×××屬於遠程訪問技術,簡單地說就是利用公用網絡架設專用網絡。例如某公司員工出差到外地,他想訪問企業內網的服務器資源,這種訪問就屬於遠程訪問。
在傳統的企業網絡配置中,要進行遠程訪問,傳統的方法是租用DDN(數字數據網)專線或幀中繼,這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對於移動用戶(移動辦公人員)與遠端個人用戶而言,一般會通過撥號線路(Internet)進入企業的局域網,但這樣必然帶來安全上的隱患。
讓外地員工訪問到內網資源,利用×××的解決方法就是在內網中架設一臺×××服務器。外地員工在當地連上互聯網後,通過互聯網連接×××服務器,然後通過×××服務器進入企業內網。爲了保證數據安全,×××服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密,就可以認爲數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣,但實際上×××使用的是互聯網上的公用鏈路,因此×××稱爲虛擬專用網絡,其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了×××技術,用戶無論是在外地出差還是在家中辦公,只要能上互聯網就能利用×××訪問內網資源,這就是×××在企業中應用得如此廣泛的原因。
環境:阿里雲
外網IP:eth1:47.x.x.x
內網IP:eth0:10.24.126.24
一.編譯安裝:
1.需要ppp、libcap、libcap-devel ncurses-devel RPM 包支持,如果沒有請安裝 libcap、libcap-devel RPM 包
yum install -y libcap libcap-devel ncurses-devel ppp
2.下載pptpd的rpm包
新建src文件夾
進入src目錄
cd src
下載pptpd
wget -c http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.4.0-1.rhel5.i386.rpm
3.安裝rpm包
rpm -ivh ppthp-1.4.0-1.rhe15.i386 出現下面錯誤的解決辦法
ppp的版本問題,用以下的方法安裝即可
rpm -Uvh http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm
然後yum自動安裝pptpd:
yum install -y pptpd
二.修改配置文件
1.先把配置文件拷貝一份
cp /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak
在打開配置文件
vim /etc/ppp/options.pptpd
ms-dns,去掉搜索到的兩行ms-dns前面的#,並修改爲下面的字段
ms-dns 8.8.8.8
ms-dns 8.8.4.4
2.拷貝其他配置文件
cp /etc/ppp/chap-secrets /etc/ppp/chap-secrets.bak
修改配置文件
vim /etc/ppp/chap-secrets
添加用戶名 密碼 和ip
client server secret ip address
testuser pptpd Rise123 *
"client" 是Client端的×××用戶名
"server"對應的是×××服務器的名字,該名字必須和/etc/ppp/options.pptpd文件中指明的一樣,或者設置成"*"號來表示自動識別服務器;
"secret"對應的是登錄密碼
"IP addresses"對應的是可以撥入的客戶端IP地址,如果不需要做特別限制,可以將其設置爲“*”號.
3.繼續拷貝配置文件
cp /etc/pptpd.conf /etc/pptpd.conf.bak
修改配置文件
vim /etc/pptpd.conf
開啓ip的參數
4.修改配置文件
vim /etc/sysctl.conf
將net.ipv4.ip_forward = 0 改成 net.ipv4.ip_forward = 1
保存後執行文件
/sbin/sysctl -p
5.啓動pptpd服務並設置爲開機啓動
/sbin/service pptpd start
查看端口
netstat -lnpe |grep pptpd
chkconfig pptpd on
5.將Poptop的運行情況加入系統日誌
編輯syslogd的配置文件vi /etc/syslog.conf,增加如下一行命令:
daemon.debug /var/log/pptpd.log
6.設置iptables規則,設置nat轉發,然後保存
/sbin/service iptables start
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -jMASQUERADE
注:阿里雲的內網網卡是eth0,外網網卡是eth1
service iptables save 保存即可
7. 設置iptables允許×××連接
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p tcp --dport 47 -j ACCEPT
iptables -I INPUT -p gre -j ACCEPT
8..chmod +x /etc/rc.d/rc.local
編輯系統配置:vi /etc/rc.d/rc.local
把剛纔那個iptables的命令加入進去。保存退出。
9.開機自啓動:
chkconfig pptpd on
chkconfig iptables on
客戶端上的操作
win7客戶端可以創建一個新的***撥號