***簡介
***(全稱Virtual Private Network)虛擬專用網絡。
依靠ISP和其他的NSP,在公用網絡中建立專用的數據通信網絡技術,可以爲企業之間或者個人與企業之間提供安全的數據傳輸隧道服務。
***應用分類
1.遠程訪問***服務
員工個人電腦通過遠程撥號到企業辦公網絡,如公司的OA系統。
運維人員遠程撥號到IDC機房,遠程維護服務器。
2.企業內部網絡之間***服務
公司分支機構的局域網和總公司的LAN之間的***連接,如各大超市之間的業務結算等。
3.互聯網公司多IDC機房之間***服務
不同機房之間業務管理和業務訪問,數據流動。
4.企業外部***服務
在供應商,合作伙伴的LAN和本公司的LAN之間建立的***服務。
5.訪問國外的網站
×××業務應用。
PPTP協議介紹
PPTP(Point to Point Tunneling Protocol,點對點隧道協議)默認端口號:1723,工作在應用層。並且還有使用GRE協議,因爲大家使用防火牆的時候不僅要開放1723端口,還要允許GRE協議通過。
PPTP協議是點對點隧道協議,其將控制包與數據包分開,控制包採用TCP控制。PPTP使用ICP協議,適合在沒有防火牆限制的網絡中使用。比較適合遠程的企業用戶撥號到企業內部進行辦公等的應用。
部署***
設置內核轉發
[root@ m02 ~]# cat /etc/sysctl.conf
#sysctl settings are defined through files in
#/usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
#Vendors settings live in /usr/lib/sysctl.d/.
#To override a whole file, create a new file with the same in
#/etc/sysctl.d/ and put new settings there. To override
#only specific settings, add a file with a lexically later
#name in /etc/sysctl.d/ and put new settings there.
#For more information, see sysctl.conf(5) and sysctl.d(5).
[root@m02 ~]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@m02 ~]# sysctl -p
net.ipv4.ip_forward = 1
安裝pptp
[root@ m02 ~]# yum install -y pptpd ---yum的epel源
Installed:
pptpd.x86_64 0:1.4.0-2.el7
Dependency Installed:
ppp.x86_64 0:2.4.5-33.el7
修改配置文件
[root@ m02 ~]# vim /etc/pptpd.conf
105 #localip 192.168.0.234-238,192.168.0.245
106 #remoteip 192.168.1.234-238,192.168.1.245
107 localip 10.0.0.62
108 remoteip 172.16.1.100-110
快速修改
sed -i '$a localip 10.0.0.62\nremoteip 172.16.1.100-110' /etc/pptpd.conf
添加用戶
[root@ m02 ~]# vim /etc/ppp/chap-secrets
#Secrets for authentication using CHAP
#client server secret IP addresses
oldboyedu * 123456 *
開啓服務
[root@m02 ~]# systemctl start pptpd.service
[root@m02 ~]# netstat -tunlp|grep 1723
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 2690/pptpd
用戶名 允許登錄主機(* 可以登錄所有主機) 密碼 指定分配地址(* 隨機分配)
win系統設置
配置***會斷網,這時候設置網絡取消默認網關
撥號測試
[root@m02 ~]# ip a
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
link/ppp
inet 10.0.0.62 peer 172.16.1.100/32 scope global ppp0
valid_lft forever preferred_lft forever
查看當前登錄用戶
[root@m02 ~]# last
root pts/3 172.16.1.100 Wed Jan 10 11:19 - 11:19 (00:00)
oldboyed ppp0 10.0.0.253 Wed Jan 10 10:53 still logged in
oldboyed ppp0 10.0.0.253 Wed Jan 10 10:52 - 10:53 (00:01)
[root@m02 ~]# last|grep ppp0
oldboyed ppp0 10.0.0.253 Wed Jan 10 10:53 still logged in
oldboyed ppp0 10.0.0.253 Wed Jan 10 10:52 - 10:53 (00:01)
腳本優化--顯示登錄登出信息
[root@m02 ppp]# vim /etc/ppp/ip-up
…………
echo "$PEERNAME 分配IP: $5 登錄IP: $6 登錄時間: `date -d today +%F_%T`" >> /var/log/pptpd.log
exit 0
[root@m02 ppp]# vim /etc/ppp/ip-down
…………
echo "$PEERNAME 下線IP: $6 下線時間: `date -d today +%F_%T`" >> /var/log/pptpd.log
exit 0
[root@m02 ~]# tailf /var/log/pptpd.log
oldboyedu 分配IP: 172.16.1.100 登錄IP: 10.0.0.253 登錄時間: 2018-01-10_11:39:44
oldboyedu 下線IP: 10.0.0.253 下線時間: 2018-01-10_11:39:44
外網可以訪問內網機器
子公司內部只有一臺服務器,只有內網地址,沒有公網IP,但可以訪問公網。而且所有網絡設備都歸總公司管轄,子公司沒有合理理由無法申請。公司內部也有***服務器,擔***賬號也需要申請。在此種場景,如何讓外部人員訪問內網服務器?
解決方案:
1.路由器、網關端口映射
2.通過***獲取內網地址,連接內網服務器
3.給服務器加一個4G網絡(缺陷:運營商提供的不一定是公網地址)
4.QQ遠程桌面、向日葵、teamviewer(缺陷:數據安全不能保證)
5.在外部有公網IP的機器上部署***服務,內網服務器撥號登錄***,外部人員也登錄***。只要***服務器不禁止客戶端互聯,外部用戶就能訪問內部服務器。
6.Nginx反向代理