-
pptp (poptop) w CentOS
Dostęp do danych firmowych musi być odpowiednio zabezpieczony i to nie ulega dyskusji. Czasem jesteśmy zirytowani, nie mogąc dostać się do serwera z plikami, który jest w naszym biurze. Jakiś czas temu omawialiśmy OpenVPN-a, który jest lekarstwem na wyżej omawianą bolączkę. Niestety niektóre urządzenia mobilne, np. wyposażone w system iOS lub starsze wersje Androida, nie obsługują OpenVPN-a.Coż począć jeśli posiadamy wspomniany sprzęt, a potrzebujemy podpiąć się do sieci firmowej? Możemy skorzystać z pptp (Point-to-Point-Tunneling-Protocol). Niestety nie zapewnia on takiego poziomu bezpieczeństwa transmisji jak np. IPSec, ale w sytuacjach awaryjnych może się przydać. Przystąpmy do instalacji. Niestety wspomniane narzędzie nie jest częścią systemu i nie ma go w standardowych repozytoriach. Z pomocą przychodzi zewnętrzne repozytorium.
rpm -ivh http://poptop.sourceforge.net/yum/stable/rhel5/pptp-release-current.noarch.rpm
dla CentOS 5
rpm -ivh http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm
dla CentOS 6
Następnie przystępujemy do edycji plików konfiguracyjnych. Zacznijmy od „/etc/ppp/options.pptpd”. Poniżej przykładowa konfiguracja wykorzystująca mschap-v2 oraz mppe-128:
name pptpd
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
lock
nobsdcomp
novj
novjccomp
nologfd
Następnie konfigurujemy użytkowników w pliku „/etc/ppp/chap-secrets”, np.:
user pptpd trudnehaslo *
pptp to nazwa serwera, która musi być zgodna z tą z pliku „/etc/ppp/options.pptpd” definiowaną przez „name”.
Kolejnym krokiem będzie skonfigurowanie daemona poptop-a (pptpd). Edytujemy plik „/etc/pptpd.conf”:
localip 192.168.0.1 # IP serwera
remoteip 192.168.0.234-238,192.168.0.245 # zakres IP dla klientów
Następnie musimy skonfigurować firewalla. Jeśli korzystamy ze skryptu, powinniśmy dodać do niego następujące wpisy:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -p tcp -d 0/0 --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT
Startujemy daemona:service pptpd start
Aby przetestować nowego VPN-a spróbujmy podpiąć się np. iPhonem, pamiętając o wybraniu połączenie szyfrowanego. W przeciwnym wypadku, próba nawiązania kontaktu zakończy się niepowodzeniem. W razie wątpliwości, proszę pisać.
Wszystkie zamieszczone w serwisie tutoriale stanowią własność CentOS.com.pl oraz ich autorów. Zabrania się kopiowania fragmentów lub całych artykułów bez naszej zgody. Istnieje od tego odstępstwo, o ile zostanie podany link zwrotny i prawowity autor.
