如图,ADSL连网,PPP0,远程PPP1正在下东西
bjchenxu 回复于:2003-06-17 09:57:53
能不能写个安装过程,这样意义就更大了,呵呵
thinmonkey 回复于:2003-06-17 10:00:55
lihuc 回复于:2003-06-17 10:01:50
楼主来个教程啊,呵呵
lnx3000 回复于:2003-06-17 10:02:52
就是啊,写篇文档吧
chenhawk 回复于:2003-06-17 10:04:18
还是笔记吧,这样比较有用,只要有几个要点就可以了,其它资料都可以自己查D
wind521 回复于:2003-06-17 10:35:10
鼓励一下
:)、
yghwz 回复于:2003-06-17 10:41:34
楼主,写INSTALL LIST~~~~~~~~~
我也准备写一个APACHE+PHP+MYSQL+SSL+SSH+QMAIL+WEBMAIL
platinum 回复于:2003-06-17 10:59:03
1、找到软件
我用的软件是pptpd-1.1.4-b3.tar,不知道为什么,这里不让上传gz文件
2、安装
解压后,
./configure
make
make install
3、配置文件
vi /etc/pptpd.conf
speed 115200
option /etc/ppp/options
debug
#localip 192.168.0.1 这句好象没什么用,我注释了
remoteip 192.168.0.20-30 这句是分配IP的,但不知道为什么,CLIENT的IP不按这个分配 :cry:
enable chap 起用chap机制
vi /etc/ppp/options
lock
debug
# name platinum.com.cn 这个有没有都可以
bsdcomp 0
auth
require-chap 用chap认证方式
proxyarp
# ms-dns 202.106.196.152 这个应该是给CLIENT重新分配DNS的,但好象没用,也没删,就先留着了
vi /etc/ppp/chap-secrets 这是定义CLIENT密码的部分
# Secrets for authentication using PAP
# client server secret IP addresses
"platinum" * "vpntest" 192.168.0.10
OK,到这里就配置完成了,运行pptpd启动服务
先关掉防火墙测试,CLIENT:WIN2000
建立VPN拨号,然后指定IP,61.149.xx.xx
:!: 注意:在属性编辑里,不要选用加密,否则连不上(好象要下MS的MSCHAP补丁才可以,我没找到)
连接,测试通过
引用:
[root@platinum ppp]# netstat -a|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:1723 *:* LISTEN
tcp 0 0 61.149.6.131:1723 202.204.224.130:1164 ESTABLISHED
raw 0 0 61.149.6.131:gre 202.204.224.130:* 1
内容略有删节
注意:外部IP,202.204.224.130已经连接,VPN端口:1723
此外还有一个[color=red]GRE[/color],协议名称非TCP、UDP、ICMP!!!
这是VPN的主要传输协议,所以要配置防火墙,一定要开这个
4、配置防火墙
我的FIREWALL代码如下:
#! /bin/bash
#初始设置,允许内网转发
echo 1 >; /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F -t filter
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
# 允许内网所有IP做所有事情
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
# 打开FTP端口:211
/sbin/iptables -A INPUT -p tcp --dport 211 -j ACCEPT
# 打开VPN端口1723,还有GRE!!!
/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -j ACCEPT
# WWW:801,SWAT:901
/sbin/iptables -A INPUT -p tcp --dport 801 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 901 -j ACCEPT
# SOCKS5:8039
/sbin/iptables -A INPUT -p tcp --dport 8039 -j ACCEPT
# ICMP(PING)
# 这句话是允许[color=red]除了[/color]公网上所有IP的ICMP协议的echo-request标志
# 也就是允许网内机器PING,但不向外发PONG
/sbin/iptables -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT
# NAT
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# DENY OTHERS
# 这句很关键,做IP地址的主动连接状态设置,避免了以往防火墙的漏洞
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 其余未登记的端口全部DROP掉!
/sbin/iptables -A INPUT -j DROP
当然,从我的FIREWALL还可以看出,我还配置了其他服务
我添加了SAMBA服务,不登陆VPN,是无法访问的
自此,VPN+IPTABLES+SAMBA+FTP+WWW+SOCKS5配置完成
你可以对自己的机器再添加其他服务,想对外开端口,改FIREWALL即可
lihuc 回复于:2003-06-17 11:01:02
多谢,有机会试试
wind521 回复于:2003-06-17 11:13:09
hehe
不错
有人用ipsec作过吗?
platinum 回复于:2003-06-17 11:52:27
引用:原帖由 "yghwz" 发表:
楼主,写INSTALL LIST~~~~~~~~~
我也准备写一个APACHE+PHP+MYSQL+SSL+SSH+QMAIL+WEBMAIL
好啊,真的很希望快点能看到!
我正不知道怎么配置MAIL-SERVER呢
还有,你做过SOCKS5没有?我不知道什么问题,测试能通过,但就是远程过来上不了网
QQ是测试通过,但上不去,IE是解析域名错误,比如www.163.com,它给解析为www.www.163.com.com
我爱臭豆腐 回复于:2003-06-17 13:06:59
你可以大一个补丁就支持加密了.另外在这个下面不支持mppc.如果是把mppc和mppe都打上的话有的时候会导致核心崩溃.
platinum 回复于:2003-06-17 13:22:45
豆腐兄,能说具体点吗?
我爱臭豆腐 回复于:2003-06-17 13:34:37
引用:原帖由 "platinum"]豆腐兄,能说具体点吗?
发表:
你说的这个东西前一段时间我做了.但是有一些东西病不能够满足我的要求后来就放弃了.你现在差的地方就是mppe的加密.另外如果你能够在把mppc搞定就好了.如果你需要mppe的补丁之类的东西我等一下给你找找看是否还有了.
我爱臭豆腐 回复于:2003-06-17 13:37:42
http://lab.digitol.net/poptop-linux-howto.html
你看看这个把对你有帮助.另外有的时候你的客户端并不能够真正的拿到一个公网的地址.比如是他nat or pat出去的.那个时候好像是这个软件就有点问题了.但是具体的我没有试验.所以就没有办法告诉你了.
platinum 回复于:2003-06-17 13:40:38
太好了,我正需要呢,网上找不到!!!
说有个MSCHAP补丁,不知和豆腐兄说的是不是一样呢?
另外,为什么两个都装就CORE DOWN
我爱臭豆腐 回复于:2003-06-17 13:43:41
引用:原帖由 "platinum" 发表:
太好了,我正需要呢,网上找不到!!!
说有个MSCHAP补丁,不知和豆腐兄说的是不是一样呢?
另外,为什么两个都装就CORE DOWN
是这样的你把mschap的补丁可以打上.但是mppe的补丁一定要打那个东西是管加密的.不然你做出来vpn也没有什么太多的实在意义.还有就是那个mppc比较讨厌.如果实现不了也无所谓.现在就我知道的.处了ms自己以外其他的好像都不支持.这个东西在bsd上面好像也是.但是我没有亲自动手做.
config t 回复于:2003-06-17 13:44:41
有环境得用freewan做做
对platinum 热情表达致敬!!!
我爱臭豆腐 回复于:2003-06-17 14:00:53
引用:原帖由 "config t" 发表:
有环境得用freewan做做
对platinum 热情表达致敬!!!
freeswan?那个是ipsec的吧?我没有环境如果有环境的话.到是应该试验一下那个.我个人感觉那个东西不错.可惜没有环境啊. :cry:
wind521 回复于:2003-06-17 14:04:10
引用:原帖由 "我爱臭豆腐" 发表:
freeswan?那个是ipsec的吧?我没有环境如果有环境的话.到是应该试验一下那个.我个人感觉那个东西不错.可惜没有环境啊. :cry:
不用急,最近看看能不能找几个朋友一起来测试,一起作,找个环境!
比较不容易呀!
我爱臭豆腐 回复于:2003-06-17 14:11:30
引用:原帖由 "wind521" 发表:
不用急,最近看看能不能找几个朋友一起来测试,一起作,找个环境!
比较不容易呀!
我现在正在和他们别人商量.我打算先试验一个bsd上面的东西那个东西已经把功能都集成了.freeswan肯定是要试验的.现在就等什么时候有机器试验.tmd天天都在使用计算机但是到真正使用的时候才发现这么难找啊
睡着呢 回复于:2003-06-17 19:59:17
我在两台机器上做过FREESWAN的实验,配置不是什么问题,就是一些概念性的东西需要理解,文档看起来比较累
我爱臭豆腐 回复于:2003-06-18 09:55:54
引用:原帖由 "睡着呢"]我在两台机器上做过FREESWAN的实验,配置不是什么问题,就是一些概念性的东西需要理解,文档看起来比较累
发表:
朋友,是否能够共享一下您的成果啊。我这里没有两天计算机啊:)另外一个我想知道的是你说的试验是net to net的方式还是什么别的?你的每一个计算机上面有几个网卡啊?
睡着呢 回复于:2003-06-18 18:23:42
我做的时候设置的是NET-TO-NET,但是我没有更多的机器,显示不出来
我只是看到两边通信加密了,我就终止了
我的每台机器上只有一快网卡,改天大家一起做个实验吧,我也想看看最后完整做下来的情况
mb 回复于:2003-06-18 20:26:24
要做的话算我一个吧
我爱臭豆腐 回复于:2003-06-19 09:03:45
手头现在没有什么设备如果有就可以试验了。tmd气死我了:(
wangrujun 回复于:2003-08-27 17:43:26
我这里有设备,不过是freebsd4.8,要做freebsd下面的就找我吧
peng 回复于:2003-08-29 13:20:49
我这几天也做这个,打算系统用linux,希望能和大家交流。
我现在还不太熟悉这个,没用过。
先看看资料,再和大家讨论。
startkill 回复于:2003-10-20 09:36:42
写的好~~UP~~
blueant0 回复于:2004-01-30 13:58:38
这个帖子怎么就这么结束了?我还期待着后面的freeswan文档呢!
水若寒 回复于:2004-11-18 16:07:40
是啊,我最近也一直想用FREESWAN做,设备网络环境等都不成问题,但就是无从下手,现在正准备把KERNEL升级到2.6.9,完了再找些文档看看,但中文文档确实少得可怜....所以难度很大,建议大家都把找到的文档链接贴上来,共享一下.....
http://www.freeswan.ca/
有个问题,伯FREESWAN做服务端,那么客户端是否需要安装什么软件?一直不解!!
kingboysxf 回复于:2005-07-25 22:38:17
绝对经典的好文章啊,,楼主真强。。。支持。。。
hongfengyue 回复于:2005-08-12 13:24:28
openswan的文章呢?谁有经验出来说说。
没有使用过freeswan啊!
水若寒 回复于:2005-08-12 23:22:21
ppp多重链接帧 关
是什么回事?怎样打开?打开有什么好处?
jxljl 回复于:2006-09-09 17:16:20
我的也配制好我.在连接时出现 "734" 对号框.
jxljl 回复于:2006-09-09 20:43:36
谁能解决这个问题
star0395 回复于:2006-11-16 21:28:30
动态ADSL做VPN服务器.需要做路由吗?
firedragon 回复于:2006-12-08 15:38:30
不错:)
飞行小猪 回复于:2007-01-08 16:46:54
感谢楼主,我也试试
mcumsigscr 回复于:2007-01-18 09:28:43
好帖子啊.正在弄这个,顶一下.
Brevity 回复于:2007-01-19 09:51:56
支持楼主,有机会也来学习配置一下!
panlm 回复于:2007-01-22 16:49:53
引用:原帖由 我爱臭豆腐 于 2003-6-17 13:43 发表
是这样的你把mschap的补丁可以打上.但是mppe的补丁一定要打那个东西是管加密的.不然你做出来vpn也没有什么太多的实在意义.还有就是那个mppc比较讨厌.如果实现不了也无所谓.现在就我知道的.处了ms自己以外其 ...
* The mppe-mppc flag overwrites the pppd native MPPE support with MPPE-MPPC
* patch developed by Jan Dubiec.
* The resulted pppd will work only with patched kernels with version <= 2.6.14.
* You could obtain the kernel patch from MPPE-MPPC homepage:
* http://mppe-mppc.alphacron.de/
* CAUTION: MPPC is a U.S. patented algorithm!
* Ask yourself if you really need it and, if you do, consult your lawyer first.
个人感觉MPPC没什么用
wljs064-1 回复于:2007-02-04 14:39:27
现在就试试!!!
donminje 回复于:2007-04-03 11:31:44
./.....
fema 回复于:2007-04-16 03:45:11
請問一下您˙的VPN流量分析是用什麼軟體?
|
