VPN之PPTP部署[6.x][7.x] · linux運維

# VPN之PPTP部署[6.x][7.x] [TOC] ## 一、環境準備 ### 1.系統信息 ```sh [root@xxx ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) [root@xxx ~]# uname -r 3.10.0-693.el7.x86_64 [root@xxx ~]# hostname -I 10.0.0.61 172.16.1.61 ``` ### 2.防火墻、selinux ```sh sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config setenforce 0 systemctl stop firewalld.service systemctl disable firewalld.service ``` ## 二、安裝pptp ### 1.查看系統是否支持PPP 一般自己的系統支持，VPS需要驗證。 ```sh [root@xxx ~]# cat /dev/ppp cat: /dev/ppp: No such device or address ``` 如果出現以上提示則說明ppp是開啟的，可以正常架設pptp服務，若出現Permission denied等其他提示，你需要先去VPS面板里看看有沒有enable ppp的功能開關，如果沒有則需要發個消息給你的提供商，讓他們幫你開通，否則就不必要看下去了，100%無法成功配置PPTP。 ### 2.設置內核轉發設置內核轉發讓你直接訪問內網服務器 ```sh [root@xxx ~]# grep forward /etc/sysctl.conf net.ipv4.ip_forward = 0 [root@xxx ~]# sed -i 's#net.ipv4.ip_forward = 0#net.ipv4.ip_forward = 1#g' /etc/sysctl.conf [root@xxx ~]# grep forward /etc/sysctl.conf net.ipv4.ip_forward = 1 [root@xxx ~]# sysctl -p ``` ### 3.安裝PPTP ```sh #centos7 curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo yum -y install pptpd``` #centos6 wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo yum -y install pptpd ``` ## 三、配置啟動pptp ### 1.修改PPTP配置文件 ```sh sed -i '$a localip 10.0.0.62\nremoteip 172.16.1.100-110' /etc/pptpd.conf #添加本機公網IP(localip),分配VPN用戶的內網網段(remoteip) #注意避開內網服務器已使用IP。 ``` ### 2.設置用戶與密碼 ```sh sed -i '2i noah * 123456 *' /etc/ppp/chap-secrets ``` 在/etc/ppp/chap-secrets文件第二行插入"oldboy * 123456 *"內容 ### 3.啟動pptp ```sh # 1)centos6 [root@xxx ~]# /etc/init.d/pptpd start Starting pptpd: [ OK ] # 2)centos7 [root@xxx ~]# systemctl start pptpd.service # 3)驗證 [root@xxx ~]# netstat -tunlp|grep 1723 tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 26574/pptpd ``` ### 4.通過windows客戶端連接VPN 控制面板\網絡和Internet\網絡和共享中心,注意配置了vpn后,所有流量都會走vpn,會導致無法上網,需要取消如下位置的設置 ![mark](http://noah-pic.oss-cn-chengdu.aliyuncs.com/pic/20200308/170509417.png) ## 四、VPN案例 ### 1.記錄登錄用戶名日志通過修改up和down腳本，使vpn客戶端上線或下線后，都記錄日志并寫入指定日志文件中 1)up腳本修改內容 ```sh [root@xxx ~]# cat /etc/ppp/ip-up ...... echo "$PEERNAME 分配IP:$5 登錄IP:$6 登錄時間:`date -d today +%F_%T`" >>/var/log/pptpd.log exit 0 ``` 2)down腳本修改如下內容 ```sh [root@xxx ~]# cat /etc/ppp/ip-down ...... echo "$PEERNAME 下線IP:$6 下線時間:`date -d today +%F_%T`" >>/var/log/pptpd.log exit 0 ``` ### 2.客戶端互聯 1. 需求描述子公司內部只有一臺服務器，只有內網地址，沒有公網IP，但可以訪問公網。而且所有網絡設備都歸總公司管轄，子公司沒有合理理由無法申請。公司內部也有VPN服務器，但VPN帳號也需要申請。在此種場景，如何讓外部人員訪問內網服務器？ 2. 處理方式在外部有公網IP的機器上部署vpn服務，內網服務器撥號登錄vpn，外部人員也登錄vpn。只要vpn服務器不禁止客戶端互聯，外部用戶就能訪問內部服務器。 3. 軟件建議建議使用OpenVPN，比較穩定 OpenVPN的參數: client-to-client允許多個VPN client互相通信 pptp服務器上不開啟防火墻，客戶端能夠互相訪問，當然需要注意windows客戶端的防火墻是否開放。