Налаштовуємо vpn сервер

Практичне знайомство з VPN ми почнемо з PPTP, як найбільш простого в реалізації. Однак слід пам'ятати про те, що це слабкозахищеній протокол і його не слід використовувати для доступу до критично важливих даних.

Розглянемо схему, яку ми створили в нашій тестовій лабораторії для практичного знайомства з даною технологією:

Налаштування сервера PPTP

Встановимо пакет pptpd який реалізує функціонал PPTP VPN:

Це дозволить передавати VPN клієнтам широкомовні пакети внутрішньої мережі.

Більш тонкі налаштування знаходяться в файлі / etc / ppp / pptpd-options. Налаштування за замовчуванням цілком відповідають нашим вимогам, проте коротко розглянемо деякі з них, щоб ви мали уявлення про їх призначення.

Секція #Encryption відповідає за шифрування даних і перевірку автентичності. Дані опції забороняють використання застарілих і небезпечних протоколів PAP, CHAP і MS-CHAP:

Далі пропонується використовувати безпечний протокол перевірки автентичності MS-CHAP v2 і 128-бітове шифрування MPPE-128:

Тут же знаходиться опція proxyarp. що включає, як нескладно здогадатися з назви, підтримку сервером Proxy ARP.

У секції #Miscellaneous міститься опція lock. яка обмежує клієнта одним підключенням.

На цьому налаштування сервера можна вважати закінченою, залишилося створити користувачів. Для цього внесемо необхідні записи в / etc / ppp / chap-secrets. Записи повинні мати вигляд:

Важливе зауваження! Якщо pptpd не хоче перезапускатися, зависаючи на старті, а в / var / log / syslog додаючи рядок long config file line ignored обов'язково додайте в кінець файлу /etc/pptpd.conf перенесення рядка.

Наш сервер готовий до роботи.

Налаштування клієнтських ПК

Налаштовуємо vpn сервер
Далі, в залежності від структури мережі, необхідно вказати статичні маршрути і основний шлюз. Ці питання детально розбиралися в попередніх частинах.

Встановлюємо VPN з'єднання і пробуємо пропінгувати будь-якої ПК в локальній мережі, ми без будь-яких ускладнень отримали доступ до термінального сервера:

Якщо локальна мережа має доменну структуру, досить вказати DNS сервером для VPN підключення DNS сервер контролера домену. Скористайтеся опцією ms-dns в / etc / ppp / pptpd-options сервера і дані настройки будуть отримані клієнтом автоматично.

Якщо DNS сервер в локальній мережі відсутня, то можна створити і використовувати WINS сервер, інформацію про нього також можна автоматично передавати клієнтам за допомогою опції ms-wins. І нарешті, якщо віддалених клієнтів небагато, використовувати на клієнтських ПК файли hosts (C: \ Windows \ System32 \ drivers \ etc \ hosts), куди слід додати такі рядки:

За однією для кожного ПК в локальній мережі до ресурсів якого потрібен доступ.

Додаткові матеріали: