Crearea PPTP-server pentru a implementa accesul securizat la sistemele de operare de rețea acasă
În lume, în scopul de a consolida mai multe rețele, folosind diferite tipuri de rețea virtuală privată - VPN (Virtual Private Network). Multe companii cu birouri în diferite țări folosesc această tehnologie, deoarece vă permite să utilizați Internetul, asigurând în același timp confidențialitatea datelor transmise în cadrul acesteia, precum și oferă un „transparent“ pentru utilizatorii dintr-o rețea virtuală globală, fără a instala renovare suplimentară sau substanțială a software-ului existent . Printre protocolul cel mai frecvent utilizate pentru a transfera date în rețelele VPN, - PPTP, Elibereazå, PPP, SSL și IPSec (rețineți că acesta din urmă este compus din mai multe protocoale, care oferă protecție IP-trafic). Acest articol discută despre crearea PPTP-server ca configurare și depanare nu va provoca dificultăți pentru un utilizator Linux. Nu putem ignora crearea de rețele private virtuale bazate pe popularul serviciu Hamachi. Acest serviciu vă permite să creați o rețea virtuală rapid și ușor, dar chiar și aici există unele probleme: serviciul poate fi bine plătit integral, versiunea gratuită ea are o funcționalitate dezbracata, iar nivelul de protecție dă IPSec și PPTP (cu criptare MPPE de 128 de biți), între client de rețea virtuală are un server terță parte.
protocolul PPTP (punct-la-punct Protocol de tunel) este o versiune îmbunătățită a PPP, care este dezvoltat de Microsoft. Și, din moment ce această dezvoltare la Microsoft, protocolul bine suportate de aproape toate sistemele bazate pe Windows (cu excepția Windows 95/98), deci este potrivit pentru punerea în aplicare a accesului la rețeaua locală acasă (deoarece la sistemul de operare obișnuit al acestei familii). Combinația de configurare a serverului relativ simplu, cu configurația rapidă client face protocolul mai atractiv pentru a crea o rețea privată virtuală pentru a accesa rețeaua locală a utilizatorului. Rețineți că, pentru a conecta Linux-calculatoare, protocolul aproape niciodată nu este folosit, ca și pentru Linux protocoale concepute special, care sunt mai potrivite pentru conectarea acestor sisteme.
protocolul PPTP - acesta este un cadru comun care vă permite să stabilească o conexiune securizată VPN-. Pachetele de date care trec prin rețeaua virtuală este mai întâi încapsulat în pachete PPP, care sunt apoi încapsulate în pachete GRE (General de rutare încapsularea - rute totale de încapsulare) și trimise la celălalt capăt al conexiunii. GRE este IP-protocol, cum ar fi ICMP, TCP sau UDP. Numărul său - 47.
Dar ce este incapsularea? În termeni simpli, este adăugarea unui titlu sau la sfârșitul pachetului informații deasupra capului, adică, este modificat într-un model specific pentru noul pachet standard de. Pentru a menține un PPTP-conexiune care sunt formate GRE-pachete folosind un canal de comunicare suplimentar. Acest canal de control utilizează TCP-conexiune de la client la portul PPTP-1723rd pe PPTP-server. Acesta este destinat să trimită un semnal de informații și de a verifica starea conexiunii.
Există mai multe protocoale de autentificare a utilizatorului, care au fost dezvoltate de Microsoft special pentru lucrul cu PPTP, - PAP, MS CHAP și MS CHAP v2. Cel mai sigur dintre ele este MS CHAP v2 (Authentication Protocol Challenge Handshake), care este implementat pe o „provocare -. Un salut“ Acest protocol se bazează pe criptare DES și Windows NT Hash, care, la rândul său, se bazează pe funcția hash MD5. Pentru a cripta protocolul PPTP utilizează extensia de pachete PPP - MPPE (Microsoft punct-la-punct Encryption Protocol). Aici, pentru pachetul de criptare este utilizat aici și datele cifru flux RC4 criptat folosind o cheie 40- sau 128 de biți. Cu un astfel de sistem de autentificare și criptare oferă o protecție sigură împotriva intrușilor.
standul următor a fost construit pentru organizarea serverului PPTP:
- Procesor - Intel Pentium 4 3 GHz;
- Placa de baza - bazat pe chipset-ul Intel i875;
- memorie - 2x512 MB Kingston cu o frecvență efectivă de 400 MHz;
- Hard disk - Seagate ST9773401LC de 73 GB și un controler SCSI Adaptec AIC 2940;
- sistem de operare - ASP Linux kernel 2.6.17 11.2 c și suport pentru SMP.
Structura aproape fiecare nouă distribuție Linux este deja inclus pachetele pppd și cele mai recente versiuni PPTP. Dacă acestea nu sunt instalate, acestea trebuie să fie doustanovit (în acest caz, poate fi necesar să recompilați kernel-ul pentru a sprijini MPPE), deoarece acestea sunt necesare pentru PPTP-server. ASP Linux 11.2, toate aceste pachete sunt instalate în orice caz, desigur, nu este disponibil „instalare personalizat“ la începutul instalării. Pe standul au fost instalate pachete de versiuni pppd 2.4.3-6.2.1 cu suport MPPE și PPTP 1.7.1-1.11 versiune (pachetul este responsabil pentru partea de client, în cazul în care o conexiune la Internet nu este prin PPTP-conexiune, instalarea este opțională) . Pachetele pot fi instalate manual, adică compilarea lor (./configure, face, make install), sau de a folosi pachetele deja compilate care sunt instalate printr-un management special, cum ar fi yum, rpm, etc.
Pachetul de server de bază este pptpd. Acest serviciu este responsabil pentru funcționarea serverului. Rețineți că, atunci când este instalat în ASP Linux 11.2, a fost folosit ca un sistem de operare pentru servere, folosind un pachete de instalare automată de pe internet - yum - pachetul nu a funcționat. Via yum va fi instalat la echipa stabilă 1.3.0a versiunea pptpd executat din linia de comandă:
yum install pptpd sau sudo yum install pptpd.
Apoi, este necesar să fie de acord, apăsați tasta „y“.
tar xzf pptpd-1.3.4.tar.gz
make install (sau sudo make install, sudo dacă este configurată).
Dacă nu este afișată nicio eroare, pachetul este instalat. Erorile apar în cazul în care pppd nu este instalat fără MPPE de sprijin.
Pentru a porni serviciul este nevoie să apelați comanda de pptpd, dar înainte de a începe serviciul, trebuie să editați fișiere de configurare. Trebuie remarcat faptul că, după instalarea pachetului de mână nu este prescrisă întotdeauna în „autorun“ pe echipa pptpd. Pentru a adauga, este necesar să se prescrie următoarele linii în fișierul /etc/rc.d/rc.local:
Dacă [-x / usr / local / sbin / pptpd]; atunci
echo -n 'pptpd'; / Usr / local / sbin / pptpd
După aceea PPTP-server va fi pornit automat pptpd echipa. Pentru a completa imaginea, puteți scrie, de asemenea, un mic script care vă permite să rulați și opri serviciul prin intermediul serviciului de comandă. Pentru a face acest lucru, trebuie să creați un fișier /etc/rc.d/init.d/ pptpd dosar și a instala 755 (rwx, r-x, r-x) permisiuni prin comanda:
chmod 755 pptpd.
În interiorul fișierului, următorul rând ar trebui să fie scris:
# Descriere: de control al serverului pptpd
echo 1> / proc / sys / net / ipv4 / ip_forward
în cazul în / usr / local / sbin / pptpd; atunci
echo "Utilizare $ 0 (start | opri | repornire)"
Cu acest mic script, puteți începe, opriți și reporniți PPTP-server cu comenzile corespunzătoare:
- Serviciul pptpd începe - începe server;
- oprire la service pptpd - opri serverul;
- Serviciul pptpd repornire - reporniți serverul.
Acum, după începerea procesului de automatizare PPTP-Server, trebuie să-l configurați pentru a funcționa corect. Dacă serverul are un firewall (paravan de protecție), este necesar pentru a permite traficul să treacă pe ea pe 47-lea protocol GRE, precum TCP-conexiunea prin portul 1723rd. Deoarece, în cazul nostru ca standard ASP Linux 11.2 este un firewall iptables, puteți face acest lucru prin adăugarea de câteva linii în lanțuri iptables:
iptables -A FORWARD -p 47 -s 192.168.193.0/24 -j ACCEPT
iptables -A INPUT -p tcp -dport 1723 -j ACCEPT
La instalarea pachetului pptpd în / etc / creează un fișier de configurare pptpd.conf de bază, care este responsabil pentru setările de bază ale PPTP-server. Fiecare dintre aceste setări, are o descriere în limba engleză. Aici este o scurtă descriere a fiecărei opțiuni din acest fișier, precum și cele câteva suplimentare.
Această opțiune este utilizată pentru a specifica ora exacta de pachete de-PPTP de așteptare înainte de a ajunge la un pptpctrl program de control și va fi predat clientului. În mod implicit, cifra este de 10. Parametrul X - timpul în secunde. Astfel, este protejat de DoS-atacuri.
Interfață bcrelay Opțiune
Conexiuni opționale n
Opțiunea LOCALIP adresa IP
Opțiunea remoteip adresa IP
Acest parametru determină viteza maximă de conectare cu care se face schimb de date între server și client. Valoarea implicită pentru această opțiune (opțiunea „x“) are o valoare de 115.200 octeți / sec și este de asemenea maximă admisibilă pentru pppd. În realitate, viteza poate fi considerabil mai mare, dar numai în cazul în care este dat ca valoare.
Toate opțiunile sunt descrise în limba engleză, le puteți citi tastând „om pptpd.conf“. Pentru a oferi acces la mai multe computere într-o rețea locală, pptpd.conf fișierul de configurare trebuie să fie editate urmează:
Această opțiune este responsabil pentru numele serviciului, care este prescris în fișierul de autentificare / etc / ppp / chap-secrets. În mod implicit, numele se potrivește cu numele serviciului - pptpd.
Opțiunea necesită-MSCHAP-v2, + chapms-v2
Această opțiune permite utilizatorilor să se autentifice cu un protocol securizat - MS CHAP v2. În mod implicit, fișierul de configurare este permisă numai la protocolul de autentificare a utilizatorului.
Opțiunea necesită-MPPE-128, MPPE-128, MPPE-40, MPPE-apatrid, "MPPE necesar, apatrid"
În total, fișierul de configurare poate fi două intrări ale acestei opțiuni. Cu ajutorul ei, puteți specifica serverul DNS primar și secundar pentru PPTP-clienți.
Pentru mai multe informații despre conectarea clienților, precum și opțiunile incluse și setările de depanare sunt utilizate, respectiv, benă. În etapa de construcție a serverului și depanare Această caracteristică este foarte utilă, atunci acesta poate fi dezactivat, deoarece volumul de log-fișier va crește cu fiecare conexiune nouă. În mod implicit, ambele funcții sunt dezactivate.
Setările de mai sus interzic compresia care este utilizat în clienții anterioare Windows 9x / Me :. Opțiunea implicită este activată.
Pentru alte opțiuni, care sunt utilizate mai puțin frecvent pot fi citite prin tastarea „pppd om“ de pe linia de comandă, ca options.pptpd se aplică nu numai la demonul de pptpd, dar, de asemenea, la controlul principal pachetul pppd, care stabilește o conexiune și pentru VPN-tunel.
În standul nostru de a utiliza un fișier de configurare care conține următoarele opțiuni:
După configurarea /etc/ppp/options.pptpd fișierul de configurare necesare pentru a înregistra utilizatorii care vor avea acces la PPTP-conexiune, și ajustați rutarea de pachete în pachetul iptables pentru acces client din afara LAN. Următorul pas - schimbarea de informații în fișierul / etc / ppp / chap-secrets. Aici sunt numele de utilizator și parolele care sunt utilizate pentru MSCHAP protocol de autentificare sau de cap. Dacă fișierul /etc/ppp/options.pptpd clienții de acces permise folosind metoda de autentificare, pap, trebuie să modificați, de asemenea, fișierul / etc / ppp / PAP-secrete. Accesul la aceste fișiere trebuie să fie strict limitate, de aceea este recomandat să setați permisiunile la 600 (rw-, -, -) pentru a proteja împotriva invaziei.
fișier chap-secrete ar trebui să arate astfel:
User1 pptpd parola1 *
Utilizator2 pptpd password2 *,
După configurarea fișierelor de configurare necesare pentru a configura un lanț în iptables firewall-ului pentru rutarea pachetelor dintr-o rețea virtuală zonă locală. Pentru a face acest lucru, urmați acești pași:
iptables -t nat -A POSTROUING -s 192.168.193.0/255.255.255.0 -j MASQUERADE
iptables -t nat -A POSTROUING -d 192.168.193.0/255.255.255.0 -j MASQUERADE
Aceste două reguli oferă clienților locali acces la rețeaua virtuală, și vice-versa. Rețea 192.168.193.0/24 de indicare în setările serviciului pptpd într-un fișier de configurare /etc/pptpd.conf.
Acum PPTP-server este complet configurat și îl puteți rula pe echipa sau de serviciu pptpd începe pptpd. Pentru a verifica dacă totul se face corect, puteți rula mai multe comenzi prezentate în Fig. 1.
Fig. 1. Configurare Verificarea
Rețineți că comanda rută care este reprezentată în figură arată un rezultat în cazul în care clientul conectat la PPTP server a fost autentificat și a stabilit un PPTP-compus.
Acum trebuie să configurați PPTP-client. -> Settings -> Control Panel -> Network Connections Start: Pentru a crea o rețea VPN-conexiune protocolului PPTP în sistemul de operare Windows XP, următoarele comenzi pentru a efectua.
Acest lucru va porni Expertul conexiune nouă. Trebuie să apăsați pe butonul Next și selectați Conectare la rețea la locul de muncă meu. Apoi - Apoi, selectați Conectare la VPN și Next.
Fig. PPTP Configurare 2. Client
Rețineți că, după instalare rute PPTP-compus la LAN nu va fi prescris. Pentru a adăuga un traseu la o rețea locală (192.168.0.0/255.255.0.0), următoarele comenzi trebuie efectuate: Start -> Run -> cmd. apoi apăsați Enter și înregistrați în linia de comandă:
route add 192.168.0.0 masca 255.255.0.0 ip,
După finalizarea tuturor setărilor, vă puteți conecta la server. Astfel, de oriunde puteți obține într-o rețea de domiciliu și să opereze-l în modul de siguranță. Dacă este necesar, aveți posibilitatea să modificați configurația PPTP-server pentru o anumită rețea. Rețineți că furnizorul folosește o versiune modificată a PPTP-servere care nu acceptă MPPC-compresie. Implicit, acest modul este deja inclus în distribuția de server PopTop. Un astfel de compus se evită, de asemenea, sarcina grea pe CPU, deoarece, de exemplu, Hamachi încăcare comenzi suplimentare ale procesorului. Când viteza de canal larg server pentru a fi determinat de acces la internet LAN viteză la client.
Cougar Mai recent, compania a introdus o nouă serie de surse de alimentare pentru PC-uri tradiționale - VTX, destinate utilizatorilor cu bugete limitate. Acest model de revizuire Cougar VTX600 va fi considerat că, datorită caracteristicilor sale este una dintre cele mai populare în linia de surse de alimentare
La eveniment anual Capsaicina SIGGRAPH din Los Angeles, AMD și-a consolidat poziția pe piața PC-uri pentru high-end, cu noi procesoare Ryzen Threadripper și GPU «Vega»
Pentru o construcție simplă și convenabilă a utilizatorilor obișnuiți companie de rețea ZyXEL a lansat urmatoarea versiune a platformei sale de Internet pentru conectarea la rețelele 3G / 4G prin USB-modem cu punct de acces Wi-Fi - ZyXEL Keenetic 4G III, pe care le considerăm în această recenzie
Pentru două modele sale și astfel o mare familie de routere ASUS și compania router a adaugat recent foarte interesant: nava amiral 4G-AC55U și mai ușor 4G-N12. În acest articol, modelul de top al ASUS 4G-AC55U vor fi luate în considerare
Young dar ambitioasa companie KREZ la inceputul acestui an a lansat un nou, model de laptop original, KREZ Ninja (modelul TM1102B32) care rulează Windows 10. Deoarece acest computer are un ecran pivotant, acesta poate servi ca o soluție universală - poate fi folosit cu succes pentru muncă, și pentru studiu și pentru a se juca
Dacă imprimați frecvent fotografii și obosit deja pentru a schimba cartușele de cerneală în imprimantă, uita-te la MFP Epson L850. O mare resursa de consumabile, o calitate excelentă a imprimării, o gamă largă de caracteristici - acestea sunt doar câteva dintre avantajele acestui model