Създаване на PPTP-сървър за изпълнение сигурен достъп до операционни системи на домашната мрежа

В света, за да се консолидират множество мрежи, използвайки различни видове виртуални частни мрежи - VPN (Virtual Private Network). Много компании с офиси в различни страни да използват тази технология, тъй като ви позволява да използвате Интернет, като същевременно се гарантира поверителността на данните, предавани в рамките на това, както и осигурява "прозрачен" за потребители на глобална виртуална мрежа, без да инсталирате допълнителен или основен ремонт на съществуващ софтуер , Сред най-често срещаните протокол, използван за прехвърляне на данни в VPN мрежи, - PPTP, FreeS, PPP, SSL и IPSec (имайте предвид, че последният се състои от няколко протоколи, които осигуряват защита на IP трафик). Тази статия се обсъжда създаването на PPTP-сървъра като настройка и отстраняване на грешки, че няма да създаде трудности за потребител Linux. Не можем да пренебрегнем създаването на виртуални частни мрежи, базирани на популярната услуга Hamachi. Тази услуга Ви дава възможност да се създаде виртуална мрежа, бързо и лесно, но дори и тук има някои проблеми: на услугата може да бъде напълно изплатени, безплатната версия е функционалност олекотена и нивото на защита дава IPSec и PPTP (с MPPE криптиране на 128 бита), като между виртуален мрежов клиент има сървър на трета страна.

PPTP протокол (от точка до точка Tunneling Protocol) е подобрена версия на ПЧП, която е разработена от Microsoft. И тъй като това развитие на Microsoft, протокола и се поддържа от почти всички системи, базирани на Windows (с изключение на Windows 95/98), така че е подходящ за осъществяване на достъп до локалната мрежа на дома (защото в обичайното операционната система на това семейство). Съчетанието на относително проста настройка на сървъра с клиент бърза конфигурация прави протокола по-привлекателна за създаване на виртуална частна мрежа за достъп до локалната мрежа на потребителя. Имайте предвид, че за да се свържете Linux-компютри, протоколът почти никога не се използва, както за Linux, специално разработени протоколи, които са по-подходящи за свързване на тези системи.

PPTP протокол - това е една обща рамка, която дава възможност за установяване на защитена VPN-връзка. Пакетите данни, преминаващи през виртуалната мрежа първо се капсулират в ПЧП пакети, които след това се капсулират в GRE пакети (General Routing Капсулирането - общо капсулиране маршрути) и се изпращат до другия край на връзката. GRE е IP-протокол като ICMP, TCP или UDP. Неговият брой - 47.

Но това, което е капсулиране? По-просто казано, е добавянето на заглавието или в края на заглавна информация на пакета, тоест, е модифициран в определен модел на нов стандарт опаковката. За да се поддържа PPTP-връзка, която се формира GRE-пакети използва допълнителен комуникационен канал. Този контрол канал използва TCP-връзка от клиента към PPTP-1723та порта PPTP-сървъра. Тя е предназначена за изпращане на информация на сигнал и проверка на състоянието на връзката.

Има няколко протоколи за идентификация на потребителите, които са разработени от Microsoft специално за работа с PPTP, - PAP, MS CHAP и MS CHAP v2. Най-сигурният от тях е MS CHAP v2 (протокол за удостоверяване предизвикателство ръкостискане), който се изпълнява на "предизвикателство. - поздрав" Този протокол се основава на DES криптиране и Windows NT Hash, което, от своя страна, се основава на хеш функцията MD5. За кодиране на пакети PPTP протокол се използва разширението ПЧП - MPPE (Microsoft от точка до точка Encryption Protocol). Тук, за пакет за криптиране се използва тук и данни RC4 поточен шифър шифровани посредством ключ за 40- или 128-битова. С такава система за удостоверяване и криптиране осигурява надеждна защита срещу нарушители.

Следващата позиция е била построена за организиране на сървъра на PPTP:

  • Процесор - Intel Pentium 4 3 GHz;
  • дънна платка - на базата на чипсет Intel i875;
  • памет - 2x512 MB Kingston с ефективно честота от 400 MHz;
  • Твърд диск - Seagate ST9773401LC на 73 GB и контролер SCSI Adaptec AIC 2940;
  • операционна система - ASP Linux 11.2 в ядрото 6.2.17 и подкрепа за ОМП.

Структурата почти всеки нов Linux дистрибуция вече е включено пакети PPPD и PPTP-новите версии. Ако те не са монтирани, те трябва да бъдат doustanovit (в този случай, може да се наложи да компилирате ядрото да подкрепят MPPE), тъй като те са необходими за PPTP-сървър. В ASP Linux 11.2, всички тези пакети са инсталирани във всеки случай, разбира се, не е на разположение "персонализирана инсталация" в началото на инсталацията. На щанда бяха инсталирани пакети PPPD версии 2.4.3-6.2.1 с подкрепата MPPE и PPTP 1.7.1-1.11 версия (пакета е отговорен за страната на клиента, ако е връзка с интернет не е чрез PPTP-връзка, инсталирането е по желание) , Пакети могат да се инсталират ръчно, т.е. тях компилиране (./configure, направи, да направи инсталиране), или да използват вече компилирани пакети, които са инсталирани чрез специален управление като Yum, оборота в минута, и т.н.

Пакетът от основния сървър е pptpd. Тази услуга е отговорен за работата на сървъра. Имайте предвид, че когато е инсталирана в ASP Linux 11.2, е била използвана като сървърна операционна система, с помощта на автоматизирана инсталационни пакети през интернет - Yum - пакетът не е работил. Via Yum ще бъде инсталиран в стабилен отбор 1.3.0a на версията pptpd изпълнена от командния ред:

Yum инсталирате pptpd или Sudo Yum инсталирате pptpd.

След това е необходимо да се съглася, натиснете "Y" ключ.

катран xzf pptpd-1.3.4.tar.gz

направи инсталиране (или Sudo направи инсталиране, Sudo ако е зададен).

Ако не се показва грешка, пакетът е инсталиран. Грешки се случват, ако PPPD не е инсталиран без MPPE за поддръжка.

За да стартирате услуга, трябва да изберете командата от pptpd, но преди да започнете на услугата, трябва да редактирате конфигурационните файлове. Трябва да се отбележи, че след инсталирането на пакета на ръка не винаги се предписва в "Autorun" на pptpd екип. За да го добавите, е необходимо да се предвидят следните редове файла /etc/rc.d/rc.local:

Ако [-x / ЮЕсАр / местни / sbin / pptpd]; след това

ехо N 'pptpd "; / ЮЕсАр / местни / sbin / pptpd

След това PPTP-сървър ще се стартира автоматично pptpd екип. За да бъде картината пълна, можете да напишете малки скрипт, който ви позволява да стартирате и да се спре на услугата чрез услугата команда. За да направите това, вие трябва да създадете папка /etc/rc.d/init.d/ pptpd файл и инсталирайте 755 (rwx, г-х, г-х) разрешения чрез командата:

коригират 755 pptpd.

Във вътрешността на файла, на следния ред трябва да бъде написано:

# Описание: контрол на pptpd сървъра

ехо 1> / Proc / сис / нето / IPv4 / ip_forward

ако / ЮЕсАр / местни / sbin / pptpd; след това

ехо "Използване $ 0 (начало | спре | рестартиране)"

С този малък скрипт, можете да започнете, спрете и рестартирайте PPTP-сървъра със съответните команди:

  • обслужване pptpd започнете - стартирате сървъра;
  • обслужване pptpd спирка - спиране на сървъра;
  • обслужване pptpd рестарт - рестартиране на сървъра.

Сега, след като в началото на процеса на автоматизация PPTP-сървър, трябва да го конфигурирате да работи правилно. Ако сървърът има защитна стена (защитна стена), е необходимо да се даде възможност на движението да премине по него на 47-ти протокол GRE, както и TCP-връзката през 1723-та пристанището. Тъй като в нашия случай като стандарт ASP Linux 11.2 е IPTABLES защитна стена, можете да го направите, като добави няколко реда в IPTABLES вериги:

IPTABLES -A FORWARD -p 47 -s 192.168.193.0/24 -j ACCEPT

IPTABLES -A INPUT -p TCP -j ACCEPT -dport 1723

Когато инсталирате pptpd пакет в / и т.н. / директория създава основния конфигурационен файл pptpd.conf, който е отговорен за основните настройки на PPTP-сървъра. Всяка една от тези настройки, има описание на английски език. Ето кратко описание на всяка опция в този файл, както и няколко допълнителни.

Тази опция се използва за определяне на времето за PPTP пакет-точна чака, преди да достигне програма за контрол pptpctrl и ще бъде предаден на клиента. По подразбиране, цифрата е 10. Параметър X - времето, в секунди. По този начин той е защитен от DoS-атаки.

Вариант bcrelay интерфейс

Допълнителни връзки п

Вариант localip IP-адрес

Вариант remoteip IP-адрес

Този параметър определя максималната скорост на връзката, с която се обменя данни между сървъра и клиента. По подразбиране за тази опция (опция "х") е на стойност 115 200 байта / сек и е максимално разрешения за PPPD. В действителност, скоростта може да бъде значително по-голям, но само ако тя се дава тази стойност.

Всички опции са описани на английски език, можете да ги прочетете, като напишете "човек pptpd.conf". С цел да се осигури достъп до множество компютри в локална мрежа, конфигурационния файл трябва да бъде редактиран pptpd.conf следва:

Тази опция е отговорен за името на услугата, което е предписано от удостоверяване на файлове / и т.н. / ПЧП / симпатяга-тайните. По подразбиране името съвпада с името на услугата - pptpd.

Вариант изискват-MSCHAP-v2, + chapms-v2

Тази опция позволява на потребителите да се удостовери с сигурен протокол - MS CHAP v2. По подразбиране, конфигурационния файл е разрешено само за протокола за удостоверяване на потребителя.

Вариант изискват-MPPE-128, MPPE-128, MPPE-40, MPPE-без гражданство ", изисква MPPE, без гражданство"

Като цяло, конфигурационния файл може да бъде два записа на тази опция. С негова помощ, можете да укажете на първичния и вторичния DNS сървър за PPTP-клиенти.

За повече информация относно свързването на клиентите, както и включените опции и настройки за отстраняване на грешки се използват сметището съответно. На етапа на изграждане на сървъра и отстраняване на грешки Тази функция е много полезна, то тя може да бъде деактивирана, тъй като обемът на лог-файл ще расте с всяка нова връзка. По подразбиране, и двете функции са с увреждания.

Посочените по-горе настройки забраняват компресията, която се използва в по-ранните клиенти Windows 9x / Me :. Опцията по подразбиране е включен.

За други опции, които се използват по-рядко може да се прочете, като напишете "синтетични PPPD" от командния ред, както options.pptpd отнася не само до демона от pptpd, но също така и към основната контрола пакет PPPD, който установява връзка и за VPN тунел.

В нашия щанд да използват конфигурационен файл, който съдържа следните опции:

След като настроите /etc/ppp/options.pptpd конфигурационния файл е необходимо да се регистрирате на потребителите, които ще имат достъп за PPTP-връзката, и коригиране на маршрута на пакетите в IPTABLES пакет за клиента достъп извън локалната мрежа. Следващата стъпка - промяна на информацията във файла / и т.н. / ПЧП / симпатяга-тайните. Ето и имената и паролите на потребителите, които се използват за протокол за удостоверяване MSCHAP или момък. Ако файлът /etc/ppp/options.pptpd допускат клиенти за достъп, използвайки метода на удостоверяване, тате, вие също трябва да редактирате файла / и т.н. / ПЧП / PAP тайни. Достъпът до тези файлове трябва да бъдат строго ограничени, така че е препоръчително да определите правата до 600 (RW-, -, -), за да се защитят срещу инвазия.

симпатяга тайни файл трябва да изглежда така:

User1 pptpd password1 *

User 2 pptpd password2 *

След създаване на конфигурационни файлове е необходимо да се създаде верига в IPTABLES защитна стена за маршрутизация на пакети от една виртуална локална мрежа. За да направите това, изпълнете следните стъпки:

IPTABLES -t NAT -А POSTROUING -s 192.168.193.0/255.255.255.0 -j маскарад

IPTABLES -t NAT -А POSTROUING -d 192.168.193.0/255.255.255.0 -j маскарад

Тези две правила дават на местните клиенти достъп до виртуалната мрежа, както и обратното. Мрежа 192.168.193.0/24 сочат в настройките pptpd услуги в конфигурационния файл /etc/pptpd.conf а.

Сега PPTP-сървър е напълно конфигуриран и можете да я изпълните на екипа или услуга pptpd започне pptpd. За да проверите дали всичко е направено правилно, можете да стартирате няколко команди, показани на фиг. 1.

Фиг. 1. Конфигурация Потвърждаване

Имайте предвид, че командата маршрут, който е представен на фигурата показва резултат, когато клиентът свързан с PPTP-сървър, завери и създаде PPTP-съединение.

Сега трябва да изберете PPTP-клиент. -> Настройки -> Control Panel -> Network Connections Начало: За създаване на VPN-връзка на PPTP протокол в Windows XP операционна система, следните команди за изпълнение.

Това ще стартира Съветник за нова връзка. Трябва да натиснете бутона Напред и изберете свърже с мрежата на работното ми място. След това - След това изберете Connect с виртуалната частна мрежа и в непосредствена близост.

Фиг. 2. Client Configuration PPTP

Имайте предвид, че след инсталацията PPTP-сложни маршрути до локалната мрежа, не са задължителни. За да добавите маршрут към локална мрежа (192.168.0.0/255.255.0.0), трябва да се извършват следните команди: Start -> Run -> CMD. след това натиснете Enter и да се регистрирате в командния ред:

маршрут добавите 192.168.0.0 маска 255.255.0.0 IP,

След завършване на всички настройки, можете да се свържете със сървъра. По този начин, от където и да е, можете да получите в домашна мрежа и да работят в безопасен режим. Ако е необходимо, можете да промените конфигурацията на PPTP-сървър за конкретна мрежа. Имайте предвид, че доставчикът използва модифицирана версия на PPTP сървъри, които не поддържат MPPC-компресия. По подразбиране, този модул вече е включена в разпределението на PopTop сървър. Такова съединение също така избягва голямо натоварване на процесора, тъй като, например, Hamachi товари и възможност за допълнителни процесорни команди. Когато сървъра широк скорост канал, който се определя LAN интернет достъп на клиента.

Cougar Съвсем наскоро компанията представи нова серия от захранващи устройства за традиционните персонални компютри - VTX, насочени към потребителите с ограничен бюджет. Този модел преглед Cougar VTX600 ще се счита, че се дължи на нейните характеристики е един от най-популярните в линията на захранвания

На ежегодното събитие Капсаицинът SIGGRAPH в Лос Анджелис, AMD се утвърди на пазара на PC за най-висок клас с нови процесори Ryzen Threadripper и GPU «Вега»

За прост и удобен изграждане на обикновените потребители на мрежи компания ZyXEL пусна следващата версия на своята интернет хъб за свързване с 3G / 4G мрежи чрез USB-модем с Wi-Fi точка за достъп - ZyXEL Keenetic 4G III, които ние считаме, в този преглед

За да си и така наскоро добавени голямо семейство на рутери и рутер компания ASUS две много интересни модели: флагманът 4G-AC55U и по-лесно 4G-N12. В тази статия, ще се счита за водещ модел на ASUS 4G-AC55U на

Млад, но амбициозна фирма КРЕЗ-рано тази година пусна нов, оригинален модел лаптоп КРЕЗ Ninja (модел TM1102B32), работещ на Windows 10. Тъй като този компютър разполага с екран въртящ, тя може да служи като универсално решение - тя може да се използва успешно за работа, както и за проучване и за игра

Ако често отпечатвате снимки и вече уморени, за да промените касети с мастило в принтера, погледнете MFP Epson L850. A голям ресурс на консумативи, отлично качество на печат, широка гама от функции - това са само някои от предимствата на този модел