一、简介
Poptop ,官方网站上的定义是The PPTP Server for Linux,就是利用PPTP(Point to Point Tunneling Protocol,点到点隧道协议)通过Internet访问VPN(Virtual Private Network,虚拟局域网),它允许远程用户安全、花费低廉地从Internet上的任何地方访问公司内部网络。
依据连接方式划分,VPN可以分为Lan to Lan模式和client to Lan模式两种。前者可以将两个彼此独立的局域网连接起来,就像同属于一个局域网内一样,可以利用OpenVPN来实现。而后者就该用到Poptop了。
PPTP使用了client-server模式来建立VPN连接。大多数微软操作系统都内置了PPTP客户端,所以就不需要安装第三方客户端软件,这就比其他VPN技术有了便于安装的优势。有关PPTP的详细描述见RFC 2367。
在Poptop出现以前,并没有使用PPTP客户端连接Linux主机的方法存在。使用Poptop,Linux主机可以立即在一个PPTP VPN环境下进行工作。
最新版本支持Windows 95/98/Me/NT/2000/XP PPTP客户端和Linux PPTP客户端。
Poptop属于自由软件,遵守GNU GPL许可证。
官方网站:[url] [/url]
下载地址:[url] [/url]
安装环境
Fedora core 2(kernel 2.6.5-1.358)
二、安装
首先到[url] [/url]下载下面4个安装文件。
dkms-2.0.2-1.noarch.rpm
kernel_ppp_mppe-0.0.4-3dkms.noarch.rpm
ppp-2.4.3-0.cvs_20040527.2.fc2.i386.rpm
pptpd-1.2.1-1.i386.rpm
依次进行安装完毕后,修改配置文件。
三、修改配置文件
这里需要修改如下3个配置文件。
/etc/pptpd.conf
/etc/ppp/options.pptpd
/etc/ppp/chap-secrets
如果你对这3个配置文件中的各个参数不太了解的话,可以到/usr/share/doc/pptpd-1.2.1/samples里面,这个目录存放了相关的sample文件可以阅读。
/etc/pptpd.conf
#指定pptp使用的选项文件
option /etc/ppp/options.pptpd
#把所有的debug信息写入系统日志/var/log/messages
debug
#使用/var/log/wtmp记录客户连接和断开。
Logwtmp
#服务器VPN虚拟接口将分配的IP地址
localip 10.100.1.1
#客户端VPN连接成功后将分配的IP。注意这里一共指定了36个IP地址,如果又超过36个客户进行连接时,超额的客户将无法连接成功。
remoteip 10.100.0.200-210,10.100.0.230-254
注意:为了安全性起见,localip和remoteip尽量不要同一个网段。
/etc/ppp/options.pptpd
#相当于身份验证时的域,一定要和/etc/ppp/chap-secrets中的内容对应,下面会讲到。
name pptpd
#传输加密。ppp-2.4.2以上的版本只支持MPPE加密,内核模块为 ppp_mppe.o
#拒绝pap身份验证
refuse-pap
#拒绝chap身份验证
refuse-chap
#拒绝mschap身份验证
refuse-mschap
#采用mschap-v2(Microsoft Challenge Handshake Authentication Protocol, Version 2)身份验证方式
require-mschap-v2
#注意在采用mschap-v2身份验证方式时要使用MPPE进行加密
require-mppe-128
#给客户端分配DNS地址和WINS服务器地址
ms-dns 202.99.96.68
#ms-wins 10.0.0.4
#启动ARP代理,如果分配给客户端的IP地址与内网网卡在一个子网就需要启用ARP代理。
Proxyarp
/etc/ppp/chap-secrets
#VPN客户账号和密码。
# Secrets for authentication using CHAP
# client server secret IP addresses
“username1” pptpd “password1” *
“username2” pptpd “password2” 10.100.0.201
注意:后面的IP地址栏可以知道次用户登陆后讲分配的IP地址,如果不具体指定,请用*号代替。
启动NAT转发
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
四、启动pptpd
/sbin/service pptpd start
五、Windows客户端配置
这里我们以Win2000为例,讲一讲如何连接到Linux PPTP主机。
1、 打开“控制面板”->“网络连接”->“新建连接”,在弹出的“网络连接向导”窗口中,点击“下一步”。
2、 在下一个页面选择“通过Internet连接到专用网络”,再点击“下一步”。
3、 然后输入VPN主机名(可以是IP地址或者域名),再点击“下一步”。
4、 创建此连接,选择“所有用户使用此连接”,再点击“下一步”。
5、 输入连接名称,如“VPN”,再点击“完成”。
6、这时会生成一个名为“VPN”新连接,点击这个图标,会弹出登陆窗口,输入账号密码后登陆即可。
VPN连接成功后,通过观察连接的“详细信息”(这里用的是WinXP),可以看到身份验证采用了“MS CHAP 2”,加密方式采用了“MPPE 128”,看来我们的配置起作用了。
图1
六、常见问题
1、 在Win2000下连接VPN成功后,发现只能访问公司内网,而无法同时访问公网。
答:这是因为当连接VPN成功后,路由表发生了变化,Default Gateway变成了VPN给用户分配的那个IP地址,自然无法访问公网。解决方法是手工修改本机路由表,首先取消Default Gateway,然后添加一条公司内网的路由指向即可。举例如下:
在client端,连接成功后在DOS里面执行
//删除pptp建立的默认网关
route delete 0.0.0.0 mask 0.0.0.0 10.100.0.201
//增加一条指向公司内网的路由
route add 10.100.0.0 mask 255.255.255.0 10.100.0.201
后就能同时访问内网和公网了。
注意:
10.100.0.0是公司内网的网段
10.100.0.201是client端通过VPN连接成功后获得的IP地址
你也可以把这2个命令写出一个.bat文件,每次连接VPN成功后执行一下就可以啦。
关于这个问题,推荐大家看看发表于《网管员世界》2004年第10期的一篇文章
《一个VPN客户端的路由故障解决及深入探讨》
[url] [/url]
2、如果客户端安装了IPX协议和NETBEUI协议,那么在连接的时候会弹出如下图所示的错误信息,但是点击“接收”后仍能连接成功。
图2
答:我看了一下 Microsoft’s PPTP FAQ
里面写得很清楚
because PPTP supports multiple protocols (IP, IPX, and NetBEUI), it can be used to access a wide variety of existing LAN infrastructures.
看来PPTP是支持IPX and NetBEUI协议的,可是为什么协商不成功呢,目前原因不明。不过不会影响正常使用。
3、使用Windows XP连接VPN成功后,在传输“大块”数据时会出现数据堵塞,导致数据传输失败。
答:这是一个比较复杂的问题。首先,发现问题的过程是这样的:笔者使用一台WinXP的电脑(简称主机A)连接公司的VPN成功后,访问内网的一个基于 B/S的CRM系统(简称主机B)时,发现首页可以显示(页面比较简单,包含的数据量较小),输入账号密码登陆后,发现只能显示页面顶部的一点点内容,而下面大部分内容无法显示。而换一台Win2000的电脑登陆,内容就可以完全显示出来。登陆到Linux VPN主机上,利用tcpdump对数据传输过程进行抓包分析,发现:每当B向A传输大于1396字节的数据时,VPN主机就会反馈B如下信息
注意:
10.100.0.200:VPN主机的内网网卡的IP地址
10.100.0.100:主机A的IP地址
10.100.0.203:主机B通过VPN获取的IP地址
21:54:21.953848 IP 10.100.0.200 > 10.100.0.100: icmp 556: 10.100.0.203 unreachable -
need to frag (mtu 1396)
可以看到VPN主机向提供web服务的主机B返回了一个ICMP不可达的差错报文。其含义是VPN主机收到了一个需要分片才能通过的数据包,而这个数据包在其IP头部又设置了不能分片(DF)的标志。所以该数据包不能通过VPN主机。
根据TCP/IP协议,在建立TCP连接时,传输双方都要指明自己的mss(最大报文长度)大小,然后选取双方之中最小的那个mss,以避免在随后的数据传送过程中出现数据包分片传输的情况。通过抓包分析,主机B的mss为1460字节,主机A的mss为1357字节。两者取小所以双方协商的结果确定 mss为1357字节,也就是说以后进行TCP数据传输时,数据包的最大传输单元MTU不能超过1397(mss+20字节的IP头部+20字节的TCP 头部),同时在IP头部设置了不能分片(DF)的标志。
然后在VPN主机上执行netstat –i,观察各个网络接口的路径MTU值为多少。观察结果如下:
Iface MTU
eth0 1500 //外网网卡接口
eth1 1500 //内网网卡接口
lo 16436 //本机回环接口
ppp0 1396 //WinXP VPN接入通道接口
可以看到ppp0接口的路径MTU为1396字节,也就是说如果一个数据包想要通过这个接口的话,一定不能大于1396字节,如果大于这个值,会出现两种结果:
1、如果这个数据包的IP头部没有设置不能分片(DF)的标志,那么VPN主机就把这个数据包分片,使其数据包大小小于1396字节,然后允许其通过。
2、反之,如果这个数据包的IP头部设置不能分片(DF)的标志,那么VPN主机就会返回一个ICMP不可达的差错报文。同时丢弃这个数据包。
问题就出在这里,主机A和主机B协商的mss为1357字节,也就是说其TCP数据包的MTU为1397,而ppp0允许的路径MTU却为1396,主机 A的MTU居然大于ppp0的路径MTU!当主机B向主机A发送了一个1397字节的数据包时,自然不能通过ppp0接口了。回到发现问题的那个情况,首页之所以能够显示成功,是因为首页包含的数据较小,传输时只需要一个没有超过1396字节的IP数据包就可以了,所以能够显示出来,而登陆成功后的页面包含的数据较大,需要分为多个IP数据包进行传输。这里可以假设一下,开头的一个IP数据包因为没有超过1396字节因而通过,而随后的IP数据包因为其大小为1397字节,超过了路径MTU,所以不予通过。反映到页面,就是登陆页面下面的大部分内容无法显示了。
我们再来看看用安装了Win2000主机C连接VPN又是什么状况呢?通过抓包发现,主机C提出的mss为1360(可以推算出其MTU为1400),而执行netstat –i,发现此时的ppp0的MTU为1496,路径MTU大于主机C的MTU,这个结果是正常的。
大家一定会问,何主机B提出的MTU小于路径MTU,这个问题只能问问微软了,我查了一些英文资料,说这是WinXP本身系统的一个问题。
知道了问题的原理,那让我们来看看如何进行解决吧。解决方法很简单,就是借助iptalbes,设定主机B进行协商时提出的mss为1356。即在iptables里面加入一条规则:
/sbin/iptables -A FORWARD -p tcp --syn -s 10.100.0.203 -j TCPMSS --set-mss 1356
因为mss是在TCP连接建立开始时,通过带有syn标志的IP数据包进行传输的,所以我们在iptables里面规定,在转发数据时,只要发现带有 syn标志并且源地址为主机B的IP数据包时,将其mss设定为1356字节,这样就与ppp0接口的路径MTU向匹配了,数据自然就可以畅通无阻啦。
后记:写这篇文章花了许多心思,尤其是后面的常见问题部分,如果大家有问题的话可以到我的网站来讨论。
阅读(1717) | 评论(0) | 转发(0) |