PPTP kullanarak VPN nasıl kurulur. PPTP bağlantısı - nedir bu? Adım adım pptp gre'yi bağlayan kurulum süreci
Kullanıcılarımız tarafından sıkça sorulan sorulardan biri, sunucularına nasıl başka bir IP adresi ekleneceğidir. Bir VPN tüneli oluşturarak özel IP adresinizi dropletinize atayabilirsiniz. Kendi sanal özel ağınızı (VPN) oluşturmak veya bu IP adresine bir SSL sertifikası atamak için birkaç seçenek vardır. Mevcut tüm seçenekler arasında en iyi seçim PPTP ve OpenVPN arasındadır. Noktadan Noktaya Tünel Protokolü (PPTP), VPN'nizi çok hızlı bir şekilde kurmanıza olanak tanır ve çoğu mobil cihazla uyumludur. PPTP, OpenVPN'den daha az güvenli olsa da daha hızlıdır ve daha az CPU kaynağı kullanır.
Adım 1 - PPTP'yi Yükleme
IP adreslerini diğer sunuculara dağıtmaktan ve VPN'nizdeki tüm sunucularınızı yetkilendirmekten sorumlu olacak bir sunucu seçmeniz gerekir. PPTP sunucunuz olacak.
CentOS 6 x64'te:
Rpm -i http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm yum -y pptpd yükleyin
Ubuntu 12.10 x64'te:
Apt-get install pptpd
Şimdi /etc/pptpd.conf dosyasını aşağıdaki satırları ekleyerek düzenlemeniz gerekiyor:
Yerelip 10.0.0.1 uzak ip 10.0.0.100-200
Bu durumda localip, sunucunuzun IP adresidir ve remoteip, ona bağlanan istemcilere atanacak IP adresleridir.
Burada istemci kullanıcı adıdır (oturum açma), sunucu hizmet türüdür (örneğimizde pptpd), secret paroladır ve IP adresleri hangi IP adreslerinin yetkilendirilebileceğini gösterir (bu oturum açma ve parola ile). IP adresleri alanına yıldız işareti * koyarak, bu oturum açma / şifre çiftinin herhangi bir IP'den kabul edilmesi gerektiğini belirtirsiniz.
Adım 2 - / etc / ppp / pptpd seçeneklerine DNS Sunucuları Ekleme
ms-dns 8.8.8.8 ms-dns 8.8.4.4Artık PPTP arka plan programını başlatabilirsiniz:
Hizmet pptpd yeniden başlatma
Çalıştığını ve bağlantıları kabul ettiğini kontrol edin:
Adım 3 - Yönlendirmeyi Ayarlama
PPTP sunucunuzda IP iletmeyi etkinleştirmek çok önemlidir. Bu, paketleri genel IP'ler ve PPTP ile yapılandırdığınız özel IP'ler arasında iletmenize olanak tanır. Henüz orada değilse, aşağıdaki satırı eklemek için /etc/sysctl.conf dosyasını düzenlemeniz yeterlidir:
Net.ipv4.ip_forward = 1
Değişiklikleri uygulamak için komutu çalıştırın sysctl -p
Adım 4 - iptables için NAT Kuralları Oluşturma
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-savePPTP istemcilerinizin de birbirleriyle iletişim kurabilmesini istiyorsanız, iptables için aşağıdaki kuralları ekleyin:
Iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j KABUL ET --append FORWARD --in-interface eth0 -j KABUL
Artık PPTP sunucunuz aynı zamanda bir yönlendirici görevi görür.
Damlacıklarınıza hangi sunucuların bağlanabileceği konusunda bir sınır belirlemek istiyorsanız, TCP bağlantılarını 1723 numaralı bağlantı noktasıyla sınırlayan IP tabloları için bir kural belirleyebilirsiniz.
Adım 5 - İstemcileri Yapılandırma
PPTP istemcisini istemci sunucularınıza kurun:
Yum -y pptp'yi kurun
Adım 6 - Gerekli Çekirdek Modülünü Ekleme
modprobe ppp_mppeYeni bir dosya / etc / ppp / peers / pptpserver oluşturun ve kullanıcı adını ve şifreyi değerlerinizle değiştirerek aşağıdaki satırları buraya ekleyin:
Pty "pptp 198.211.104.17 --nolaunchpppd" adı kutusu1 parolası 24oiunOi24 uzakadı PPTP require-mppe-128
Burada 198.211.104.17, PPTP sunucumuzun genel IP adresidir, box1 ve 24oiunOi24, PPTP sunucumuzdaki / etc / ppp / chap-secrets dosyasında belirlediğimiz oturum açma / şifre çiftidir.
Artık bu PPTP sunucusunu "çağırabiliriz". Bir sonraki komutta /etc/ppp/peers/dizininde peers dosyasına verdiğiniz ismi kullanmalısınız. Örneğimizde bu dosyaya pptpserver adını verdiğimiz için komutumuz şöyle görünür:
Pppd çağrı pptpserver
PPTP sunucu günlüklerinde başarılı bir bağlantı görmelisiniz:
PPTP istemcinizde, ppp0 arabirimi aracılığıyla özel ağınıza yönlendirmeyi yapılandırın:
IP yolu 10.0.0.0/8 dev ppp0 ekle
ppp0 arayüzünüz, ifconfig çalıştırılarak doğrulanabilecek şekilde yapılandırılmalıdır.
Artık PPTP sunucunuza ve bu ağa bağlı diğer istemcilere ping atabilirsiniz:
Bu ağa ikinci bir PPTP istemcisi ekleyebiliriz:
Yum -y pptp modprobe ppp_mppe yükleyin
/ etc / ppp / peers / pptpserver dosyasına gerekli satırları ekleyin (oturum açma bilgilerini ve şifreleri kendinizle değiştirin):
Pty "pptp 198.211.104.17 --nolaunchpppd" name box2 şifresi 239Aok24ma uzakadı PPTP require-mppe-128
Şimdi ikinci istemcide aşağıdaki komutları çalıştırın:
Pppd çağrı pptpserver ip yolu 10.0.0.0/8 dev ppp0 ekle
İlk istemciye ping atabilirsiniz ve paketler PPTP sunucusundan geçer ve daha önce belirlediğimiz ip-tablo kurallarına göre yönlendirilir:
Bu kurulum, kendi sanal özel ağınızı oluşturmanıza olanak tanır:
Tüm cihazlarınızın aynı ağ üzerinde güvenli bir şekilde iletişim kurmasını istiyorsanız, bunu yapmanın en hızlı yolu budur.
Bu yaklaşımı Nginx, Squid, MySQL ve diğer herhangi bir uygulama ile kullanabilirsiniz.
Ağ içindeki trafik 128 bit şifreleme ile şifrelendiğinden, PPTP OpenVPN'den daha az CPU yoğundur, ancak yine de trafiğiniz için ek bir güvenlik katmanı sağlar.
1. Sistemin kişisel sayfasında bir tünel oluşturun ve ardından
2. İşletim sisteminizin VPN ayarlarına gidin ve yeni bir bağlantı oluşturun.
Sunucu adresini msk.site belirtin,
"Güvenlik" sekmesinde - VPN türü - PPTP'yi seçin
Şifrelemeyi "Opsiyonel" olarak ayarlayın
Kimlik doğrulama - BÖLÜM. MS-CHAP v2
3. IP Ayarları sekmesinde, "Uzak ağda varsayılan ağ geçidini kullan" seçeneğinin işaretini kaldırın.
4. WINS sunucumuzun hizmetini kullanmak istiyorsanız, "TCP / IP üzerinden Netbios'u etkinleştir" yazabilirsiniz (ancak basit bir tünel bağlantısı için bu öğe önemli değildir)
5. Bir bağlantı kurun ve 172.16.0.1 ping adresinin gerçekleştirildiğini kontrol edin, ardından gerekli yolların bilgisayarınızda otomatik olarak (DHCP aracılığıyla) alındığını kontrol edin:
172.16.0.0 255.255.0.0
Uzak ev ağınıza giden yol 192.168.x.x 255.255.255.0 (varsa). ...
Bunu yapmak için komutu çalıştırın rota yazdırma bilgisayarınızda. Yukarıda listelenen rotalar dahil edilmelidir.
Not: Asılı oturumlarla mücadele etmek için bağlantı kurulduktan 24 saat sonra PPTP, L2TP, L2TP / IPsec protokolleri ile kullanıcı tünellerini zorla devre dışı bırakıyoruz. Doğru yapılandırılırsa, bağlantılar otomatik olarak yeniden kurulmalıdır.
VPN tünelleri, MikroTik yönlendiriciler aracılığıyla standart bir İnternet bağlantısına dayanan yaygın bir noktadan noktaya iletişim türüdür. Aslında, bunlar bir "kanal içinde kanal" - ana hat içinde özel bir hat.
MikroTik'te bir tünel VPN bağlantısı yapılandırma ihtiyacı şu durumlarda ortaya çıkar:
- sağlamak için gerekli şirket ağına erişim işletmenin çalışanları mobil cihazlar da dahil olmak üzere evden veya bir iş gezisinde çalışanlar.
- sağlamak için gerekli Sağlayıcının aboneleri için internet erişimi(son zamanlarda, istemci erişiminin bu uygulaması giderek daha popüler hale geldi).
- Gerekli işletmenin iki uzak bölümünü birbirine bağlayın minimum maliyetle güvenli iletişim kanalı.
Verilerin açık ve şifresiz olarak iletildiği normal bir ağın aksine, VPN güvenli bir iletişim kanalıdır. Koruma düzeyi, bağlantı için seçilen tünel protokolünün türüne bağlıdır.Bu nedenle, PPtP en az güvenli protokol olarak kabul edilir, "en iyi" kimlik doğrulama algoritması mschap2 bile bir dizi güvenlik sorununa sahiptir ve kolayca saldırıya uğrar. En güvenli protokol seti IPsec'dir.
Suçlayıcı resme rağmen, bazen şifrelemeyi ve kimlik doğrulamayı devre dışı bırakmak mantıklıdır. Birçok MikroTik modeli donanım şifrelemesini desteklemez ve bağlantının güvenliği ile ilgili tüm işlemler CPU düzeyinde işlenir. Bağlantının güvenliği sizin için kritik bir nokta değilse ve kullanılan yönlendiricinin performansı düşükse, işlemciyi boşaltmak için şifrelemeyi devre dışı bırakmak kullanılabilir.
MikroTik'te VPN için protokol seçme
MikroTik üzerinden bir VPN bağlantısı yapılandırmak için en sık aşağıdaki protokoller kullanılır:
Bugünün makalesinde, bir sağlayıcı ve sistem yöneticisinin çalışmalarında en yaygın olanı olan ikisini kullanarak bir VPN bağlantısı yapılandırmaya bakacağız: PPtP ve PPPoE. ...
MikroTik'te PPtP üzerinden VPN
PPtP en yaygın kullanılan VPN protokolüdür. Verileri aktarmak için kullanılan bir grup TCP'dir ve paketleri kapsüllemek için GRE kullanılır. Çoğu zaman şirket ağına uzaktan kullanıcı erişimi için kullanılır. Prensip olarak, bir VPN birçok amaç için kullanılabilir, ancak güvenlik kusurlarını göz önünde bulundurmalısınız.
Kurulumu kolay. Bir tünel düzenlemek için ihtiyacınız olan:
Kullanıcıların şirket ağına bağlanacağı MikroTik yönlendirici üzerinde bir PPtP sunucusu oluşturmak,
sunucu tarafı tanımlaması için oturum açma bilgileri / şifreleri olan kullanıcı profilleri oluşturun,
Bağlantıların güvenlik duvarından engellenmeden geçebilmesi için yönlendiricinin Güvenlik Duvarında dışlama kuralları oluşturun.
PPtP sunucusunu açın.
Bunu yapmak için menü bölümüne gidin PPP, sekmeye git Arayüz, bulduğumuz sekmeler listesinin en üstünde PPTP sunucusu ve Etkin öğesine bir onay işareti koyun.
En az güvenli tanımlama algoritmaları için kutuların işaretini kaldırın - pap ve chap.
Kullanıcılar oluşturuyoruz.
Bölümde PPPmenüye gitSırlarve düğmesini kullanarak "+ "yeni bir kullanıcı ekle.
Alanlarında İsim ve Parola sırasıyla kullanıcının tünele bağlanmak için kullanacağı kullanıcı adı ve şifreyi kaydediyoruz.
alanında Hizmet alanda protokolümüzün türünü seçin - pptp Yerel adres VPN sunucusu görevi görecek MikroTik yönlendiricinin IP adresini ve Uzak Adres alanına - kullanıcının IP adresini yazın
için yazma kuralları Güvenlik duvarı.
MikroTik VPN tünelinin çalışması için TCP trafiği için 1723 portunu açmamız ve ayrıca GRE protokolünü etkinleştirmemiz gerekiyor. Bunu yapmak için bölüme gidin IP, daha sonra güvenlik duvarı, ardından sekmede Filtre Kuralları, burada "+" düğmesini kullanarak yeni bir kural ekliyoruz. alanında Zincir gelen trafiği göster - giriş, tarlada Protokol protokolü seç tcp, ve sahada Dst. Liman- VPN tüneli için bağlantı noktasını belirtin 1723 .
Buraya sekmeye gidiyoruz Eylem ve Seç kabul- izin ver (trafik).
Aynı şekilde GRE için bir kural ekleyin. sekmesinde Genelöncekine benzer şekilde, girdi yazıyoruz ve alana Protokol Seç gre.
sekmesinde Eylemönceki kuralda olduğu gibi, seçin kabul.
Genel listedeki bu kuralları, yasaklayıcı kurallardan ÖNCE koyarak en üste çıkarmayı unutmayın, aksi takdirde çalışmazlar. RouterOS Mikrotik'te bu, Güvenlik Duvarı penceresindeki kuralları sürükleyip bırakarak yapılabilir.
İşte bu, MikroTik'te VPN için PPtP sunucusu hazır.
Küçük açıklama.
Bazı durumlarda, bağlanırken yönlendiricinin arkasındaki yerel ağı görmeniz gerekir, yerel ağ ayarlarında proxy-arp'yi etkinleştirmeniz gerekir. Bunu yapmak için Arayüz bölümüne gidin, yerel ağa karşılık gelen arayüzü bulun ve sekmede Genel tarlada ARP Seç proxy-arp.
İki MikroTik yönlendirici arasında bir VPN kurduysanız ve yayın iletimine izin vermeniz gerekiyorsa, uzak yönlendiricinin mevcut bağlantı profilini (PPP - Profiller) ana köprüye eklemeyi deneyebilirsiniz:
Yorumdan UPD:Ek olarak yerel ağdaki bilgisayarlarda paylaşılan klasörlere erişmeniz gerekiyorsa, Windows Shared'den sorumlu geçen SMB protokol trafiği için 445 numaralı bağlantı noktasını da açmanız gerekir. (Güvenlik duvarında yönlendirme kuralı).
İstemci kurulumu .
VPN istemci tarafında, ayarlar yalnızca bir VPN bağlantısı oluşturmak, VPN (PPtP) sunucusu IP adresini, kullanıcı adını ve parolayı belirtmekten ibarettir.
MikroTik'te PPPoE üzerinden VPN
Son zamanlarda, PPPOE protokolü üzerinden VPN, yaygınlığını kablosuz İnternet erişimi de dahil olmak üzere geniş bant sağlayan sağlayıcılara borçludur. Protokol, veri sıkıştırma, şifreleme olasılığını varsayar ve ayrıca aşağıdakilerle karakterize edilir:
Kullanılabilirlik ve özelleştirme kolaylığı.
Çoğu MikroTik yönlendirici tarafından desteklenir.
İstikrar.
Ölçeklenebilirlik.
Şifrelenmiş trafiğin ARP sahtekarlığına karşı direnci (ARP protokolü güvenlik açıklarından yararlanan ağ saldırısı).
PPtP'den daha az kaynak ve sunucu yükü.
Ayrıca dinamik IP adresleri kullanabilme avantajına sahiptir: VPN tünelinin uç düğümlerine belirli bir IP atamaya gerek yoktur. İstemci tarafından bağlantı, karmaşık ayarlar olmadan, yalnızca oturum açma ve şifre ile gerçekleştirilir.
VPN Sunucusunu Yapılandırma PPPoE MikroTik
Sunucu profillerini ayarlama.
Bir ISP iseniz ve İnternet'i birkaç tarife paketi kullanarak dağıtıyorsanız, birkaç PPPoE sunucu profiline ihtiyaç duyulabilir. Buna göre her profilde farklı hız limitleri konfigüre edilebilir.
bölüme gidiyoruz PPP, öğeyi açprofillerve düğmesini kullanarak "+ "yeni bir profil oluştur. Anlayabileceğimiz bir ad verin, sunucunun (yönlendiricinin) yerel adresini yazın, seçeneği işaretleyinTCP MSS'yi değiştir(MSS ayarı), böylece tüm siteler normal şekilde açılır.
Bu arada, bazı durumlarda, bazı sitelerin açılmasıyla ilgili sorunlar olduğunda, ping'lerin üzerinden geçmesine rağmen, bunu farklı şekilde yapabilirsiniz. MSS ayarını kapatıyoruz ve terminal aracılığıyla yönlendiriciye aşağıdaki kuralı yazıyoruz:
"ip güvenlik duvarı yöneticisi zincir ekle = ileri protokol = tcp tcp-flags = syn tcp-mss = 1453-65535 eylem = change-mss yeni-mss = 1360 devre dışı = hayır "Bu, çoğu durumda sorunu çözecektir.
Sekmede sonrakiprotokollerperformansı artırmak için her şeyi devre dışı bırakırız. Bağlantının güvenliği sizin için önemliyse ve yönlendiricinin performansı izin veriyorsa, seçenekŞifrelemeyi Kullan(şifreleme kullanın) devre dışı bırakmayın.
sekmesinde limitlergerekirse hız limitlerini ayarlayın. Hız limitindeki ilk hane sunucuya gelen trafik (aboneden giden), ikincisi giden trafiğimizdir (aboneden gelen).
Koyduk Evet noktasında Sadece bir, bu, aynı oturum açma / parola setine sahip iki veya daha fazla abonenin PPPoE sunucusuna bağlanamayacağı, yalnızca bir abonenin bağlanamayacağı anlamına gelir.
Şimdi, gerekirse, basit kopyalayarak profillerin geri kalanını oluşturun (düğmekopyalaönceki ekran görüntüsünde) ve adı ve hız sınırını değiştirin.
Kullanıcı hesapları oluşturun .
aynı bölümde PPPmenü öğesini bulSırlar... İçinde "+" düğmesini kullanarak bize VPN tüneli üzerinden bağlanacak yeni bir kullanıcı oluşturun.
Ad ve Şifre alanlarını doldurun (kullanıcının bağlanmak için gireceği kullanıcı adı ve şifre).
alanında Hizmet Seç pppoe, v Profil- bu durumda ilgili profil - abone tarafından kullanılan tarife paketi. Kullanıcıya, bağlantı sırasında sunucunun aboneye dağıtacağı bir IP adresi atarız.
Birkaç kullanıcıyı bağlarsak, ad / şifre ve IP adresini değiştirerek her biri için ayrı bir hesap oluşturun.
PPPoE sunucusunu belirli bir MikroTik arayüzüne bağlıyoruz.
Şimdi yönlendiriciye VPN PPPoE istemcilerinden gelen bağlantıları "dinlemesi" gereken arabirimi söylememiz gerekiyor. Bunu yapmak için PPP bölümünde PPPoE Sunucuları öğesini seçiyoruz. Burada değiştiriyoruz:
Arayüz alanı - istemcilerin bağlanacağı arayüzü seçin,
- Keepalive Timeout - 30 saniye (bağlantıyı kesmeden önce istemciden yanıt bekleme süresi)
- Varsayılan Profil - varsayılan olarak bağlı abonelere atanacak bir profil,
- Ana Bilgisayar Başına Bir Oturum'a bir onay kutusu koyduk, böylece istemcinin yönlendiricisinden veya bilgisayarından yalnızca bir tünel bağlantısına izin verdik.
- Yetkilendirme bölümündeki onay kutularını kendi takdirimize bağlı olarak bırakıyoruz / işaretini kaldırıyoruz.
NAT'ı internete istemci erişimi için yapılandırıyoruz.
PPPoE sunucusunu yükselttik ve artık yetkili kullanıcılar ona bağlanabilir. Kullanıcıların VPN tüneli üzerinden internete erişmesine ihtiyacımız varsa, NAT (maskeleme) veya yerel ağ adreslerinin çevirisini yapılandırmamız gerekir.
Bölümde IPÖğeyi seçin güvenlik duvarı ve yeni bir kural eklemek için "+" düğmesini kullanın.
alanında Zincir durmalı srcnat, bu, yönlendiricinin bu kuralı içeriden dışarıya trafiğe uygulayacağı anlamına gelir.
alanında Kaynak Adres(kaynak adres) adres aralığını yaz 10.1.0.0/16 ... Bu, 10.1'e sahip tüm istemciler anlamına gelir. (0.0-255.255) NAT üzerinden ağa gidecek, yani olası tüm aboneleri burada listeliyoruz.
alanında Dst. Adres(varış adresi) belirtmek!10.0.0.0/8 - önünde bir ünlem işareti ile özel ağlar için kendi adres alanını gösteren adres aralığı. Bu, yönlendiriciye bir istisna olduğunu gösterir - yerel ağdan biri kendi ağımızdaki bir adresi adreslerse, NAT uygulanmaz, bağlantı doğrudan yapılır.
ve sekmede Eylem aslında, maskeleme eylemini - yönlendiricinin harici adresi için cihazın yerel adresinin değiştirilmesini öngörüyoruz.
PPPoE VPN İstemci Yapılandırması
VPN tünelinin diğer tarafında bağlantı bir bilgisayardan veya dizüstü bilgisayardan gelecekse, Ağ ve Paylaşım Merkezinde (Win 7, Win 8 için) PPPoE aracılığıyla yüksek hızlı bir bağlantı oluşturmanız yeterlidir. İkinci tarafta da bir Mikrotik yönlendirici varsa, aşağıdaki gibi bağlanırız.
PPPoE arayüzü ekleyin.
sekmesinde Arayüz PPPoE İstemcisi'ni seçin ve yeni bir arayüz eklemek için "+" düğmesini kullanın.
Burada, sahada ArayüzVPN tünelini düzenlediğimiz Mikrotik yönlendiricinin arayüzünü seçiyoruz.
Bağlantı ayarlarını kaydediyoruz.
Kutuyu kontrol et Eş DNS kullan- böylece DNS sunucusu adresini VPN sunucusundan (sağlayıcıdan) alırız ve manuel olarak kaydetmeyiz.
Kimlik doğrulama ayarları (pap, chap, mschap1, mschap2'deki onay kutuları) sunucu ile koordine edilmelidir.
alan
Tıklamak "Başlangıç"(Başlangıç) - "Bağlanmak"(Bağlanmak).
Kontrol panelinin yanında bir pencere görünecektir
İçinde seçmeniz gerekiyor
Aynısı başka bir şekilde de yapılabilir: Tıklayın "Başlangıç"(Başlangıç) - "Kontrol Paneli"(Kontrol Paneli) - "Ağ ve Paylaşım Merkezi"(Ağ ve Paylaşım Merkezi)
Tıklamak "Yeni bir bağlantı veya ağ kurma"(Yeni bir bağlantı ya da internet bağlantısı kurunuz)
Bir sonraki pencerede seçin "İş yerine bağlanma"(Bir işyerine bağlanın). Tıklamak "Daha öte"(Sonraki).
Bir sonraki pencerede, öğeye tıklayın İnternet bağlantımı kullan (VPN)(İnternet bağlantımı kullan (VPN)). Tıklamak "Daha öte"(Sonraki).
- alanında "İnternet adresi"(İnternet adresi) bağlanmak için sunucunun IP adresini girmeniz gerekmektedir. Örneğin, şekilde gösterilmiştir.
- alanında "Hedef adı"(Hedef Adı) bu bağlantı için isteğe bağlı bir ad girin. Örneğin Demos-VPN
- Bilgisayarda bu bağlantıyı kullanması gereken birkaç kullanıcı çalışıyorsa, kutuyu işaretleyin. "Diğer kullanıcıların bu bağlantıyı kullanmasına izin ver"(Diğer kişilerin bu bağlantıyı kullanmasına izin verin)
- Kutuyu kontrol et "Şimdi bağlanma, sadece gelecekte bağlanmak için kur"(Şimdi bağlanma; daha sonra bağlanabilmem için kurun)
- Tıklamak "Daha öte"(Sonraki).
Alanda: "Kullanıcı"("Kullanıcı adı") kullanıcı adınızı (oturum açma) girin ve alana "Parola"(Şifre) - şifreniz. Her bağlandığınızda bir şifre girmek istemiyorsanız kutucuğu işaretleyin. Bu şifreyi hatırla("Bu şifreyi hatırla"). Düğmeye bas "Yaratmak"(Yaratmak).
Bir sonraki pencerede düğmesine basın "Kapat"(Kapat).
tekrar basın "Başlangıç"(Başlangıç) - "Bağlantı"(Bağlanmak). Demos-VPN öğesinin göründüğü tanıdık bir pencere görünecektir. Üzerine sağ tıklayın ve öğeyi seçin Özellikler("Özellikler")
Bağlantı özelliklerine sahip bir menü belirdi. Yer işaretine git "Emniyet"(Güvenlik).
bir yer iminde "Emniyet"(Güvenlik) aşağıdaki değerlere ayarlanmalıdır:
- VPN türü: Otomatik;
- Veri şifreleme: isteğe bağlı (şifreleme olmadan bile bağlanın);
- Kimlik Doğrulama - Aşağıdaki protokollere izin verin: Parola Doğrulama Protokolü (CHAP), Microsoft CHAP Sürüm 2 (MS-CHAP v2)
Bu değerleri ayarlayın ve "TAMAM"
VPN ile bağlanmak için tıklamanız gerekir. "Başlangıç"(Başlangıç) - "Bağlanmak"(Bağlan) ve görünen pencerede:
- bağlantı adı üzerinde farenin sol düğmesine çift tıklayın veya
- bağlantı adına sağ tıklayın ve içerik menüsünden seçin "Bağlantı"("Bağlamak")
Önceki bölümlerdeki teorik konuları ele aldıktan sonra, pratik uygulamaya geçelim. Bugün Ubuntu Sunucu platformunda bir PPTP VPN sunucusu oluşturmaya bakacağız. Bu materyal, Linux becerisine sahip okuyucular için tasarlanmıştır, bu nedenle, ağ yapılandırması vb. gibi diğer makalelerde açıkladığımız şeyler dikkatimizi dağıtmayacağız. Zorluklar yaşıyorsanız - önce diğer materyallerimizi inceleyin.
Uygulaması en kolay olan PPTP'li VPN ile pratik tanışmamıza başlayacağız. Ancak bunun zayıf güvenli bir protokol olduğunu ve kritik verilere erişmek için kullanılmaması gerektiğini unutmayın.
Bu teknolojiyi pratik bir şekilde tanımak için test laboratuvarımızda oluşturduğumuz devreyi düşünün:
10.0.0.0/24 yerel ağımız var ve 10.0.0.2 ve 10.0.0.1 terminal sunucusu VPN sunucusu olarak görev yapacak, VPN için 10.0.1.0/24 ağını ayırdık. Harici sunucu arabiriminin koşullu özel bir IP adresi X.X.X.X. Amacımız, uzak istemcilere terminal sunucusuna ve üzerindeki paylaşılan kaynaklara erişim sağlamaktır.
PPTP sunucu kurulumu
PPTP VPN işlevini uygulayan pptpd paketini kurun:
Sudo apt-get install pptpd
Şimdi dosyayı açalım /etc/pptpd.conf ve VPN sunucusu için temel ayarları yapın. VPN ağındaki sunucu adresini belirteceğimiz dosyanın en sonuna gidelim:
Yerelip 10.0.1.1
Ve müşterilere verilecek adres aralığı:
Uzak ip 10.0.1.200-250
Adresler, pptpd'yi yeniden başlatmadan artışları mümkün olmadığından, tercihen küçük bir marjla, mümkün olduğunca çok sayıda eşzamanlı bağlantı tahsis edilmelidir. Ayrıca şu satırı bulup yorumunu kaldırıyoruz:
Bcrelay eth1
Bu, VPN istemcilerinin dahili ağ paketlerini yayınlamasına izin verecektir.
seçenekleri de kullanabilirsiniz dinlemek ve hız, ilki, gelen PPTP bağlantılarını dinlemek için yerel arabirimin IP adresini belirtmenize, ikincisi ise VPN bağlantılarının hızını bps cinsinden belirtmenize olanak tanır. Örneğin, sunucunun yalnızca harici arabirimden PPTP bağlantılarını kabul etmesine izin verelim:
X.X.X.X'i dinleyin
Dosyada daha ince ayarlar var / etc / ppp / pptpd seçenekleri... Varsayılan ayarlar gereksinimlerimizle oldukça tutarlıdır, ancak amaçları hakkında bir fikriniz olması için bazılarını kısaca gözden geçireceğiz.
Bölüm #Şifreleme veri şifreleme ve kimlik doğrulamasından sorumludur. Bu seçenekler, eski ve güvenli olmayan PAP, CHAP ve MS-CHAP protokollerinin kullanımını yasaklar:
çöp kutusu
çöp adam
red-mschap
Require-mschap-v2
gereksinim-mppe-128
Sonraki bölüm #Ağ ve Yönlendirme, burada seçeneğe dikkat etmelisiniz ms-dns bu, dahili ağda bir DNS sunucusunun kullanılmasına izin verir. Bu, ağın etki alanı yapısı veya ağdaki tüm bilgisayarların adlarını içeren bir DNS sunucusunun bulunması durumunda, bilgisayarlara yalnızca IP ile değil, adlarıyla atıfta bulunmayı mümkün kıldığı zaman yararlı olabilir. Bizim durumumuzda, bu seçenek işe yaramaz ve yorumlanmıştır. Benzer şekilde, seçeneği ile WINS sunucusunun adresini ayarlayabilirsiniz. ms-wins.
İşte seçenek proxyarp, adından da anlaşılacağı gibi sunucu desteği dahil Proxy ARP'si.
Bölümde #Çeşitli seçenek içerir kilit bu da istemciyi bir bağlantıyla sınırlar.
İvanov * 123 *
petrov * 456 10.0.1.201
İlk giriş, ivanov kullanıcısının 123 şifresiyle sunucuya bağlanmasına izin verir ve ona isteğe bağlı bir IP adresi atar, ikincisi, bağlantı üzerine 10.0.1.201 kalıcı adresi atanacak olan 456 şifresiyle petrov kullanıcısını oluşturur.
Tekrar başlat pptpd:
Sudo /etc/init.d/pptpd yeniden başlatma
Önemli Not! Eğer pptpd yeniden başlatmak istemiyor, başlangıçta donuyor, ancak / var / günlük / sistem günlüğü satır ekleme uzun yapılandırma dosyası satırı yoksayıldı dosyanın sonuna eklediğinizden emin olun /etc/pptpd.conf satır sonu.
Sunucumuz gitmeye hazır.
İstemci Bilgisayarları Yapılandırma
Genel olarak, VPN bağlantısını varsayılan seçeneklerle yapılandırmanız yeterlidir. Ancak, bağlantı türünü açıkça belirtmenizi ve gereksiz şifreleme protokollerini devre dışı bırakmanızı öneririz.
Ayrıca, ağın yapısına bağlı olarak, statik yolları ve varsayılan ağ geçidini belirtmelisiniz. Bu sorular önceki bölümlerde ayrıntılı olarak tartışıldı.
Bir VPN bağlantısı kuruyoruz ve yerel ağdaki herhangi bir PC'ye ping atmaya çalışıyoruz, terminal sunucusuna sorunsuz bir şekilde eriştik:
Şimdi bir önemli ekleme daha. Çoğu durumda, yerel ağdaki bilgisayarlara erişim yalnızca IP adresleri ile mümkün olacaktır, yani. \\ 10.0.0.2 yolu çalışacak, ancak \\ SERVER çalışmayacak. Bu, kullanıcılar için uygunsuz ve olağandışı olabilir. Bu sorunu çözmenin birkaç yolu vardır.
Yerel ağ bir etki alanı yapısına sahipse, etki alanı denetleyicisinin DNS sunucusuna VPN bağlantısı için DNS sunucusunu belirtmeniz yeterlidir. seçeneği kullanın ms-dns v / etc / ppp / pptpd seçenekleri sunucu ve ayar verileri istemci tarafından otomatik olarak alınacaktır.
Yerel ağda DNS sunucusu yoksa, bir WINS sunucusu oluşturabilir ve kullanabilirsiniz, seçeneği kullanarak bununla ilgili bilgiler de istemcilere otomatik olarak aktarılabilir. ms-wins... Ve son olarak, birkaç uzak istemci varsa, dosyaları istemci bilgisayarlarda kullanın. ev sahibi(C:\Windows\System32\sürücüler\vb\hosts) gibi satırları eklemelisiniz.
