一、***介紹
1、概念
***(Virtual Private Network),即虛擬專用網或虛擬私用網,是指利用開放的公共網絡資源建立私有傳輸通路,將遠程的分支機構,商業夥伴,移動辦公人員等連接起來,並且提供安全的端到端的數據通信的一種技術。
2、***技術介紹
2.1 PPTP通道技術
PPTP(Point-to-Point Tunneling Protocol)通道技術由於其內容易設定的特性,而且是微軟撥接網絡(Dial-up Networking)第一個支持的***協議,因此廣泛採用。PPTP協議的規格定義在RFC2637(http://tools.ietf.org/html/rfc2637),但並未成爲IETF的標準。
PPTP的運作方式是將網絡協議資料段封裝(encapsulated)在IP封包中,然後透過網際網絡傳送。經過包裝後的封包會被網絡上任何路由器或機器視爲一般IP封包傳送,直到抵達通道的另一端之後,纔將傳送端封包上的IP表頭取下。此種IP封裝的好處是可以讓許多不同協議的資料能夠經過網絡媒介的傳送。
2.2 SSL***技術
相對於pptp通道技術提供的***服務,ssl ***的運作是在網絡的應用層上進行,是一種利用Https通訊協議的***架構。由於現今的電腦作業系統大多支持http及https(SSL-based HTTP)通訊協議的網頁瀏覽器(web browser),因此對於使用者而言,ssl***是一種較爲簡單方便的***使用方式。ssl(Secure Socket Layer)安全協議是網頁服務器和瀏覽器之間以加解密的方式溝通的安全技術標準,這個溝通過程,確保了所有在服務器瀏覽器之間通過的資料的私密性與完整性。SSL標準的規格可參考IETF的RFC2246(http://www.ietf.org/rfc/rfc2246.txt)
SSL ***的運作方式由遠端的使用者連線到ssl***閘道,進行相關驗證與認證(Certificate\SecurID\LDAP\Radius\NTLM...)之後,再經由ssl***閘道。作爲遠端使用者與後端網絡應用的中轉站,進行安全的連接,提供遠端使用者成功存取內部網絡資源。
二、配置過程(以pptp技術爲實例,環境爲CentOS5.4(32-bit))
1、使用到如下安裝包
pptpd-1.3.4-1.rhel5.1.i386.rpm
dkms-2.0.17.5-1.noarch.rpm
kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
2、安裝
rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm
rpm -ivh dkms-2.0.17.5-1.noarch.rpm
rpm -ivh kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
modprobe ppp-compress-18 && echo sucess
通過上面這條命令驗證mppe補丁是否安裝,sucess表示安裝
lsmod|more檢測一下內核MPPE補丁是否安裝成功
ppp_mppe 10437 0
ppp_generic 30037 1 ppp_mppe
slhc 10433 1 ppp_generic
然後用strings '/usr/sbin/pptpd'|grep -i mppe|wc --lines查看是否支持mppe
只要輸出大於30說明支持。
3、修改配置文件
需要修改的配置文件分別是:/etc/pptpd.conf 、/etc/ppp/options.pptpd、/etc/ppp/chap-secrets
3.1 首先修改/etc/pptpd.conf
localip 192.168.1.241
remoteip 192.168.1.20-238,192.168.1.30
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
ppp /usr/sbin/pppd
option /etc/ppp/options.pptpd
localip代表本地的地址,也就是客戶端需要來鏈接的***服務器地址,(這裏使用內網地址,需要在路由做個映射。)
remoteip表示給客戶端分配地址的範圍
3.2 修改/etc/ppp/options.pptpd
name ***server (默認爲pptpd)
refuse-pap #拒絕pap身份驗證
refuse-chap #拒絕chap身份驗證
refuse-mschap #拒絕mschap身份驗證
require-mschap-v2 #採用 mschap-v2身份驗證方式時可以同時使用MPPE加密
require-mppe-128 #使用128-bit MPPE加密
ms-dns 202.106.0.20 #DNS服務器地址
3.3 修改/etc/ppp/chap-secrets
格式如下
# client server secret IP addresses
test ***server test 192.168.1.30
從左開始分別是:用戶名 ***服務器主機名 密碼 分配到ip地址
4、啓動服務
service pptpd start
ps aux | grep pptpd 檢測服務是否啓動
netstat -pant | grep pptpd 查看端口是否監聽
至此服務端可以連接了
5、nat轉發
連接上服務器後,訪問其他網絡,需要做nat轉發
修改/etc/sysctl.conf這個文件中的net.ipv4.ip_forward = 1
sysctl -p 生效
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to 999.999.999.999
至此***服務器配置完畢