CentOS上搭建基於PPTP協議的VPN服務的流程

 　　關於PPTP

　　點對點通道通訊協定(英語：Point to Point Tunneling Protocol，縮寫為PPTP)是實現虛擬私人網路(VPN)的方式之一。PPTP使用傳輸控制通訊協定(TCP)建立控制通道來發送控制命令，以及利用通用路由封裝(GRE)通道來封裝點對點通訊協定 (PPP)(PPP)資料包以發送資料。這個協議最早由微軟等廠商主導開發。

　　PPTP的協議規範本身並未描述加密或身分識別驗證的部分，它依靠點對點通訊協定 (PPP)(PPP)來實現這些安全性功能。因為PPTP協議內建在微軟視窗系統家族的各個產品中，在微軟點對點通訊協定 (PPP)(PPP)協議堆棧中，提供了各種標準的身分識別驗證與加密機制來支援PPTP。 在微軟視窗系統中，它可以搭配PAP、CHAP、MS-CHAP v1/v2或EAP-TLS來進行身分識別驗證。通常也可以搭配微軟點對點加密(MPPE)或IPSec的加密機制來提高安全性。

　　在Windows或Mac OS平台之外，Linux與FreeBSD等平台也提供開放原始碼的版本。

　　PPTP以通用路由封裝(GRE)協議向對方作一般的點對點傳輸。通過TCP1723連接埠來發起和管理GRE狀態。因為PPTP需要2個網路狀態，因此會對穿越防火牆造成困難。很多防火牆不能完整地傳遞串連，導致無法串連。 在Windows或Mac OS平台，通常PPTP可搭配MSCHAP-v2或EAP-TLS進行身分識別驗證 ，也可配合微軟點對點加密(MPPE)進行串連時的加密。

　　與PPTP相似的另一種常見的VPN協議是第二層通道通訊協定(L2TP)。

　　搭建步驟

　　1、檢查伺服器是否有必要的支援。如果檢查結果沒有這些支援的話，是不能安裝pptp的。執行指令：

　　代碼如下:

　　#modprobe ppp-compress-18 && echo ok

　　這條執行執行後，顯示“ok”則表明通過。不過接下來還需要做另一個檢查，輸入指令：

　　代碼如下:

　　#cat /dev/net/tun

　　如果這條指令顯示結果為下面的文本，則表明通過：

　　代碼如下:

　　cat: /dev/net/tun: File descriptor in bad state

　　上述兩條均通過，才能安裝pptp。否則就只能考慮openvpn，或者請你的服務商來解決這個問題。

　　2、安裝ppp和iptables。預設情況下，完整的CentOS是帶有這兩個組件的，但是精簡版的系統可能沒有。我們輸入下面的命令來確認，如果沒有則進行安裝，有的話系統不會做任何動作：

　　#yum install -y ppp iptables

　　3、安裝pptp。這個軟體在yum源裡是沒有的，我們需要手動下載。我們先切換到tmp目錄：

　　#cd /tmp

　　然後執行下面的命令來下載pptp安裝包：

　　代碼如下:

　　#wget http://acelnmp.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.i386.rpm

　　(32位系統使用)

　　代碼如下:

　　#wget http://acelnmp.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.x86_64.rpm

　　(64位系統使用)

　　如果你的CentOS是32位的，則執行32位的那條指令;如果是64位的CentOS，則執行64位的那條指令。注意不要搞錯了。

　　接下來安裝pptp，同樣分32位和64位系統：

　　代碼如下:

　　#rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm

　　(32位系統使用)

　　代碼如下:

　　#rpm -ivh pptpd-1.3.4-1.rhel5.1.x86_64.rpm

　　(64位系統使用)

　　4、配置pptp。首先我們要編輯/etc/pptpd.conf檔案：

　　代碼如下:

　　#vim /etc/pptpd.conf

　　找到“locapip”和“remoteip”這兩個配置項，將前面的“;”注釋符去掉，更改為你期望的IP段值。localip表示伺服器的IP，remoteip表示分配給用戶端的IP地址，可以設定為區間。這裡我們使用pptp預設的配置：

　　代碼如下:

　　localip 192.168.0.1

　　remoteip 192.168.0.234-238,192.168.0.245

　　注意，這裡的IP段設定，將直接影響後面的iptables規則添加命令。請注意匹配的正確性，如果你嫌麻煩，建議就用本文的配置，就可以一直複製命令和文本使用了。

　　接下來我們再編輯/etc/ppp/options.pptpd檔案，為VPN添加Google DNS：

　　代碼如下:

　　#vim /etc/ppp/options.pptpd

　　在末尾添加下面兩行：

　　代碼如下:

　　ms-dns 8.8.8.8

　　ms-dns 8.8.4.4

　　5、設定pptp VPN帳號密碼。我們需要編輯/etc/ppp/chap-secrets這個檔案：

　　代碼如下:

　　#vim /etc/ppp/chap-secrets

　　在這個檔案裡面，按照“使用者名稱 pptpd 密碼 *”的形式編寫，一行一個帳號和密碼。比如添加使用者名稱為test，密碼為1234的使用者，則編輯如下內容：

　　代碼如下:

　　test pptpd 1234 *

　　6、修改核心設定，使其支援轉寄。編輯/etc/sysctl.conf檔案：

　　代碼如下:

　　#vim /etc/sysctl.conf

　　將“net.ipv4.ip_forward”改為1，變成下面的形式：

　　代碼如下:

　　net.ipv4.ip_forward=1

　　儲存退出，並執行下面的命令來生效它：

　　代碼如下:

　　#sysctl -p

　　7、添加iptables轉寄規則。

　　代碼如下:

　　iptables -t nat -A POSTROUTING -s 192.168.85.0/24 (PPTP用戶端IP)-j SNAT --to 192.168.0.105(要轉寄出公網的IP)

　　然後我們輸入下面的指令讓iptables儲存我們剛才的轉寄規則，以便重啟系統後不需要再次添加：

　　代碼如下:

　　#/etc/init.d/iptables save

　　然後我們重啟iptables：

　　代碼如下:

　　#/etc/init.d/iptables restart

　　8、重啟pptp服務。輸入下面的指令重啟pptp：

　　代碼如下:

　　#/etc/init.d/pptpd restart

　　現在你已經可以串連自己的VPN並瀏覽網頁了。不過我們還需要做最後的一步。

　　9、設定開機自動運行服務。我們最後一步是將pptp和iptables設定為開機自動運行，這樣就不需要每次重啟伺服器後手動啟動服務了。當然你不需要自動啟動服務的話可以忽略這一步。輸入指令：

　　代碼如下:

　　#chkconfig pptpd on

　　#chkconfig iptables on

　　這樣就大功告成了