Linux操作系统安全配置 课件 09-001-VPN服务配置

单击此处编辑母版标题样式

VPN服务配置学习内容VPN原理0102VPN服务端配置03VPN客户端配置04总结

VPN原理1某企业需要搭建一台VPN服务器。使公司的分支机构以及SOHO员工可以从Internet访问企业内部网络资源Web服务、FTP服务和Mail等服务。

VPN原理1VPN服务器有eth0和eth1两个网络接口。

eth1用于连接内网，IP地址为09eth2用于连接外网，IP地址为

VPN客户端通过Internet网络与VPN服务器连接后，可访问局域网内部的服务器。

VPN原理1建立VPN连接后，分配给VPN服务器的IP地址为09，分配给VPN客户端的IP地址池为

10-20，30-40客户端可以以用户名andrew、密码123456和VPN服务器建立连接，建立连接后获得的IP地址为18

VPN原理1VPN（VirtualPrivateNetwork，虚拟专用网络）是专用网络的延伸，它模拟点对点专用连接的方式通过Internet或Intranet在两台计算机之间传送数据，是“线路中的线路”，具有良好的保密性和抗干扰能力。

VPN服务器Internet适配器Intranet适配器公司内部网络VPN远程访问客户机Internet隧道

VPN原理1VPN用到的隧道技术主要分为第2层和第3层隧道协议。第2层隧道协议:使用帧作为数据交换单位。PPTP、L2TP都属于第2层隧道协议，它们都是将数据封装在点对点协议帧中通过互联网发送的。第3层隧道协议:使用包作为数据交换单位。GRE和IPSec隧道模式都属于第3层隧道协议，它们都是将IP包封装在附加的IP包头中通过IP网络传送。

VPN原理1VPN协议：（1）PPTP协议：PPTP（Point-to-PointTunnelingProtocol，端到端隧道协议）是基于PPP协议开发的隧道协议，是对端到端协议（PPP）的一种扩展，它采用了PPP所提供的身份验证、压缩和加密机制，并且通过端到端加密技术来对数据帧进行加密、封装和隧道传输。PPP帧通过通用路由封装（GRE）报头和IP报头进行封装，在IP报头中提供VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。

VPN原理1VPN协议：（2）L2TP协议：L2TP（LayerTwoTunnelingProtocol，第二层隧道协议）是PPTP隧道协议与第二次转发协议（L2F）的结合体，L2TP依靠因特网协议安全性（IPSec）技术提供加密服务。L2TP往往与IPSec加密相结合产生L2TP/IPSec。L2TP隧道数据可以在任何支持点对点传输的网络中进行传输，例如IP、帧中继、ATM网络等。

VPN原理1VPN协议：（3）IPSec协议：IPSec隧道模式单独使用IPSec来创建一个加密的隧道，通常用于和不支持L2TP/IPSec或PPTP协议的VPN服务器之间创建加密通信。和L2TP、PPTP不同，IPSec隧道模式不需要验证用户账户。他通过IPSec进行加密，而且IPSec隧道模式只能用于站点到站点的VPN类型。

VPN服务器配置2检测是否支持pptp[root@localhost~]#modprobeppp-compress-18&&echook

VPN服务器配置2安装ppp、pptp[root@localhost~]#yuminstallppp

VPN服务器配置2安装pptpd，由于Linux自带的yum源中没有pptpd，需要手工导入EPEL源，检查已添加到源列表中后更新源列表[root@localhost~]#rpm-ivh/pub/epel/epel-release-latest-7.noarch.rpm[root@localhost~]#yumrepolist[root@localhost~]#yuminstallpptpd

VPN服务器配置2

VPN服务器配置2检测系统的ppp是否支持MPPE加密[root@localhost~]#strings'/usr/sbin/pppd'|grep-imppe|wc--lines

VPN服务器配置2检测系统的ppp是否支持MPPE加密[root@localhost~]#strings'/usr/sbin/pppd'|grep-imppe|wc–lines如果以上命令输出为“0”则表示不支持；输出为“30”或更大的数字就表示支持。

VPN服务器配置2编辑VPN主配置文件/etc/pptpd.conf，启用options.pptpd文件，并添加以下两行内容：option/etc/ppp/options.pptpd//启用options.pptpd文件localip09//分配给VPN服务器的IP地址remoteip10-220,30-240//分配给客户端的可用IP地址池

VPN服务器配置2修改/etc/ppp/chap-secrets文件，为VPN用户设置登录密码及客户端获取的IP地址#andy用户连接成功后，获得的IP地址为18"andy"pptpd"123456""18"#shiny用户连接成功后，获得的IP地址从可用IP地址池中随机分配"shiny"*"123456""*"

VPN服务器配置2修改/etc/ppp/options-pptpd文件，增加以下内容refuse-paprefuse-chaprefuse-mschaprequire-mschap-v2require-mppe-128ms-dns09ms-wins09

VPN服务器配置2修改/etc/sysctl.conf文件内容，将“net.ipv4.ip_forward=”这行设置为1。开启内核转发，系统在每次开机后能自动激活IP数据包转发功能。

VPN服务器配置2执行以下命令来启用sysctl.conf文件中的改变，如图9-15所示。[root@rhlroot]#sysctl-p/etc/sysctl.conf

VPN服务器配置2编辑/usr/lib/firewalld/services/pptpd.xml文件

VPN服务器配置2设置VPN服务可以穿透Linux防火墙添加pptpd服务：[root@localhost~]#firewall-cmd--permanent--zone=public--add-service=pptpd允许防火墙伪装IP：[root@localhost~]#firewall-cmd--add-masquerade开启47及1723端口：[root@localhost~]#firewall-cmd--permanent--zone=public--add-port=47/tcp[root@localhost~]#firewall-cmd--permanent--zone=public--add-port=1723/tcp允许gre协议：[root@localhost~]#firewall-cmd--permanent--direct--add-ruleipv4filterINPUT0-pgre-jACCEPT[root@localhost~]#firewall-cmd--permanent--direct--add-ruleipv4filterOUTPUT0-pgre-jACCEPT

VPN服务器配置2设置VPN服务可以穿透Linux防火墙设置规则允许数据包由ens33和ppp+接口中进出[root@localhost~]#firewall-cmd--permanent--direct--add-ruleipv4filterFORWARD0-ippp+-oens33-jACCEPT[root@localhost~]#firewall-cmd--permanent--direct--add-ruleipv4filterFORWARD0-iens33-oppp+-jACCEPT设置转发规则，从源地址发出的所有包都进行伪装，改变地址，由ens33发出：[root@localhost~]#firewall-cmd--permanent--direct--passthroughipv4-tnat-IPOSTROUTING-oens33-jMASQUERADE-s/24重启防火墙：[root@localhost~]#firewall-cmd--reload

VPN服务器配置2重启VPN服务pptpd[root@localhost~]#systemctlrestartpptpd

VPN客户端配置3出差工作人员从ISP处获得IP地址为，在Windows系统下，打开“网络和共享中心”

VPN客户端配置3选择“设置新的连接或网络”

VPN客户端配置3选择“连接到工作区”

VPN客户端配置3选择“使用我的Internet连接(VPN)”

VPN客户端配置3在“Internet地址”处填入服务器IP地址：

VPN客户端配置3点击“创建”按钮，完成配置

VPN客户端配置3点击“连接”按钮，弹出登录对话框，输