Введение в VPN (Virtual Private Network)

Введение в VPN

Существует множество классификаций VPN, здесь мы в основном поговорим о PPTPD и L2TPD, OpenVPN.

Установка PPTPD

• Проверка установки:

• CentOS: rpm -qa | grep pptpd

• Ubuntu: dpkg -l | grep pptpd

• Установка зависимостей:

• CentOS 6: sudo yum -y install ppp

• Ubuntu: sudo apt-get install -y ppp

• Установка:

• CentOS 6: sudo yum -y install pptpd

• Ubuntu: sudo apt-get install -y pptpd

Конфигурация службы PPTPD

• Примечание: порт по умолчанию для PPTPD — 1723, поэтому необходимо отключить ограничения брандмауэра для этого порта. Проверьте, открыт ли порт 1723: sudo netstat -apnl | grep 1723
• Редактирование файла конфигурации PPTPD (не забудьте сделать резервную копию): sudo vim /etc/pptpd.conf
• Изменение конфигурационных параметров:
  • option /etc/ppp/options.pptpd # В файле конфигурации есть строка с таким параметром, если его нет, добавьте его самостоятельно. Также возможно использование строки option /etc/ppp/pptpd-options, в зависимости от содержимого вашего конфигурационного файла.
  • logwtmp # По умолчанию этот параметр не закомментирован, нужно закомментировать
  • localip 172.31.0.1 # IP-адрес внутренней сети сервера, рекомендуется использовать нестандартный диапазон IP-адресов для вашей внутренней сети, по умолчанию этот параметр закомментирован, раскомментируйте его
  • remoteip 192.168.0.10-200 # Диапазон IP-адресов клиентов, по умолчанию закомментирован, раскомментируйте его
• Редактирование PPP файла конфигурации (не забудьте сделать резервную копию): sudo vim /etc/ppp/options.pptpd или sudo vim /etc/ppp/pptpd-options
• Добавьте следующие конфигурационные параметры в конец файла (по умолчанию они должны быть, просто закомментированы):
  • ms-dns 8.8.8.8 # Настройка DNS, лучше использовать Google DNS для серверов за границей, в зависимости от ситуации в вашей стране
  • ms-dns 8.8.4.4 # Настройка DNS, лучше использовать Google DNS для серверов за границей, в зависимости от ситуации в вашей стране
• Включение перенаправления системы (не забудьте сделать резервную копию): sudo vim /etc/sysctl.conf
• Измените значение на 1:
  • net.ipv4.ip_forward=1 # По умолчанию это значение закомментировано, необходимо раскомментировать
• Обновление конфигурации: sudo sysctl -p
• Настройка переадресации iptables:
• Добавление правила iptables: sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
• Установка правила для запуска при загрузке системы: sudo vim /etc/rc.local
  • Добавьте в файл конфигурации следующую строку: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
• Добавление учётных записей для входа (не забудьте сделать резервную копию): sudo vim /etc/ppp/chap-secrets
• В конце файла добавьте следующую информацию:
  • mytest1 pptpd 123456 * # Этот формат означает: имя пользователя, протокол аутентификации, пароль, IP-адрес клиента, подключённого к этому соединению (* означает случайный IP-адрес)
• Перезапуск службы: sudo service pptpd restart
• Подключение к VPN через Windows: http://www.cnblogs.com/yuzeren48/p/4123879.html

Установка L2TPD

• Проверка установки:

• CentOS: rpm -qa | grep xl2tpd

• Ubuntu: dpkg -l | grep xl2tpd

• Установка:

• CentOS 6:

• Ubuntu: sudo apt-get install -y xl2tpd ppp openswan

Настройка службы L2TPD

• Примечание: Порт по умолчанию для L2TPD — 1701, поэтому необходимо снять ограничения брандмауэра для этого порта. Проверьте, открыт ли порт 1701: sudo netstat -apnl | grep 1701
• Редактирование файла конфигурации Openswan (не забудьте сделать резервную копию): sudo vim /etc/ipsec.conf
• left=172.31.201.255 # Здесь замените IP-адрес на внутренний IP-адрес вашей сети, в файле есть два места, которые нужно изменить
• Редактирование файла конфигурации IPsec-based (не забудьте сделать резервную копию): sudo vim /etc/ipsec.secrets
• 172.31.201.255 %any: PSK"adc123456" # Добавьте эту строку в конец файла: (формат: внутренний IP-адрес сервера, затем конфигурационный ключ. Ключ можно не настраивать, но рекомендуется настроить)
• Редактирование файла конфигурации L2TPD (не забудьте сделать резервную копию): sudo vim /etc/xl2tpd/xl2tpd.conf
• Изменение параметров конфигурации:

ipsec saref = yes           
require chap = yes   
refuse pap = yes   
require authentication = yes  
ppp debug = yes  
length bit = yes
ip range = 192.168.1.10-192.168.1.200              # Это диапазон IP-адресов, к которым клиенты могут подключаться к серверу
local ip = 172.31.201.255        # Это внутренний IP-адрес вашего сервера
pppoptfile = /etc/ppp/options.xl2tpd        # Укажите путь к файлу конфигурации PPP на вашем сервере, если он отличается от указанного здесь, измените его соответствующим образом

• Редактирование файла конфигурации PPP (не забудьте сделать резервную копию): sudo vim /etc/ppp/options.xl2tpd (если такого файла не существует, создайте его)
• Добавьте следующую информацию в конец файла:

refuse-mschap-v2           
refuse-mschap           
ms-dns 8.8.8.8           # Настройка DNS, лучше использовать Google DNS для серверов за границей, в зависимости от ситуации в вашей стране
ms-dns 8.8.4.4           # Настройка DNS, лучше использовать Google DNS для серверов за границей, в зависимости от ситуации в вашей стране
asyncmap 0           
auth           
lock           
hide-password           
local           
name l2tpd           
proxyarp           
lcp-echo-interval 30           
lcp-echo-failure 4           
refuse           
refuse           
refuse   

• Введите команду в терминале: sudo sh -c 'for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done'
• Включение переадресации системы (не забудьте сделать резервную копию): sudo vim /etc/sysctl.conf
• Изменение значения:
  • net.ipv4.ip_forward=1 # По умолчанию это значение закомментировано, необходимо раскомментировать
• Обновление конфигурации: sudo sysctl -p
• Настройка переадресации iptables:
• Добавление правила iptables: sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
• Установка правила для запуска при загрузке системы: sudo vim /etc/rc.local
  • Добавьте в файл конфигурации следующую строку: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
• Добавление учётных записей для входа (не забудьте сделать резервную копию): sudo vim /etc/ppp/chap-secrets
• В конце файла добавьте следующую информацию:
  • mytest1 l2tpd 123456 * # Этот формат означает: имя пользователя, протокол аутентификации, пароль, IP-адрес клиента, подключённого к этому соединению (* означает случайный IP-адрес)
• Перезапуск службы: sudo service l2tpd restart
• Подключение к VPN через Windows: http://www.cnblogs.com/yuzeren48/p/4123879.html

Установка OpenVPN

• Основная информация о версии программного обеспечения:
• OpenVPN: 2.3.11-1.el6
• EasyRsa: 2.2.2-1.el6
• Проверка поддержки системы: cat /dev/net/tun, если появляется сообщение об ошибке: cat: /dev/net/tun: File descriptor in bad