впн-сервер на основе pptpd
топология
| клиентская сеть |**************** впн****************| сервер |
| (192.168.1.0/24) |=========( интернет)======| |
| |*****************впн****************| |++++++( сеть 192.168.0.0/24 )
< 192.168.2.0/24 >
1. установка:
#pacman -S pptpd
2. конфиги:
а) pptpd.conf
#cat /etc/pptpd.conf| egrep -v "^#" | egrep "[:space:]"
####################################################################
option /etc/ppp/pptpd-options
logwtmp
localip 192.168.2.3 # адрес внутреннего интерфейса впн-сервера
remoteip 192.168.2.88-108 # диапазон внутренних адресов клиентов
####################################################################
б) options
#cat /etc/ppp/options| egrep -v "^#" | egrep "[:space:]"
####################################################################
asyncmap 0
noauth
crtscts
lock
hide-password
modem
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
noipx
####################################################################
в) pptpd-options
#cat /etc/ppp/pptpd-options| egrep -v "^#" | egrep "[:space:]"
####################################################################
auth
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
lock
nobsdcomp
####################################################################
г) chap-secrets
#cat /etc/ppp/chap-secrets
####################################################################
# Secrets for authentication using CHAP
# client server secret IP addresses
####################################################################
user pptpd password "192.168.2.88"
user2 pptpd password2 "192.168.2.89"
user3 pptpd password3 "192.168.2.90"
####################################################################
3. маршруты.
а) автоматическое добавление и удаление маршрута до удаленной подсети.
#echo "route add -net 192.168.1.0/24 gw 192.168.2.3" >> /etc/ppp/ip-up; \
echo "route del -net 192.168.1.0/24 gw 192.168.2.3" >> /etc/ppp/ip-down
б) соответственно, на клиентской машине прописывается маршрут до внутренней подсети на стороне впн-сервера. в данном случае до 192.168.0.0/24:
#route add -net 192.168.0.0/24 dev ppp0
или любым другим способом, в зависимости от клиента.
4. файрвол на впн-сервере.
дабы пропустить трафик во внутреннюю сеть за впн-сервером и обратно пропишем в файрвол следующие правила (подразумевается, что политика для FORWARD по умолчанию DROP).
#iptables -A FORWARD -i ppp0 -s 192.168.1.0/24 -j ACCEPT
#iptables -A FORWARD -i $LAN -d 192.168.1.0/24 -j ACCEPT
5. перенаправление пакетов.
включим перенаправление пакетов.
#nano /etc/sysctl.conf
####################################################################
net.ipv4.ip_forward = 1
####################################################################
#sysctl -p
| клиентская сеть |**************** впн****************| сервер |
| (192.168.1.0/24) |=========( интернет)======| |
| |*****************впн****************| |++++++( сеть 192.168.0.0/24 )
< 192.168.2.0/24 >
1. установка:
#pacman -S pptpd
2. конфиги:
а) pptpd.conf
#cat /etc/pptpd.conf| egrep -v "^#" | egrep "[:space:]"
####################################################################
option /etc/ppp/pptpd-options
logwtmp
localip 192.168.2.3 # адрес внутреннего интерфейса впн-сервера
remoteip 192.168.2.88-108 # диапазон внутренних адресов клиентов
####################################################################
б) options
#cat /etc/ppp/options| egrep -v "^#" | egrep "[:space:]"
####################################################################
asyncmap 0
noauth
crtscts
lock
hide-password
modem
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
noipx
####################################################################
в) pptpd-options
#cat /etc/ppp/pptpd-options| egrep -v "^#" | egrep "[:space:]"
####################################################################
auth
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
lock
nobsdcomp
####################################################################
г) chap-secrets
#cat /etc/ppp/chap-secrets
####################################################################
# Secrets for authentication using CHAP
# client server secret IP addresses
####################################################################
user pptpd password "192.168.2.88"
user2 pptpd password2 "192.168.2.89"
user3 pptpd password3 "192.168.2.90"
####################################################################
3. маршруты.
а) автоматическое добавление и удаление маршрута до удаленной подсети.
#echo "route add -net 192.168.1.0/24 gw 192.168.2.3" >> /etc/ppp/ip-up; \
echo "route del -net 192.168.1.0/24 gw 192.168.2.3" >> /etc/ppp/ip-down
б) соответственно, на клиентской машине прописывается маршрут до внутренней подсети на стороне впн-сервера. в данном случае до 192.168.0.0/24:
#route add -net 192.168.0.0/24 dev ppp0
или любым другим способом, в зависимости от клиента.
4. файрвол на впн-сервере.
дабы пропустить трафик во внутреннюю сеть за впн-сервером и обратно пропишем в файрвол следующие правила (подразумевается, что политика для FORWARD по умолчанию DROP).
#iptables -A FORWARD -i ppp0 -s 192.168.1.0/24 -j ACCEPT
#iptables -A FORWARD -i $LAN -d 192.168.1.0/24 -j ACCEPT
5. перенаправление пакетов.
включим перенаправление пакетов.
#nano /etc/sysctl.conf
####################################################################
net.ipv4.ip_forward = 1
####################################################################
#sysctl -p