• pptp (poptop) w CentOS

    dodany przez Przemysław Sikora

    Dostęp do danych firmowych musi być odpowiednio zabezpieczony i to nie ulega dyskusji. Czasem jesteśmy zirytowani, nie mogąc dostać się do serwera z plikami, który jest w naszym biurze. Jakiś czas temu omawialiśmy OpenVPN-a, który jest lekarstwem na wyżej omawianą bolączkę. Niestety niektóre urządzenia mobilne, np. wyposażone w system iOS lub starsze wersje Androida, nie obsługują OpenVPN-a.Coż począć jeśli posiadamy wspomniany sprzęt, a potrzebujemy podpiąć się do sieci firmowej? Możemy skorzystać z pptp (Point-to-Point-Tunneling-Protocol). Niestety nie zapewnia on takiego poziomu bezpieczeństwa transmisji jak np. IPSec, ale w sytuacjach awaryjnych może się przydać. Przystąpmy do instalacji. Niestety wspomniane narzędzie nie jest częścią systemu i nie ma go w standardowych repozytoriach. Z pomocą przychodzi zewnętrzne repozytorium.

    rpm -ivh http://poptop.sourceforge.net/yum/stable/rhel5/pptp-release-current.noarch.rpm

    dla CentOS 5

    rpm -ivh http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm

    dla CentOS 6
    Następnie przystępujemy do edycji plików konfiguracyjnych. Zacznijmy od “/etc/ppp/options.pptpd”. Poniżej przykładowa konfiguracja wykorzystująca mschap-v2 oraz mppe-128:
    name pptpd
    require-mschap-v2
    require-mppe-128
    ms-dns 8.8.8.8
    lock
    nobsdcomp
    novj
    novjccomp
    nologfd

    Następnie konfigurujemy użytkowników w pliku “/etc/ppp/chap-secrets”, np.:
    user pptpd trudnehaslo *
    pptp to nazwa serwera, która musi być zgodna z tą z pliku “/etc/ppp/options.pptpd” definiowaną przez “name”.
    Kolejnym krokiem będzie skonfigurowanie daemona poptop-a (pptpd). Edytujemy plik “/etc/pptpd.conf”:
    localip 192.168.0.1 # IP serwera
    remoteip 192.168.0.234-238,192.168.0.245 # zakres IP dla klientów

    Następnie musimy skonfigurować firewalla. Jeśli korzystamy ze skryptu, powinniśmy dodać do niego następujące wpisy:
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A INPUT -p tcp -d 0/0 --dport 1723 -j ACCEPT
    iptables -A INPUT -i eth0 -p gre -j ACCEPT
    iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT

    Startujemy daemona:

    service pptpd start

    Aby przetestować nowego VPN-a spróbujmy podpiąć się np. iPhonem, pamiętając o wybraniu połączenie szyfrowanego. W przeciwnym wypadku, próba nawiązania kontaktu zakończy się niepowodzeniem. W razie wątpliwości, proszę pisać.

Dodaj komentarz

Warto odwiedzić
Valid XHTML 1.0 Transitional centos.com.pl- mapa strony