VPN връзка чрез PPTP
VPN сървърът е инсталиран на същия компютър като интернет шлюза и защитната стена. VPN сървърът се използва за защита на информацията, предавана през WLAN (сценарий клиент/сървър). VPN връзка отвън (през Интернет) не е разрешена.
Трафикът, преминаващ през мрежовия интерфейс на WLAN, се блокира, доколкото е възможно, от защитната стена. Получават се само онези пакети, които са необходими за DHCP конфигурацията на WLAN клиентите и за VPN.
Локалната мрежа се състои от две части: защитена (LAN) и незащитена (WLAN): 192.168.0.* — нормална локална мрежа (частна); 172.16.0.* - безжична мрежа (публична, WLAN).
На сървъра трябва да оборудвате три мрежови интерфейса, които ще работят с подобна конфигурация, както следва: ethO - 10.0.0.1 (достъп до Интернет чрез ADSL рутер); eth1 - 192.168.0.1 (LAN); eth2 - 172.16.0.1 (WLAN).
Сървърът използва WLAN само за DHCP и VPN. Всички други мрежови функции се предоставят на WLAN клиенти през VPN тунела. WLAN клиентите са свързани чрез VPN към мрежата 192.168.0.*, като по този начин, използвайки VPN, те са органично вплетени в локалната мрежа.
Мрежова конфигурация на сървъра
# Интерфейс за свързване към WLAN auto eth2 точка за достъп
iface eth2 inet статичен адрес 172.16.0.1 мрежова маска 255.255.255.0
DHCP конфигурация.
# Конфигурация за две отделни мрежи
# Мрежа 1 (192.168.0.*) група < #LAN
опция за излъчване-адрес 192.168.0.255; опция подмрежова маска 255.255.255.0; опция рутери 192.168.0.1; опция server-name-domain 192.168.0.1;
диапазон 192.168.0.2 192.168.0.239; >
# Мрежа 2 (172.16.0.*) група < # WLAN
опция за излъчване-адрес 172.16.0.255; опция подмрежова маска 255.255.255.0;
диапазон 172.16.0.2 172.16.0.254; >
Направените промени се активират чрез следната команда: root# /etc/init.d/dhcp3-server restart
Вместо WLAN точка за достъп, можете да използвате WLAN рутер, но за това трябва да деактивирате DHCP сървъра!
Въпреки многото експерименти, не успях да накарам PPTP сървъра да работи с dnsmasq. Причината е, че конфигурацията не е достатъчно адаптирана за решаване на подобни проблеми, за да http://www.modx.cc/manager/?a=resource/create& >
Настройка на PPTPD сървър
Сега на сървърния компютър трябва да инсталирате програмата за PPTP сървър, която обикновено се намира в пакета pptpd. Конфигурационните настройки на тази програма се изпълняват в няколко файла наведнъж.
Файл pptpd.conf
опция /etc/ppp/pptpd-options # pptptd опции localip 192.168.0.1 remoteip 192.168.0.240-253 слушане 172.16.0.1
pptpd опции
/etc/ppp/pptpd-options съдържа всички специфични за PPP опции. Името на този файл по принцип може да бъде произволно, но трябва да съвпада с опцията за команда в /etc/pptpd.conf.
name pptpd# Същото име трябва да бъде посочено
# във втората колона на файла chap-secrets
ms-dns 192.168.0.1 # PPTP клиентите трябва да използват този DNS
Необходимо е да се обясни по-подробно значението на параметрите pptpd: настройката на името е отговорна за правилното тълкуване на PPP данните за вход и парола. Посоченото тук име трябва да съвпада с името, посочено във втората колона на файла chap-secrets.
Поради различните команди за изискване и отказ, само протоколът mschap версия 2 на Microsoft може да се използва за удостоверяване. Когато се използва заедно с настройката require-mppe-128 (128-битово криптиране), ние гарантираме най-сигурното изпълнение на PPTP.
Не забравяйте, че pppd ppp демонът също зачита всички опции в /etc/ppp/options (но опциите в /etc/ppp/pptpd-options имат предимство). Ако срещнете проблеми с конфигурацията на вашия PPTP сървър, първото нещо, което трябва да проверите, е файлът /etc/ppp/options. Нашият пример предполага, че файлът /etc/ppp/options е празен.
Ако имате проблеми с VPN връзката, добавете още един ред към pptpd-options с ключовата дума debug. След това pptpd и pppd ще запишат подробен статус и съобщения за грешка в /var/log/messages.
chap-secrets
Последният конфигурационен файл е /etc/ppp/chap-secrets. Той съдържа имената и паролите, чрез които PPTP сървърът идентифицира VPN клиентите. Този файл има четири колони. Първият съдържа потребителското име, третият съдържа паролата. За да бъде паролата достатъчно силна, нейната дължина не трябва да бъде по-малка от 12 знака.
Променената конфигурация влиза в сила след рестартиране на PPTP сървъра:
За да може pptpd демонът да стартира и спира автоматично, когато компютърът стартира и спира, трябва да създадете подходящите препратки за системата Init-V, които ще се различават в зависимост от разпространението.
Сега клиентският компютър трябва да установи връзка с PPTP сървъра. При всяка успешна връзка на сървъра се създава нов ppp интерфейс, т.е. pppO, ppp1 и т.н.
Състоянието на тези интерфейси може да се намери с помощта на командата ifconfig. Следващите редове накратко обобщават интерфейсите, работещи на компютъра mars.sol. В този пример lo е интерфейсът за обратна връзка, ethO е интерфейсът за свързване към интернет, eth1 е интерфейсът за LAN, eth2 е интерфейсът за WLAN и pppO е VPN интерфейсът за първия PPTP клиент.
root# ifconfig lo Протокол: Локален контур
инетАдрес:127.0.0.1Маска:255.0.0.0
ethO Link encap:Ethernet-Hardware-Address 00:16:17:cd:c3:81 inet Adr:10.0.0.1 Bcast:10.0.0.255 Маска:255.255.255.0
ethl Link encap:Ethernet-хардуерен-адрес 00:14:6c:8e:d9:71
inet Adr:192.168.0.1 Bcast:192.168.0.255 Маска:255.255.255.0
eth2 Link encap:Ethernet-Hardware-Address 00:4f:4e:0f:8e:a0 inet Adr:172.16.0.1 Bcast:172.16.255.255 Маска:255.255.0.0
pppO Link encap:Връзка от точка до точка
inet Adr:192.168.0.1 P-z-P:192.168.0.240 Маска:255.255.255.255
Конфигурация на защитната стена за PPTP сървър
От съображения за сигурност се препоръчва да затворите WLAN интерфейса за целия трафик, освен когато е абсолютно необходимо. Следните команди позволяват само DHCP и PPTP пакети да преминават през WLAN интерфейса. DHCP използва UDP на портове 67 и 68. PPTP използва TCP на порт 1723, както и собствения си GRE (Generic Route Encapsulation) протокол.
Необходимите правила за защитна стена могат лесно да бъдат вградени в скрипта, показан в началото на раздел 18.4, като първо добавите към /etc/default/myfirewall и зададете неговата MFW WLAN променлива на името на WLAN интерфейса:
В допълнение добавете следните команди към файла /etc/myfirewall/myfirewall-start.conf:
Конфигурация на защитната стена за PPTP клиент
За да попречите на мрежовите услуги, работещи на клиентски компютри (като Samba или MySQL сървър), да предават чувствителни данни през WLAN, можете да защитите WLAN интерфейса със защитна стена. Правилата са много подобни на правилата на сървъра по-горе. Единствената разлика е как се обменят данните.Прочетете също: Създаване на мрежов филтър с Squid и DansGuardian