VolgogradLUG : ГраблеВодство/articles/VPNLinuxClientWindowsServer

Настройка Vpn linux-клиента для Vpn Windows-сервера

Оглавление документа

Настройка Vpn linux-клиента для Vpn Windows-сервера

Дистрибутив и пакеты

Я использовал ALT Master 2.4 + updates
Пакеты

ppp-2.4.2-alt2
pptp-client-1.5.0-alt1

В Windows стояло шифрование и «безопасный пароль» — чего под этим имеется ввиду смотрите ниже, я из контекста самой windows этого понять не смог. Слава богу сама linux все расставила на место. :)

Файлы конфигураций и их содержимое

Править будем следующие файлы

/etc/ppp/{pap-secrets,chap-secrets}
/etc/ppp/peers/vpnconnect
/etc/sysconfig/pptp
/etc/modules.conf

Содержимое
/etc/ppp/pap-secrets
/etc/ppp/chap-sercrets

user   *    password    *

Замечание: если машина у нас в домене, то user заменяем на domain\\user.

/etc/ppp/peers/vpnconnect

debug
logfd 2
nodetach
dump
noauth          
refuse-chap   
refuse-mschap
refuse-eap     
mppe-stateful
require-mppe  
require-mppe-128
nodefaultroute
pty "/usr/sbin/pptp ip-of-vpn-server --nolaunchpppd"
connect /bin/true
name user
ipparam vpnconnect

Примечания:

user — имя пользователя из /etc/ppp/{pap-secrets,chap-secrets}
ip-of-vpn-server — ip-адрес vpn-сервера
vpnconnect — имя файла в /etc/ppp/peers
Windows использует схему шифрования пароля и тунеля mppe, поэтому у нас chap, mschap, eap refuse, а mppe require.
nodefaultroute — если vpn сервер находиться не в одной с вами подсети, то настоятельно рекомендуется выставлять этот параметр, а то как же вы дайдете до vpn-сервера без default'а или static-маршрута ;) Если же упустите момент истины (ну т.е. забудите об этом параметре), то в логах, а точнее в /var/log/daemons/warnings будет сыпаться следующий бред:

pptp[13576]: anon warn[pptp_gre_bind:pptp_gre.c:95]: connect: Network is unreachable

/etc/sysconfig/pptp

PPTP_TUNNEL=vpnconnect

/etc/modules.conf (ядро 2.4.26-std-up-alt6)

alias char-major-108 ppp
alias char-major-108 ppp_generic
alias char-major-108 ppp_mppe
alias char-major-108 ppp_async

для 2.6.12-wks26-up-alt4 (то что у меня из сизифа)
правим /etc/modules и добавляем в него

ppp_mppe_mppc

После всех этих процедур, пишем

service pptptunnel start

Появиться вот такая штука
ifconfig
ppp0      Link encap:Point-to-Point Protocol  
          inet addr:192.168.29.3  P-t-P:192.168.29.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:126 (126.0 b)  TX bytes:90 (90.0 b)

Заметим, что появляется маршрут точка-точка. Наш адрес 192.168.29.3, адрес vpn-сервера 192.168.29.1. Все замечательно осталось проделать еще пару телодвижений:
Нас не интересует точка-точка, а интересует сеть за vpn-сервером, пусть она у нас будет 192.168.30.0/24. Для этого на тех машинах, которые находятся за vpn-сервером, должен быть указан default gateway (он же шлюз по умолчанию) как ip-адрес vpn-сервера (тот что на сетевой карточке у него стоит смотрящей в 192.168.30.0/24), либо же static маршрут, чтобы пакеты идущие с 192.168.29.3 шли опять же на ip-адрес, стоящий у нашего vpn-сервера на ethernet карточке. Это касательно танцев с Windows. В linux'е так же нужно указать static маршрут до сети 192.168.30.0/24. Делается это командой:

route add -net 192.168.30.0/24 gw 192.168.29.1

При выполнении команды

service pptptunnel stop

Написанный выше маршрут пропадет.

P.s. чтобы по 10 раз не вбивать команду route, после старта pptp-тунеля, можно его запихать в /etc/init.d/pptptunnel в секцию старт.