Строим VPN-сервер на основе pptpd

PPTP – это Point-to-Point Tunelling Protocol, используется чаще всего для организации защищенного подключения удаленных пользователей во внутреннюю сеть компании через публичные сети, такие как Интернет, а также некоторыми Интернет-провайдерами с ограниченным адресным пространством для экономии честных IP-адресов при предоставлении услуги доступа в Интернет. Порядок настройки vpn-сервера:

1. Качаем и устанавливаем пакет pptpd, подходящий для нашей системы. Для моей CentOS 5.3 это выглядело так:
   1. rpm -ivh http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.i386.rpm
2. В файл /etc/ppp/chap-secrets дописываем информацию о пользователях, которым необходим удаленный доступ:
   1. $ cat /etc/ppp/chap-secrets
   2. # Secrets for authentication using CHAP
   3. # client      server          secret           IP addresses
   4. user1         pptpd           passwOrD1        10.0.10.2
   5. user2         pptpd           qWeRPDW2a        10.0.10.3
3. Проверяем, что в ядре включен форфардинг пакетов между интерфейсами, если нет – включаем:
   1. echo 1 > /proc/sys/net/ipv4/ip_forward
   2. sysctl -w net.ipv4.ip_forward=1
4. Проверяем, что в firewall-е открыты подключения извне на TCP-порт 1723 и что разрешен протокол #47:
   1. /sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
   2. /sbin/iptables -I INPUT -p 47 -j ACCEPT
5. Проверяем, что в файле /etc/ppp/options.pptpd присутствуют следующие опции:
   1. name pptpd
   2. refuse-pap
   3. refuse-chap
   4. refuse-mschap
   5. require-mschap-v2
   6. require-mppe-128
   7. ms-dns 10.0.0.253
   8. ms-dns 10.0.0.252
   9. proxyarp
   10. lock
   11. nobsdcomp
   12. novj
   13. novjccomp
   14. nologfd

   Опции ms-dns – это те DNS-сервера, которые выдаются клиенту. Нужно изменить на те, которые реально используются в Вашей сети. Если клиент в состоянии использовать DNS-сервера (по умолчанию клиент получит в качестве шлюза свой IP-адрес, который прописан в файле chap-secrets и DNS-сервера по этой причине могут стать недоступны), которые он использовал до установки vpn-подключения, эти опции можно убрать.

6. Редактируем /etc/pptpd.conf, нужно чтобы в нем были следующие строки:
   1. option /etc/ppp/options.pptpd
   2. logwtmp
   3. localip 10.0.0.1
   4. remoteip 10.0.0.2-20

   Параметры localip и remoteip изменяем в соответствии с IP-адресацией в Вашей сети.

7. Запускаем сервис:
   1. /etc/init.d/pptpd start
8. Включаем автозагрузку сервиса при старте системы:
   1. /sbin/chkconfig pptpd on
9. Пробуем подключаться. Если в качестве клиента Windows XP и имеются проблемы с подключением, то в настройках подключения на вкладке «Безопасность» нужно снять галочку «Требуется шифрование данных».

Если какая-то машинка за NAT-ом испытывает трудности с подключением к внешнему VPN-серверу и винда показывает ошибку №619, то стоит попробовать включить модуль ядра ip_nat_pptp на linux-роутере, который исполняет NAT:

Похожие заметки:

1. NAT в linux
2. Строим NAT средствами FreeBSD
3. Дисковые квоты в Linux
4. PuTTY: делаем Windows полезным