PPTP,即PPTF協議。該協議是在PPP協議的基礎上開發的一種新的增強型安全協議,支持多協議虛擬專用網(VPN),可以通過密碼身份驗證協議(PAP)、可擴展身份驗證協議(EAP)等方法增強安全性。可以使遠程用戶通過撥入ISP、通過直接連接Internet或其他網絡安全地訪問企業網。
PPTP:點對點隧道協議
(PPTP: Point to Point Tunneling Protocol)
點對點隧道協議(PPTP)是一種支持多協議虛擬專用網絡的網絡技術,它工作在第二層。通過該協議,遠程用戶能夠通過 Microsoft Windows NT 工作站、Windows xp 、 Windows 2000 和windows2003、windows7操作系統以及其它裝有點對點協議的系統安全訪問公司網絡,並能撥號連入本地 ISP,通過 Internet 安全鏈接到公司網絡。IT辰逸
PPTP協議假定在PPTP客戶機和PPTP服務器之間有連通並且可用的IP網絡。因此如果PPTP客戶機本 設置步驟1身已經是IP網絡的組成部分,那麼即可通過該IP網絡與PPTP服務器取得連接;而如果PPTP客戶機尚未連入網絡,譬如在Internet撥號用戶的情形下,PPTP客戶機必須首先撥打NAS以建立IP連接。這裡所說的PPTP客戶機也就是使用PPTP協議的VPN客戶機,而PPTP服務器亦即使用PPTP協議的VPN服務器。
PPTP 只能通過 PAC 和 PNS 來實施,其它系統沒有必要知道 PPTP。撥號網絡可與 PAC 相連接而無需知道 PPTP。標准的 PPP 客戶機軟件可繼續在隧道 PPP 鏈接上操作。
PPTP 使用 GRE 的擴展版本來傳輸用戶 PPP 包。這些增強允許為在 PAC 和 PNS 之間傳輸用戶數據的隧道提供低層擁塞控制和流控制。這種機制允許高效使用隧道可用帶寬並且避免了不必要的重發和緩沖區溢出。PPTP 沒有規定特定的算法用於底層控制,但它確實定義了一些通信參數來支持這樣的算法工作。
閒話少說,直接開始了!
實驗環境:
操作系統需求 IP地址 Centos 6.3 * 1 內網 192.168.1.10 外網 10.10.10.10 windowsXP * 1 移動網絡由於是模擬,我配了個子接口IP 如下所示
2.安裝 PPTP 所需軟件包!
PPTP的包比較難找,也不曉得是為什麼,反正盤子裡沒有
.PPTP需要PPP支持,雖然系統本身有PPP功能,但它並不支持MPPE,所以需要更新系統的PPP組件,下載ppp-2.4.4-14.1.rhel5.i386.rpm安裝命令如下:
安裝內核MPPE(Microsoft Point to Point Encryption,微軟點對點加密)補丁,安裝命令如下:
用以下命令檢查內核MPPE補丁是否安裝成功,MPPE module可否載如:
輸入OK 就沒什麼問題了!
安裝pptpd,命令如下:
用以下命令檢查PPP是否支持MPPE:
到這裡 安裝基本上就好了。下面開始配置了!
/etc/pptpd.conf
編輯 /etc/ppp/options.pptpd 文件,它是PPP功能組件pppd將使用的配置文件,由於PPTP VPN的加密和驗證都與PPP相關,所以PPTP的加密和驗證選項都將在這個配置文件中進行配置。
3. 編輯 /etc/ppp/chap-secrets文件,www.itchenyi.com在此配置能夠連接到VPN服務器的用戶、密碼和IP等信息: [root@vpn ppp]# more /etc/ppp/chap-secrets
說明:上面第二行代碼的四項內容分別對應第一行中的四項。“itchenyi”是Client端的VPN用戶名;”server”對應的是VPN服務器的名字,該名字必須和/etc/ppp/options.pptpd文件中指明的一樣,或者設置成“*”號來表示自動識別服務器;“secret”對應的是登錄密碼,本例為itchenyi;“IP addresses”對應的是可以撥入的客戶端IP地址,如果不需要做特別限制,可以將其設置為“*”號。
4 .設置IP偽裝轉發
只有設置了IP偽裝轉發,通過VPN連接上來的遠程計算機才能互相ping通,實現像局域網那樣的共享。用下面的命令進行設置:
(三)啟動PPTP服務
service pptpd start
下面開始模擬客戶端進行連接
新建VPN連接
到這裡基本就結束了
演示環境是沒有用到iptables的,強烈的建議使用iptables!否則客戶連上來是不能上網的!
如何要設置客戶端撥VPN後能通過VPN服務器上網,需要做以下設置:
防火牆設置:了解更多請點擊 iptables服務全攻略
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 你的服務器IP iptables -A FORWARD -p tcp --syn -s 192.168.1.0/24 -j TCPMSS --set-mss 1356