Подключение к VPN-серверу: клиентская настройка
#viradius.conf
acct 127.0.0.1 password123 auth 127.0.0.1 password123
Настройка PPTP-сервера с использованием Poptop
Poptop (www.poptop.org) является наиболее удачным, простым и быстрым решением для организации VPN-сервера на базе Linux/xBSD. В возможности Poptop входит: Microsoft-совместимая аутентификация и шифрование (MS-CHAPv2, MPPE 40-128 bit RC4), поддержка несколь-
ких клиентских соединений, прозрачная интеграция в сетевое пространство Microsoft (LDAP, Samba) с использованием плагина RADIUS, поддержка популярных PPTP-клиентов. В плане производительности, по сравнению с MPD, Poptop имеет один серьезный недостаток: он работает в пространстве пользователя, в то время как MPD трудится через модуль ядра NetGraph.
Предположим, у нас есть сервер под управлением OpenBSD 4.2 с внутренним IP-адресом 192.168.2.1; аутентифицированным клиентам необходимо выдавать IP-адреса из диапазона 192.168.2.32/27 (192.168.2.32-192.168.2.63, маска подсети 255.255.255.224, 30 доступ-
ных адресов).
Для функционирования системы в качестве шлюза, позволяющего клиентам локальной сети обращаться к внешнему миру, первым делом необходимо включить перенаправление IPv4 пакетов с одного сетевого интерфейса на другой:
# sysctl -w net.inet.ip.forwarding=1
ШтатноеядроOpenBSDподдерживаетпротоколGRE,нашазадача—раз- решитьегоиспользование:
# sysctl -w net.inet.gre.allow=1
Чтобыизменениявступиливсилупослеперезагрузки,добавляемсоответ-
ствующиезаписив/etc/sysctl.conf:
#vi/etc/sysctl.conf net.inet.ip.forwarding=1 net.inet.gre.allow=1
#Еще один полезный параметр для шлюза: при панике ядра не сваливаемся в отладчик DDB, сразу идем на перезагрузку ddb.panic=0
Устанавливаемpoptopизпортов:
Модифицируем значения переменных механизма sysctl
#cd /usr/ports/net/poptop
#make install clean
Илиспомощьюпрекомпилированногопакета:
# pkg_add ftp://ftp.openbsd.org/pub/OpenBSD/4.2/ packages/i386/poptop-1.1.4.b4p1.tgz
Прикомпиляцииизисходныхтекстовконфигурационномускрипту configureследуетпередатьдвапараметра:‘--with-bsdppp’и‘--with-pppd-ip- alloc’.Назначениепервойопцииочевидноизназвания,втораяпозволяет снятьограничениянаколичествоодновременныхсессийидобавляет поддержкумеханизмараспределенияIP-адресов.
Все,инсталляцияпроизведена,переходимкнастройке.
#vi/etc/ppp/ppp.conf
#Умолчальные установки default:
set log Phase Chat LCP IPCP CCP tun command
#Отключаем использование протокола IPv6 disable ipv6cp
#Ключевая секция
pptp:
#Используем MS-CHAP v2 enable MSChapV2
#Используем алгоритм шифрования данных MPPE set mppe 128 stateless
#Стандартные методы компрессии не работают с MPPE, отключаем их
disable deflate pred1 deny deflate pred1
#Отключаем таймер ожидания
set timeout 0
#Задаем адрес VPN-шлюза, диапазон клиентских адресов и широковещательный адрес
set ifaddr 192.168.2.1 192.168.2.32-192.168.2.63 255.255.255.255
#Разрешаем получение адреса DNS-сервера и передаем его клиенту
accept dns
set dns 192.168.1.1
#При необходимости включаем ARP proxy
enable proxy