VPN сервер на Linux

tuxБыстро поднять  pptp vpn-сервер на Linux для Windows пользователей (и не только).

Дебиан: apt-get install ppp pptpd

RH: yum install ppp pptpd

если pptpd пакета нет в репозиториях, то скачать его отсюда.

или сразу

wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.i386.rpm

rpm -ihv pptpd-1.3.4-1.rhel5.1.i386.rpm

примеры конфигурационных файлов:

будем использовать ms-chap-v2.

/etc/pptpd.conf

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.80.1
remoteip 192.168.80.5-15

это самое простое, localip — ваш адрес, который будет дан ppp интерфейсу, remoteip — диапазон адресов для подключения клиентов.

/etc/ppp/options.pptpd

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

это вариант практически по умолчанию, значения каждой из переменных отлично комментированы в самом файле, например proxyarp — для того, чтоб подключенные клиенты видели друг друга.

/etc/ppp/chap-secrets

# client    server    secret            IP addresses
test    pptpd    “123456″    *

ну вот, в принципе и все. ничего сложного. теперь стартует сервис pptpd

/etc/init.d/pptpd start

и вполне можем подлючиться. ну и надо сказать пару слов об iptables, чтоб разрешить попадать подлюченным клиентам во внутреннюю сеть:

правим файл /etc/sysctl.conf на предмет net.ipv4.ip_forward = 1

применяем изменения sysctl -p

если у нас в локалку смотрит eth0 например, то добавим следущее в правила iptables:

iptables -A FORWARD -s 192.168.80.0/24 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o eth0 -j MASQUERADE

вторая строчка нужна если хотим сделать НАТ, если ж прямая марштуризация, и клиенты локалки знают о сети 192.168.80.0/24, или этот комп шлюз для них, то можно обойтись без неё.

ну и разрешим , соответственно VPN-поключения к самому серваку:

iptables -A INPUT -m state --state NEW -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

вот и все, настройка окончена. теперь ваш сервер готов к подключению клиентов извне к вашей корпоративной сети.

© shadow_alone