Nastavení připojení VPN v systému Linux. Konfigurace připojení VPN v Linux Tutorial pro konfiguraci serverů vpn na ubuntu

Zkratku VPN nyní neslyší pouze ti, kteří se nikdy s počítačem nezabývali. Co to je, proč je to potřeba a jak si to sami nastavit?

Co je to VPN a proč je potřeba?

VPN (Virtual Private Network) je virtuální privátní síť, způsob, jak spojit několik počítačů fyzicky umístěných v určité vzdálenosti od sebe do jedné logické sítě.

VPN lze použít pro různé účely – od organizace sítě pro práci / hry až po přístup k internetu. Přitom musíte pochopit možnou právní odpovědnost za své činy.

V Rusku není použití VPN trestným činem, s výjimkou případů použití se záměrně nezákonnými účely. To znamená, že pokud chcete jít na stránky prezidenta sousední země (řekněme Somálska) a napsat, jak je špatný, a přitom skrýt svou IP adresu, samo o sobě to není porušení (za předpokladu, že obsah prohlášení neporušuje zákony) ... Je však trestným činem používat tuto technologii k přístupu ke zdrojům zakázaným v Rusku.

To znamená, že můžete hrát s přáteli přes síť a pracovat vzdáleně v síti organizace pomocí VPN, ale nemůžete číst všechny druhy špatných stránek. S tímhle vyřešeným. Nyní pojďme přímo k nastavení.

Nastavení strany serveru na Ubuntu Linux

Pro serverovou stranu je lepší používat Linux, v tomto ohledu je práce s ním jednodušší. Nejjednodušší možností je PPTP, nevyžaduje instalaci certifikátů na klientské počítače, je provedena autentizace podle uživatelského jména a hesla... Využijeme to.

Nejprve nainstalujte požadované balíčky:

Sudo nano /etc/pptpd.conf

Pokud potřebujeme více než 100 současných připojení, vyhledejte parametr „connections“, odkomentujte jej a zadejte požadovanou hodnotu, například:

Připojení 200

Pokud potřebujeme posílat broadcast pakety přes virtuální síť, měli bychom se ujistit, že parametr bcrelay je také bez komentáře:

Bcrelay eth1

Poté přejděte na konec souboru a přidejte nastavení adresy:

Localip 10.10.10.1 remoteip 10.10.10.2-254 poslouchat 11.22.33.44

První parametr určuje IP adresu serveru v lokální síti, druhý určuje rozsah IP adres přidělovaných klientům (rozsah by měl poskytovat možnost zadaného počtu připojení, je lepší přidělovat adresy s rezervou) , třetí určuje, na které externí adrese se má naslouchat rozhraním pro příjem příchozích připojení. To znamená, že pokud existuje několik externích adres, lze poslouchat pouze jednu. Pokud není zadán třetí parametr, budou se poslouchat všechny dostupné externí adresy.

Uložte soubor a zavřete. Další nastavení doladění specifikujeme v souboru / etc / ppp / pptpd-options:

Možnosti sudo nano / etc / ppp / pptpd

Nejprve se ujistíme, že máme nekomentované řádky zakazující používání starých a nezabezpečených metod ověřování:

Odmítnout-pap odmítnout-odmítnout-mschap

Také zkontrolujeme, že je povolena volba proxyarp (odpovídající řádek byl odkomentován) a navíc, chcete-li povolit nebo zakázat více připojení jednoho uživatele, okomentujte (povolte) nebo odkomentujte (zakažte) volbu uzamčení.

Soubor také uložíme a zavřeme. Zbývá vytvořit uživatele:

Sudo nano / etc / ppp / chap-secrets

Každému uživateli VPN je přidělen jeden řádek, ve kterém je postupně uvedeno jeho jméno, vzdálená adresa, heslo a místní adresa (oddělovač - mezera).

Vzdálenou adresu lze zadat, pokud má uživatel externí statickou IP a bude použita pouze ta, jinak je lepší zadat hvězdičku, abyste mohli přesně přijmout připojení. Pokud chcete, aby byla uživateli přidělena stejná IP adresa ve virtuální síti, musí být zadáno Local. Například:

Uživatel1 * heslo1 * uživatel2 11.22.33.44 heslo2 * uživatel3 * heslo3 10.10.10.10

Pro uživatele 1 budou přijímána připojení z libovolné externí adresy, místní bude přidělena první dostupná adresa. Pro uživatele 2 přidělí první dostupnou místní adresu, ale připojení budou přijímána až od 22. 11. 33. 44. Pro uživatele3 jsou připojení přijímána odkudkoli, ale lokální adresa bude vždy přidělena 10.10.10.10, kterou jsme mu rezervovali.

Tím je konfigurace VPN serveru dokončena, restartujte jej (nemusíte restartovat počítač pod Linuxem):

Restartování služby sudo pptpd

Konfigurace klientů VPN

Klientskou část lze nakonfigurovat pro jakýkoli operační systém, uvedu to jako příklad Ubuntu Linux 16.04.

Na klientském počítači otevřete síťová připojení (snímky ukazují pro Ubuntu + Cinnamon, pro GNOME se to dělá stejným způsobem, v Kubuntu to vypadá, že to nezpůsobí žádné potíže). Klikněte na tlačítko "Přidat" a vyberte připojení PPTP:

Název připojení VPN lze ponechat jako standardní, nebo jej můžete zadat, který je pro vás pohodlný a srozumitelný - to je věc vkusu. Do pole „brána“ zadejte pod jméno a heslo externí IP adresu serveru, ke kterému se připojujeme (zadanou při nastavení ve volbě „poslouchat“). Vpravo v poli „Heslo“ musíte nejprve vybrat možnost „Uložit heslo pro tohoto uživatele“):

Poté zavřete okna a připojte se k serveru. Pokud je server mimo vaši místní síť, potřebujete přístup k internetu.

Tím je organizace virtuální sítě dokončena, ale připojí se pouze počítače k ​​místní síti. Chcete-li přistupovat k Internetu prostřednictvím síťového serveru, musíte provést ještě jedno nastavení.

Nastavení přístupu k internetu přes VPN

Na serveru vpn zadejte následující příkazy:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A FORWARD -s 10.10.10.1/24 -j ACCEPT iptables -A FORWARD -d 10.10.10.1/24

kde 10.10.10.1/24 je adresa místního serveru a maska ​​sítě.

Poté změny uložíme, aby fungovaly i po restartu serveru:

Iptables-save

A použijte všechny změny:

Iptables-použít

Poté budete mít přístup k internetu. Pokud přejdete na jakoukoli stránku, která zobrazuje vaši IP adresu, uvidíte adresu externího serveru, nikoli vaši (pokud se neshodují).

Připomínám, že za následky svých činů nesete odpovědnost pouze vy.

Konfigurace pomocí Správce sítě "a

Ať už to bylo jakkoli, přesto popište nastavení vpn pomocí správce sítě "a. Toto nastavení je docela vhodné pro ty, kteří při připojení k síti používají automatické získávání IP adresy pomocí DHCP.

1. Nainstalujte dva balíčky, které potřebujeme:
# apt-get install pptp-linux network-manager-pptp
Vzhledem k tomu, že tyto balíčky nejsou ve výchozím nastavení na disku ubuntu a vpn je často nutné konfigurovat na počítači, který již nemá jiné připojení k internetu, doporučuji vám, abyste si tyto balíčky předem zásobili z oficiálního úložiště. Chcete-li to provést, přejděte na stránku packages.ubuntu.com/, vyhledejte tyto dva balíčky, stáhněte si je a poté je nainstalujte na počítač, který potřebujeme.
2. Pokud se položka VPN Connections v appletu Network Manager neobjeví nebo se neotevře, musíte se znovu přihlásit nebo ještě lépe - restartovat.
3. Stiskněte levé tlačítko myši (pravé tlačítko vyvolá další nabídku) na ikoně Správce sítě "a v rozevírací nabídce vyberte" Připojení VPN "-" Konfigurovat VPN ". Přidejte nové připojení a nastavte všechny potřebné možnosti pro toto spojení...
4. Poté by se vaše připojení mělo objevit v nabídce "VPN připojení", pokud se náhle neobjeví - znovu se přihlaste nebo restartujte (no, co mohu dělat, stále tento hrubý správce sítě).
5. Každý se nyní může připojit k připojení VPN, které jste vytvořili (stejně jako se odpojit výběrem položky nabídky ve Správci sítě "e).

# apt-get install pptp-linux

Jak jsem již popsal výše v části instalace pomocí správce sítě „a, vpn je často nutné nakonfigurovat na počítači, který již nemá jiné připojení k internetu, proto vám doporučuji, abyste si tento balíček předem zásobili z balíčků oficiálního úložiště. .ubuntu.com/.

2. Upravte soubor options.pptp:
#nano /etc/ppp/options.pptp

lock noauth nobsdcomp nodeflate persist

Nebudu popisovat každý z parametrů, popíšu jen některé:
persist - tento parametr se pokusí znovu otevřít připojení, když je zavřeno;
nodeflate - nepoužívejte kompresi deflate (i když prý s tím jde rychleji, nevím - nezkoušel jsem).
Pokud také vaše připojení používá šifrování, přidejte jeden z řádků v závislosti na typu šifrování - require-mschap-v2, require-mppe-40, required-mppe-128, required-mppe.

3. Vytvořte soubor připojení / etc / ppp / peers / vpn (název vpn můžete nahradit jakýmkoli jiným, ale pokud jej změníte, nezapomeňte jej změnit dále v tomto článku)

#nano / etc / ppp / peers / vpn

Vložíme tam následující řádky:
maxfail 0 lcp-echo-interval 60 lcp-echo-failure 4 defaultroute pty "pptp vpn.ava.net.ua --nolaunchpppd" jméno sukochev vzdálené jméno PPTP + chap soubor /etc/ppp/options.pptp ipparam vpn

Pozornost!!! Nezapomeňte nahradit následující možnosti svými:
Místo vpn.ava.net.ua zadejte adresu svého vpn serveru (můžete použít IP serveru). Místo sukochev vložte své přihlašovací jméno.
Popíšu některé parametry:
maxfail 0 - vždy se pokuste připojit, pokud není připojení;
lcp-echo-interval - časový interval, po kterém je vzdálená strana dotazována;
lcp-echo-failure - počet nezodpovězených požadavků ze vzdálené strany, po kterých nás systém považuje za deaktivované;
defaultroute - nastavení výchozí trasy;
+ kap - typ autentizace. Kromě + chap lze použít typ + pap.
soubor - načte další nastavení ze zadaného souboru.
V případě potřeby můžete také přidat následující parametry:
deflate 15,15 - použijte kompresi deflate (v souboru options.pptp by neměl být parametr nodeflate);
mtu - maximální velikost přenášeného paketu (tento parametr se obvykle mění, když je připojení často odpojeno nebo se některé stránky neotevřou);
mru je maximální velikost přijatého paketu.

4. Upravte soubor / etc / ppp / chap-secrets (pokud je použit typ ověřování PAP, pak / etc / ppp / pap-secrets).

#nano / etc / ppp / chap-secrets

Vložíme tam řádek jako:

Heslo PPTP Sukochev *

Pozornost!!! Pro připojení nahraďte sukochev svým uživatelským jménem a heslo svým heslem.
5. V případě potřeby přidejte potřebné trasy do souboru / etc / network / interfaces. Moje trasy jsou například registrovány, takže když je zapnuté připojení vpn, mohu používat místní místní síť. Zde je příklad mých tras (těch, které začínají trasou nahoru), přirozeně se pro vás budou lišit:

Auto eth1 iface eth1 inet dhcp up route add -net 10.1.0.0 netmask 255.255.0.0 gw 10.1.45.1 dev eth1 up route add -net 10.3.0.0 netmask 255.255.0111 gw.

Po změně souboru / etc / network / interfaces nezapomeňte restartovat síťová připojení:

# / etc / init.d / restartování sítě

6. Nyní můžete povolit a zakázat připojení VPN pomocí následujících příkazů:
Zapínání

Vypnout

Automatické připojení VPN při spouštění systému

Chcete-li to provést, upravte soubor / etc / network / interfaces
#nano / etc / síť / rozhraní

A vložte následující řádky na konec souboru:
auto ppp0 iface ppp0 inet poskytovatel ppp vpn pre-up ip link set eth1 up route del default up route add default dev ppp0

Kde eth1 je rozhraní síťového zařízení, přes které je připojeno připojení vpn, a vpn je název připojení vpn, které jste vytvořili ve složce / etc / ppp / peers /.

Chcete mít bezpečný a bezpečný přístup k internetu ze svého smartphonu nebo notebooku a zároveň se připojovat k nezabezpečené síti přes WiFi hotelu nebo kavárny? Virtuální privátní síť (VPN) vám umožňuje používat nezabezpečené sítě, jako byste byli v privátní síti. Veškerý váš provoz v tomto případě prochází serverem VPN.

V kombinaci s použitím připojení HTTPS vám níže popsaná nastavení umožní zabezpečit vaše soukromé informace, například přihlašovací jména a hesla, a také vaše nákupy. Kromě toho můžete obejít regionální omezení a cenzuru a také skrýt svou polohu a nešifrovaný přenos HTTP z nezabezpečené sítě.

Profil můžete přenést z počítače do telefonu připojením zařízení Android k počítači přes USB a zkopírováním souboru. Soubor profilu můžete také přesunout pomocí karty SD zkopírováním profilu na kartu a vložením karty do zařízení Android.

Spusťte aplikaci OpenVPN a kliknutím na nabídku importujte profil.

Sloučenina

Stiskněte tlačítko pro navázání spojení. Připojit... Budete dotázáni, zda důvěřujete aplikaci OpenVPN. Odpovědět OK k navázání spojení. Chcete-li připojení zastavit, přejděte do aplikace OpenVPN a vyberte Odpojit.

Krok 13. Testování připojení VPN

Poté, co je vše nainstalováno a nakonfigurováno, se ujistěte, že vše funguje správně. Bez navázání připojení VPN otevřete prohlížeč a přejděte na DNSLeakTest.

Tato stránka vrátí IP adresu, kterou vám přidělil váš ISP. Chcete-li zkontrolovat, které servery DNS jsou používány, klikněte na Rozšířený test.

Nyní vytvořte připojení pomocí klienta VPN a obnovte stránku v prohlížeči. Adresa IP, která vám byla přidělena, musí být zcela odlišná. Tuto novou IP adresu nyní používáte pro všechny na internetu. Klikněte na Rozšířený test znovu zkontrolujte nastavení DNS a ujistěte se, že nyní používáte DNS server vaší VPN.

Krok 14. Zrušení klientských certifikátů

Čas od času může být nutné zrušit klientský certifikát, abyste zabránili přístupu k serveru VPN a

Chcete-li to provést, přejděte do adresáře certifikační autority a zadejte příkazy:

• cd ~ / openvpn-ca
• zdroj vars

• ./revoke-full client3

Výstup tohoto příkazu skončí chybou 23. To je normální. V důsledku toho bude v adresáři klíčů vytvořen soubor crl.pem s informacemi nezbytnými pro zneplatnění certifikátu.

Přesuňte tento soubor do adresáře / etc / openvpn:

• sudo cp ~ / openvpn-ca / keys / crl.pem / etc / openvpn

• sudo nano /etc/openvpn/server.conf

Na konec souboru přidejte crl-verify. Server OpenVPN zkontroluje CRL pokaždé, když se někdo připojí k serveru.

/etc/openvpn/server.conf

Crl-verify crl.pem

Uložte a zavřete soubor.

Restartujte OpenVPN, abyste dokončili proces odvolání certifikátu:

• restart sudo systemctl [e-mail chráněný]

Nyní klient nebude moci navázat spojení se serverem OpenVPN pomocí starého certifikátu.

Chcete-li zrušit další certifikáty, postupujte takto:

Vygenerujte nový seznam odvolání pomocí příkazu source vars v adresáři ~ / openvpn-ca a provedením příkazu revoke-full se jménem klienta.

Zkopírujte nové CRL do / etc / openvpn a přepište staré CRL.

Restartujte službu OpenVPN.

Tento postup lze použít k odvolání jakýchkoli certifikátů, které jste dříve vytvořili.

Závěr

Gratulujeme! Nyní můžete bezpečně přistupovat k internetu, veškerý váš provoz je chráněn před odposloucháváním cenzorů a vetřelců.

Opakujte kroky pro konfiguraci dalších klientů 6 a 11-13 pro každé nové zařízení. Chcete-li zrušit přístup pro konkrétního klienta, použijte krok 14 .

Někdy potřebujete získat vzdálený přístup k podnikové síti, vytvořit tunel mezi servery nebo poskytnout přístup k internetu dobrému sousedovi, který byl odpojen od sítě kvůli dluhu, a možná jen mít přístup k vaší síti odkudkoli v svět, kde je internet.

Pro tyto účely můžete využít virtuální privátní sítě (Virtual Private Network - VPN). V našem případě se bude jednat o nejrozšířenější protokol v zemích SNS, a to PPTP (Point-to-Point Tunneling Protocol). Mnoho poskytovatelů kabelového internetu jej používá k poskytování služeb přístupu k internetu.

Uvedení vašeho serveru do provozu na Linuxu Ubuntu Server LTS není tak obtížné. K tomu potřebujeme přístup k internetu a skutečnou IP (pokud se potřebujeme připojit z internetu).

Přejdeme na server pomocí účtu root a nainstalujeme potřebné balíčky příkazem apt-get install pptpd Nabídne se nám také instalace balíčku bcrelay, který umožňuje duplikovat pakety vysílání přijaté na příchozím rozhraní na virtuální (klient PPP tunely).

Stiskněte enter a náš server je nainstalován. Začněme s konfigurací. Otevřeme soubor nano /etс/pptpd.conf a úplně dole uvidíme následující řádky

#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# nebo
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

Toto jsou nastavení IP adresy klienta. Odkomentujme první dva řádky (odstraňme symbol #) a trochu je opravíme.

Řádek localip 192.168.0.1 znamená, že náš VPN server bude mít IP 192.168.0.1, naši IP můžete zadat v jedné z přímo připojených sítí. Například v mé domácí síti má server IP adresu - 172.30.2.1 Abych server zbytečně nezatěžoval, použil jsem ji.

Druhý řádek - remoteip 192.168.0.234-238,192.168.0.245 určuje rozsah IP adres, které budou klientům přiděleny. Jak můžete vidět z těchto řádků, síťová adresa může být jakákoliv (ve druhé skupině řádků). Pro usnadnění vybereme ze stejného rozsahu jako IP našeho serveru.

Doma používám následující logiku vydávání IP: 1. - router, 2-19 - počítače, 20-49 - statická VPN (při připojení se vydává stejná adresa), 50-100 - klienti VPN, 101-199 - Wi- Fi klienti , 200-254 - pro různá zařízení (například IP router, TV atd.). Upřesníme rozsah remoteip 172.30.2.50-100 a uložíme konfiguraci.

Pojďme do adresáře cd / etс / ppp /, kde jsou uloženy všechny konfigurační soubory pptpd (server) a pppd (klient).

Přejmenujme soubor pptpd-options pomocí příkazu mv pptpd-options pptpd-options.bak a vytvořte jej pomocí nového nano pptpd-options To je provedeno proto, aby bylo snazší vložit několik řádků do nového souboru než hledat možnosti mezi desítky řádků s komentáři. Pojďme do tohoto nového souboru vložit následující obsah:

jméno pptpd
odmítnout-pap
odmítnout-kap
odmítnout-mschap
vyžadovat-mschap-v2
# require-mppe-128
ms-dns 172.30.2.1
nodefaultroute
zámek
nobsdcomp
auth
logfile /var/log/pptpd.log

co to všechno znamená? Pojďme popořadě:

• Použijte jméno pptpd k nalezení chap-secrets přihlášení
• S touto volbou nebude pptpd souhlasit s autentizací pomocí protokolu odmítnutí-pap, odmítnout-chap, odmítnout-mschap
• Vyžadovat peer ověření pomocí MS-CHAPv2
• Vyžadovat použití MPPE se 128bitovým šifrováním require-mppe-128 tj. šifrovat veškerý provoz. To zvyšuje zátěž serveru a ne všechna "slabá" zařízení to podporují (Wi-Fi routery atd.).
• Navrhněte použít server DNS s IP 172.30.2.1
• nodefaultroute - nenastavujte výchozí bránu ze serveru na klienta, jinak bude veškerý provoz do Internetu posílán přes připojeného klienta a internet bude také odpojen z důvodu ztráty cesty k poskytovateli.
• Uzamknout - blokovat relace, tzn. z jednoho přihlášení může být pouze jedno připojení
• nobsdcomp – Nekomprimujte provoz. Je-li povoleno, zvyšuje zatížení našeho serveru
• auth - vyžaduje autorizaci (login a heslo)
• logfile /var/log/pptpd.log - zapisovat provozní protokoly do tohoto souboru.

Uložte a zavřete tento konfigurační soubor.

Nyní musíme přidat uživatele, kteří se připojí k našemu serveru. Otevřeme soubor nano chap-secrets (slouží k ukládání PPP účtů).

Pro správnou funkci je nutné dodržet následující formát: sloupce musí být odděleny alespoň jednou mezerou nebo tabulátorem (Tab), mezery v názvech nejsou povoleny (jinak je za další sloupec považována mezera), přihlášení musí začínat písmenem. Například:

První sloupec je uživatelské jméno, druhý je název služby. V našem případě se jedná o pptpd. Dále je heslo uživatele, poslední je IP adresa, která bude přidělena. Navíc, pokud je *, bude IP adresa přidělena z dříve zadaného rozsahu automaticky. Můžete také zadat adresu IP, která může být mimo rozsah.

Před použitím serveru je nutné jej restartovat. Chcete-li to provést, spusťte /etс/init.d/pptpd restart, pokud v konfiguraci nejsou žádné chyby, server se spustí.

ro [e-mail chráněný]: / etc / ppp # /etc/init.d/pptpd restart
Restartování PPTP:
Zastavení PPTP: pptpd.
Spouštění démona PPTP: pptpd.

Pokud používáte), musíte k němu přidat následující řádky:

# VPN - PPTPD
iptables -A INPUT -p tcp -m tcp --dport 1723 -j PŘIJÍMAT
iptables -A INPUT -p gre -m state --state RELATED, ESTABLISHED -j ACCEPT

Chcete-li poskytnout přístup k internetu klientům VPN prostřednictvím našeho serveru, musíte do IPTables přidat následující pravidlo:

iptables -t nat -A POSTROUTING -o eth1 -j MASKÁRA

Kde eth1 je rozhraní směrem k internetu.

Chcete-li otestovat, můžete vytvořit testovací připojení VPN s vypnutým šifrováním (volitelné) a pro připojení k serveru použít libovolné zadané přihlášení.

Časté chyby připojení

Chcete-li vytvořit připojení klienta PPTP ze systému Windows XP, proveďte následující kroky: klepněte na "Start" - "Ovládací panely" - "Síťová a internetová připojení" - "Síťová připojení".

Klikněte na „Vytvořit nové připojení“ – tím se spustí „Průvodce novým připojením“.

Nyní zadáme název připojení. Zde můžete napsat cokoliv, bude to jen název připojení, například napíšeme "PPTP" (podle typu připojení).

Může se zobrazit následující otázka: "Použít nakonfigurovaná připojení k Internetu?" (Pokud jste již nakonfigurovali připojení PPPoE), klikněte v něm na „Nevytáčet“.

Pokud se taková zpráva neobjeví, čtěte dále.

Nyní budete požádáni o zadání adresy serveru, uvedení IP vašeho serveru nebo jeho názvu.

V okně zobrazeném na obrázku výše vyberte „Vlastnosti“. Objeví se okno, ve kterém vybereme záložku „Zabezpečení“. Najdeme v něm položku „Je vyžadováno šifrování dat“ a zrušíme zaškrtnutí políčka. jinak se nebudeme moci připojit, objeví se chyby 741 nebo 742 - "požadovaný typ šifrování není serverem podporován."

Poté klikněte na tlačítko „OK“, vraťte se do předchozího okna, zadejte své uživatelské jméno, heslo a připojte se k našemu vzdálenému serveru prostřednictvím zabezpečeného kanálu VPN!

Po zvážení teoretické problematiky v předchozích dílech přejděme k praktické realizaci. Dnes se podíváme na vytvoření PPTP VPN serveru na platformě Ubuntu Server. Tento materiál je určen pro čtenáře se znalostmi Linuxu, takže se nenecháme rozptylovat věcmi, které jsme popsali v jiných článcích, jako je konfigurace sítě atp. Máte-li potíže - nejprve si prostudujte naše další materiály.

Praktické seznámení s VPN zahájíme pomocí PPTP, které je nejsnáze implementovatelné. Mějte však na paměti, že se jedná o slabě zabezpečený protokol a neměl by být používán pro přístup k důležitým datům.

Zvažte obvod, který jsme vytvořili v naší zkušební laboratoři pro praktické seznámení s touto technologií:

Máme lokální síť 10.0.0.0/24 s terminálovým serverem 10.0.0.2 a 10.0.0.1, který bude fungovat jako VPN server, pro VPN máme vyhrazenou síť 10.0.1.0/24. Rozhraní externího serveru má podmíněnou vyhrazenou IP adresu X.X.X.X. Naším cílem je poskytnout vzdáleným klientům přístup k terminálovému serveru a sdíleným prostředkům na něm.

Nastavení serveru PPTP

Nainstalujte balíček pptpd, který implementuje funkci PPTP VPN:

Sudo apt-get install pptpd

Nyní otevřeme soubor /etc/pptpd.conf a nastavte základní nastavení serveru VPN. Pojďme na úplný konec souboru, kde uvedeme adresu serveru v síti VPN:

Localip 10.0.1.1

A rozsah adres, které mají být klientům vystaveny:

Remoteip 10.0.1.200-250

Adresy musí být přiděleny alespoň co nejvíce současných připojení, nejlépe s malou rezervou, protože jejich zvýšení bez restartování pptpd není možné. Také najdeme a odkomentujeme řádek:

Bcrelay eth1

To umožní klientům VPN vysílat jejich interní síťové pakety.

Můžete také použít možnosti poslouchat a Rychlost, první umožňuje specifikovat IP adresu lokálního rozhraní pro naslouchání příchozím PPTP připojením, druhé specifikovat rychlost VPN připojení v bps. Povolme například serveru přijímat připojení PPTP pouze z externího rozhraní:

Poslouchejte X.X.X.X

Jemnější nastavení je v souboru / etc / ppp / pptpd-options... Výchozí nastavení jsou zcela v souladu s našimi požadavky, ale některá z nich krátce zkontrolujeme, abyste měli představu o jejich účelu.

Sekce #Šifrování zodpovědný za šifrování a ověřování dat. Tyto možnosti zakazují použití starších a nezabezpečených protokolů PAP, CHAP a MS-CHAP:

Odmítnout-pap
odmítnout-kap
odmítnout-mschap

Vyžadovat-mschap-v2
vyžadovat-mppe-128

Další sekce #Síť a směrování, zde byste měli věnovat pozornost možnosti ms-dns který umožňuje použití DNS serveru v interní síti. To může být užitečné, když doménová struktura sítě nebo přítomnost serveru DNS v ní, který obsahuje jména všech počítačů v síti, což umožňuje odkazovat na počítače podle jejich jmen, nikoli pouze podle IP. V našem případě je tato možnost zbytečná a zakomentovaná. Podobně můžete pomocí volby nastavit adresu serveru WINS ms-vyhrává.

Zde je možnost proxyarp, včetně, jak už z názvu asi tušíte, podpory serveru Proxy ARP.

V sekci #Smíšený obsahuje možnost zámek který omezuje klienta na jedno připojení.

Ivanov * 123 *
petrov * 456 10.0.1.201

První záznam umožní uživateli ivanov připojit se k serveru heslem 123 a přidělí mu libovolnou IP adresu, druhý vytvoří uživatele petrov s heslem 456, kterému bude po připojení přidělena trvalá adresa 10.0.1.201.

Restartujte pptpd:

Sudo /etc/init.d/pptpd restartujte

Důležitá poznámka! Li pptpd nechce se restartovat, zamrzne na startu, ale v / var / log / syslog přidání řádku dlouhý řádek konfiguračního souboru ignorován nezapomeňte přidat na konec souboru /etc/pptpd.conf zalomení řádku.

Náš server je připraven.

Konfigurace klientských počítačů

Obecně postačí nakonfigurovat připojení VPN s výchozími možnostmi. Doporučujeme vám však výslovně specifikovat typ připojení a deaktivovat nepotřebné šifrovací protokoly.

Dále, v závislosti na struktuře sítě, musíte zadat statické trasy a výchozí bránu. Tyto otázky byly podrobně rozebrány v předchozích dílech.

Navážeme připojení VPN a pokusíme se pingnout jakýkoli počítač v místní síti, bez problémů jsme získali přístup k terminálovému serveru:

Nyní ještě jeden důležitý doplněk. Ve většině případů bude přístup k počítačům v lokální síti možný pouze pomocí IP adres, tzn. cesta \\ 10.0.0.2 bude fungovat, ale \\ SERVER ne. To může být pro uživatele nepohodlné a neobvyklé. Existuje několik způsobů, jak tento problém vyřešit.

Pokud má lokální síť doménovou strukturu, stačí zadat DNS server pro připojení VPN k DNS serveru doménového řadiče. Použijte možnost ms-dns proti / etc / ppp / pptpd-options server a data nastavení obdrží klient automaticky.

Pokud v místní síti není DNS server, můžete vytvořit a používat server WINS, informace o něm lze také automaticky přenášet klientům pomocí volby ms-vyhrává... A konečně, pokud je vzdálených klientů málo, použijte soubory na klientských počítačích hostitelé(C: \ Windows \ System32 \ drivery \ etc \ hosts), kam byste měli přidat řádky jako.