当前位置: > Linux服务器 > VPN >

CentOS7下安装 pptp vpn

时间:2014-12-01 02:08来源:linux.it.net.cn 作者:IT

Centos 7 安装 pptp vpn

 

 

1、检查系统内核是否支持MPPE

modprobe ppp-compress-18 && echo OK

显示OK说明系统支持MPPE

2、检查系统是否开启TUN/TAP支持

cat /dev/net/tun

cat: /dev/net/tun: 文件描述符处于错误状态

如果这条指令显示结果为下面的文本,则表明通过

3、 检查PPP是否支持MPPE

strings '/usr/sbin/pppd'|grep -i mppe|wc -l
43

如果以上命令输出为“0”则表示不支持;输出为“30”或更大的数字就表示支持.

4、安装ppp和iptables      #PPTP需要这两个软件包,一般centOS自带

yum install -y ppp iptables

5、安装PPTP

yum install epel-release
yum install pptpd

6、配置PPTP

(1)vi /etc/ppp/options.pptpd #编辑,保存

name pptpd                        #自行设定的VPN服务器的名字,可以任意

#refuse-pap                        #拒绝pap身份验证

#refuse-chap                      #拒绝chap身份验证

#refuse-mschap                 #拒绝mschap身份验证

require-mschap-v2             #为了最高的安全性,我们使用mschap-v2身份验证方法

require-mppe-128              #使用128位MPPE加密

ms-dns 8.8.8.8                   #设置DNS

ms-dns 8.8.4.4

proxyarp                            #启用ARP代理,如果分配给客户端的IP与内网卡同一个子网

#debug                              #关闭debug

lock

nobsdcomp

novj

novjccomp

#nologfd                            #不输入运行信息到stderr

logfile /var/log/pptpd.log    #存放pptpd服务运行的的日志

(2)vi /etc/ppp/chap-secrets #编辑,保存

kuaile pptpd 666666 *                 #设置用户名:test 密码:123456

或者 

vpnuser add kuaile 666666

(3)vi /etc/pptpd.conf #编辑,保存

option /etc/ppp/options.pptpd

logwtmp

localip 10.0.6.1                       #设置VPN服务器虚拟IP地址

remoteip 10.0.6.101-200        #为拨入VPN的用户动态分配10.0.6.101~10.0.0.200之间的IP

7. 开启系统路由模式

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

vi /etc/sysctl.conf                 #编辑

net.ipv4.ip_forward = 1       #找到此行 去点前面#,把0改成1 开启路由模式,如果没有就自行添加

/sbin/sysctl -p                      #使设置立刻生效

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

7、配置防火墙NAT转发

centos 7 默认采用firewalld动态防火墙,我还是更习惯使用iptables

yum install iptables-services

systemctl stop firewalld.service
systemctl disable firewalld.service
yum erase firewalld

 

systemctl enable iptables.service
systemctl start iptables.servic

开启包转发

iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j MASQUERADE

意思是对即将发送出去的数据包进行修改,对来自设备eth0且源地址是10.0.6.0/24的数据包,把源地址修改为主机地址及vPN地址

iptables -t nat -L                     #完成后可以查看NAT表是否已经生效

这里要注意服务器的网口不一定是eth0,用netstat -i 查看

service iptables save    #保存防火墙设置

service  restart              #重启防火墙

对于开启了iptables过滤的主机,需要开放VPN服务的端口:1723 和gre协议

使用一下命令添加

开放pptp使用的1723端口和gre协议

 

iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

 

 

iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j MASQUERADE

或者(这俩条应该是等效的,一种不行的话, 用另一种试试)

iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j SNAT --to 你的主机IP

 

iptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

 

##############################################################################################################################

 

如果iptables规则中有拒绝的选项,需要注意接受的要在拒绝的前面。

Centos 7 的iptables默认规则中就有

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

添加的规则一定要在这条规则的前面,所以用插入的方法添加规则

iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
iptables -I INPUT 6 -p tcp -m state --state NEW -m tcp --dport 47 -j ACCEPT
iptables -I INPUT 7 -p gre -m state --state NEW -j ACCEPT
iptables -I FORWARD 2 -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 3 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j MASQUERADE

添加完成后试用iptalbes命令检查一下

 

[root@Centos7 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED tcp dpt:pptp 
ACCEPT     gre  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 

 

 

[root@Centos7 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.0.6.0/24          anywhere            
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

 

没问题后可以保存一下

service iptables save

这是我设置iptables的全部命令,供参考

888是我修改的ssh端口号

/sbin/iptables -F
/sbin/iptables -Z

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 888 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP

/sbin/iptables -F -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o seth0 -j MASQUERADE

这是我的iptabls规则文件

[root@Centos7 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Fri Nov 28 15:27:36 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [67:9660]
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 888 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
-A OUTPUT -m state --state INVALID -j DROP 
COMMIT
# Completed on Fri Nov 28 15:27:36 2014
# Generated by iptables-save v1.4.7 on Fri Nov 28 15:27:36 2014
*nat
:PREROUTING ACCEPT [7:1301]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.0.6.0/24 -o seth0 -j MASQUERADE 
COMMIT
# Completed on Fri Nov 28 15:27:36 2014


 

8、设置PPTP开机启动

service pptpd start                           #启动pptpd

systemctl enabled pptpd                  #设置开机启动

pptpd服务使用的端口是1723,这个端口是系统固定分配的,可以通过查看该端口检查pptpd服务的运行情况。

命令:netstat -ntpl

[root@Centos7 ~]# netstat -ntpl

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   

tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1423/cupsd          

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1693/master         

tcp        0      0 0.0.0.0:44666               0.0.0.0:*                   LISTEN      1358/rpc.statd      

tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      2020/pptpd          

tcp        0      0 0.0.0.0:66                  0.0.0.0:*                   LISTEN      1579/sshd           

tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1310/rpcbind        

tcp        0      0 ::1:631                     :::*                        LISTEN      1423/cupsd          

tcp        0      0 ::1:25                      :::*                        LISTEN      1693/master         

tcp        0      0 :::66                       :::*                        LISTEN      1579/sshd           

tcp        0      0 :::33794                    :::*                        LISTEN      1358/rpc.statd      

tcp        0      0 :::111                      :::*                        LISTEN      1310/rpcbind    


至此,VPN服务器搭建完成.

(责任编辑:IT)
------分隔线----------------------------