl restart pptpd.service

1	# systemctl restart pptpd.service

Проверка запущен ли pptp-сервер […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Other, Other

Метки: pptp, pptpd, vpn

Комментарии отключены

Записи с меткой ‘pptpd’

Установка и настройка PPTP-сервера на Debian8/Centos7

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель