拔號伺服器pptp搭建
㈠ 撥號上網伺服器。PPOP PPTP,電信寬頻撥號
可以實現。有個朋友在都市村莊做了一套類似的接入系統。有興趣可以具體幫你問問,另外看看有沒有什麼合作機會。996654792
㈡ 軟路由怎麼搭建伺服器
cisco思科是全世界領先且頂尖的通訊廠商,出產的路由器功能也是很出色的,那麼你知道軟路由怎麼搭建伺服器嗎?下面是我整理的一些關於軟路由怎麼搭建伺服器的相關資料,供你參考。
什麼是軟路由?
軟路由是指利用 台式機 或伺服器配合軟體形成路由解決方案,主要靠軟體的設置,達成路由器的功能;而硬路由則是以特有的硬設備,包括處理器、電源供應、嵌入式軟體,提供設定的路由器功能。
軟體路由器並不復雜,非常簡單,會用普通操作PC就可以安裝軟體路由,顧名思義就是系統軟體設置完成路由功能
根據使用的操作不同可以分為基於windows平台和基於Linux/bsd平台開發的軟體路由器,基於Windows平台的軟體防火牆比較常見的有ISA Server、Winroute Firewall、小草上網行為管理軟路由等,這些軟體有些是商業化的,通常根據授權用戶數不同收費而不同,購買正版的軟體防火牆的費用對許多中小型企業來說無疑是一筆不小的開支,小草上網行為管理軟路由是目前有限的基於windows平台而且又主打免費的一款軟路由軟體;而基於Unix/Linux平台的軟體防火牆大家一般接觸較少,受益於開放源碼運行,目前基於Unix/Linux平台的軟體防火牆如雨後春筍般不斷推出,這些軟體防火牆大多是免費的,常見的有海蜘蛛、ikuai8、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux[1] 等,這些系統共有的特點是一般對硬體要求較低,甚至只需要一台486電腦,一張軟盤,兩塊網卡就可以安裝出一台非常專業的軟體防火牆,這對很多有淘汰下來的低檔電腦的朋友來說,意味著拿一台淘汰的電腦,安裝一套免費的防火牆軟體,不花一分錢就 DIY 出一台專業的防火牆,而且這些系統自身也包含了NAT功能,同時可以實現寬頻共享,這意味著這台免費的防火牆其實也是一台出色的寬頻路由器,這是多麼令人激動的事情,不過就目前來看這類免費的軟路由通常為了生存下去或因過多 廣告 的插入導致用戶的不滿。
軟路由搭建伺服器的 方法 :
1.工作組情況下的身份驗證使用本地計算機來完成的;域環境下的身份驗證是由DC來完成的,因此伺服器也必須加入到域中成為域成員,不要把DC和伺服器搭建在一台伺服器,還有就是客戶進行連接是不用輸入域名。
2.遠程訪問服務(Remote Access Service,RAS)允許客戶機通過撥號連接或虛擬專用連接登陸的網路。
3.Windows Server 2003遠程訪問服務提供了兩種遠程登陸的方式:撥號網路、虛擬專用網。
4.撥號網路的組件:撥號網路客戶端、遠程訪問伺服器、wan結構、遠程訪問協議、lan協議。
5.Vpn組件:客戶端(可能是計算機和路由器)、伺服器、隧道、連接、隧道協議(pptp和L2tp)、傳輸互聯網路。
6.遠程訪問伺服器的屬性包括常規、安全、ip、ppp和日誌。
7.在客戶端建立連接時要輸入伺服器的ip地址,輸入的是伺服器的外網地址。
8.常用的撥號方式:PPTP、L2TP。
9.身份驗證的方法:智能卡(EAP伺服器與客戶端必須全有智能卡)、CHAP1、CHAP2.
10.相同的帳戶可以在不同的計算機上同時登陸,但是他們所用的埠是不同的。
11.PPTP和L2TP的埠默認是128個,但是可以自己修改。
12.伺服器可以隨時斷開與客戶的連接。
13.在伺服器上應用遠程訪問策略可以是連接更加安全,策略包括條件、許可權和配置文件。
14.遠程訪問的許可權:允許訪問、拒絕訪問、通過遠程訪問策略控制訪問。
15.回撥選項:不回撥(由撥叫方付費)、有呼叫方設置(由伺服器端付費)、總是回撥到(由伺服器端付費,更安全)。
16.只有提升域的安全級別才能夠採用“通過遠程訪問策略”來驗證許可權,第一次提升域功能級別要重啟計算機。
17.遠程訪問策略的配置文件包括:撥入限制、ip、多重鏈接、身份驗證(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(無加密、基本加密、增強加密、最強加密)、高級。
18.Windows默認的遠程訪問策略是不能刪除的,如果刪除即使不用遠程訪問策略也不能訪問。
19.遠程訪問的排錯:檢查硬體是否正常、遠程訪問服務是否啟動、如果服務啟動,檢查伺服器的配置、用戶帳戶的撥入屬性配置是否正確、遠程訪問策略是否正確、客戶端配置是否正確。
20.常見故障及解決方法:
1>在客戶機撥入時,顯示“本帳戶沒有撥入許可權”。
可能的原因:用戶帳戶撥入屬性中設置拒絕許可權、遠程訪問策略的條件不滿足、遠程訪問策略中配置拒絕訪問的許可權、沒有遠程訪問策略。
2>在客戶機撥入時,總是彈出對話框提示重新輸入用戶名和密碼。
可能的原因:密碼輸入錯誤、用戶名輸入錯誤。
3>在客戶機撥入時,顯示身份驗證協議問題。
可能原因:客戶端域遠程訪問伺服器的身份驗證方式不匹配。
㈢ VPN相關技術
當您通過Internet使用VPN時,它會在兩個設備/網路之間創建專用且加密的隧道。現在作為VPN,你很難對數據進行竊聽,即使它被侵入,因為這是數據被加密,從這個加密數據中獲取任何信息幾乎是不可能的。有幾種VPN隧道協議,如PPTP(點對點隧道協議),L2TP(第二層隧道協議),IPSec(Internet協議安全),SSL(安全套接字層)等,用於創建VPN隧道。
IPSec實現
工作於TCP/IP第三層IP層上網路數據安全地一整套體系結構;包括網路認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,網際網路密鑰交換又稱isakmp)和用於網路認證及加密的一些演算法等。其中,AH協議和ESP協議用於提供安全服務,IKE協議用於密鑰交換。
整個IPSec VPN地實現基本簡化為兩個SA協商完成
SA(security association):是兩個通信實體經協商建立起來地一種協議,它們決定了用來保護數據包安全地IPsec協議,轉碼方式,密鑰,以及密鑰地有效存在時間等等
IKE(isakmp)SA: 協商對IKE數據流進行加密以及對對等體進行驗證地演算法(對密鑰地加密和peer地認證) 對等體之間只能存在一個
第一階段:建立ISAKMPSA協商的是以下信息:
1、對等體之間採用何種方式做認證,是預共享密鑰還是數字證書。
2、雙方使用哪種加密演算法(DES、3DES)
3、雙方使用哪種HMAC方式,是MD5還是SHA
4、雙方使用哪種Diffie-Hellman密鑰組
5、使用哪種協商模式(主模式或主動模式)
6、協商SA的生存期
IPSec SA: 協商對對等體之間地IP數據流進行加密地演算法 對等體之間可以存在多個
第二階段:建立IPsecSA協商的是以下信息:
1、雙方使用哪種封裝技術,AH還是ESP
2、雙方使用哪種加密演算法
3、雙方使用哪種HMAC方式,是MD5還是SHA
4、使用哪種傳輸模式,是隧道模式還是傳輸模式
5、協商SA的生存期
名詞解釋:
AH協議(IP協議號為51): 提供數據源認證、數據完整性校驗和防報文重放功能,它能保護通信免受篡改,但不能防止竊聽,適合用於傳輸非機密數據。AH的工作原理是在每一個數據包上添加一個身份驗證報文頭,此報文頭插在標准IP包頭後面,對數據提供完整性保護。可選擇的認證演算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
ESP協議(IP協議號為50): 提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標准IP包頭後面添加一個ESP報文頭,並在數據包後面追加一個ESP尾。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。常見的加密演算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1演算法保證報文的完整性和真實性。
IPSec有兩種工作模式:
隧道(tunnel)模式: 用戶的整個IP數據包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常,隧道模式應用在兩個安全網關之間的通訊。
傳輸(transport)模式: 只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常,傳輸模式應用在兩台主機之間的通訊,或一台主機和一個安全網關之間的通訊。
1. 數據認證
數據認證有如下兩方面的概念:
身份認證:身份認證確認通信雙方的身份。支持兩種認證方法:預共享密鑰(pre-shared-key)認證和基於PKI的數字簽名(rsa-signature)認證。
身份保護:身份數據在密鑰產生之後加密傳送,實現了對身份數據的保護。
2. DH
DH(Diffie-Hellman,交換及密鑰分發)演算法是一種公共密鑰演算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據,計算出共享的密鑰。即使第三者(如黑客)截獲了雙方用於計算密鑰的所有交換數據,由於其復雜度很高,不足以計算出真正的密鑰。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
3. PFS
PFS(Perfect Forward Secrecy,完善的前向安全性)特性是一種安全特性,指一個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關系。對於IPsec,是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH演算法保障的。
IKE的交換過程
IKE使用了兩個階段為IPsec進行密鑰協商並建立SA:
第一階段,通信各方彼此間建立了一個已通過身份認證和安全保護的通道,即建立一個ISAKMP SA。第一階段有主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法。
第二階段,用在第一階段建立的安全隧道為IPsec協商安全服務,即為IPsec協商具體的SA,建立用於最終的IP數據安全傳輸的IPsec SA。
如圖2-1所示,第一階段主模式的IKE協商過程中包含三對消息:
l 第一對叫SA交換,是協商確認有關安全策略的過程;
l 第二對消息叫密鑰交換,交換Diffie-Hellman公共值和輔助數據(如:隨機數),密鑰材料在這個階段產生;
l 最後一對消息是ID信息和認證數據交換,進行身份認證和對整個第一階段交換內容的認證。
野蠻模式交換與主模式交換的主要差別在於,野蠻模式不提供身份保護,只交換3條消息。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。
IKE在IPsec中的作用
l 因為有了IKE,IPsec很多參數(如:密鑰)都可以自動建立,降低了手工配置的復雜度。
l IKE協議中的DH交換過程,每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程,保證了每個SA所使用的密鑰互不相關。
l IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值,此數溢出後,為實現防重放,SA需要重新建立,這個過程需要IKE協議的配合。
l 對安全通信的各方身份的認證和管理,將影響到IPsec的部署。IPsec的大規模使用,必須有CA(Certificate Authority,認證中心)或其他集中管理身份數據的機構的參與。
l IKE提供端與端之間動態認證。
IPsec與IKE的關系
圖 5 IPsec與IKE的關系圖
從圖2-2中我們可以看出IKE和IPsec的關系:
l IKE是UDP之上的一個應用層協議,是IPsec的信令協議;
l IKE為IPsec協商建立SA,並把建立的參數及生成的密鑰交給IPsec;
l IPsec使用IKE建立的SA對IP報文加密或認證處理。
SSL VPN簡介
SSL VPN是以SSL協議為安全基礎的VPN遠程接入技術,移動辦公人員(在SSL VPN中被稱為遠程用戶)使用SSL VPN可以安全、方便的接入企業內網,訪問企業內網資源,提高工作效率。
SSL VPN技術優勢:
無客戶端的便捷部署
應用層接入的安全保護
企業延伸的效率提升
SSL協議從身份認證、機密性、完整性三個方面確保了數據通信的安全 。
SSL VPN實現私密性 完整性 不可否認 源認證
SSL VPN的特點:
採用B/S架構,遠程用戶無需安裝額外軟體,可直接使用瀏覽器訪問內網資源。
SSL VPN可根據遠程用戶訪問內網資源的不同,對其訪問許可權進行高細粒度控制。
提供了本地認證、伺服器認證、認證匿名和證書挑戰多種身份認證方式,提高身份認證的靈活性。
可以使用主機檢查策略。
緩存清理策略用於清理遠程用戶訪問內網過程中在終端上留下的訪問哼唧,加固用戶的信息安全。
PN類型詳解 PPTP VPN
PPTP:點對點隧道協議,一種支持多協議虛擬專用網路(VPN)的網路技術,工作在第二層數據鏈路層。以同樣工作在第二層的點對點傳輸協議(PPP)為基礎,PPTP將PPP幀封裝成IP數據包,以便於在互聯網上傳輸並可以通過密碼驗證協議(PAP),可擴展認證協議(EAP)增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網路資源。
PPTP VPN的實現需要:客戶機和伺服器之間必須有聯通並且可用的IP網路。
該VPN可在Windows、Linux環境下搭建,或者通過配置路由器來實現。
L2F:第二層轉發協議。 用於建立跨越公共網路的安全隧道來將ISP POP連接到企業內部網關。這個隧道建立了一個用戶與企業客戶網路間的虛擬點對點連接。 L2F允許高層協議的鏈路層隧道技術,使得把原始撥號伺服器的位置和撥號協議連接終止與提供的網路訪問位置分離成為可能。
L2TP VPN
L2TP:二層隧道協議,結合PPTP與L2F兩種二層隧道協議的優點,為眾多公司接受。 L2TP擴展了PPP模型,它使用PPP來封裝用戶數據,允許多協議通過隧道傳送,作為安全性增強,L2TP與IPSec(Internet協議安全性)結合——L2TP/IPsec, L2TP基於UDP協議,因此L2TP不保證數據消息的可靠投遞,若數據丟失,不予重傳。
L2TP 的實現:與PPTP不同, PPTP要求網路為IP網路,L2TP要求面向數據包的點對點連接。
該VPN可在Windows、Linux環境下搭建,或者通過配置防火牆、路由器來實現。
MPLS VPN
MPLS:多協議標簽交換(MPLS)是一種用於快速數據包交換和路由的體系,它為網路數據流量提供了目標、路由地址、轉發和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機制。
它提供了一種方式,將IP地址映射為簡單的具有固定長度的標簽,用於不同的包轉發和包交換技術。
傳統的VPN是基於 PPTP L2TP等隧道協議來實現私有網路間數據流在公網上的傳送。而LSP本身就是公網上的隧道,所以用MPLS來實現VPN有天然的優勢。
基於MPLS的VPN就是通過LSP將私有網路的不同分支聯結起來,形成一個統一的網路。基於MPLS的VPN還支持對不同VPN間的互通控制。
MPLSVPN網路主要由CE、PE和P等3部分組成:
CE(Customer Edge):用戶網路邊緣設備,可以是路由器 交換機 主機。
PE(Provider Edge):是服務商邊緣路由器,位於骨幹網路。
P(Provider):是服務提供商網路中的骨幹路由器
SSL工作Socket層,IPsec工作在網路層.
SSL(安全套接層)是一個基於標準的加密協議,提供加密和身份識別服務。SSL廣泛應用於在互聯網上提供加密的通訊。SSL最普通的應用是在網路瀏覽器中通過HTTPS實現的。然而,SSL是一種透明的協議,對用戶基本上是不可見的,它可應用於任何基於TCP/IP的應用程序。
通用路由封裝協議GRE(Generic Routing Encapsulation) 提供了 將一種協議的報文封裝在另一種協議報文中 的機制,是一種 隧道封裝技術 。GRE可以 封裝組播數據 ,並可以 和IPSec結合使用 ,從而保證語音、視頻等組播業務的安全
IPSec 用於在兩個端點之間提供安全的IP通信,但只能加密並傳播單播數據,無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量
GRE屬於網路層協議 IP協議號為47
GRE的優點總結:
GRE實現機制簡單,對隧道兩端的設備負擔小
GRE隧道可以通過IPv4網路連通多種網路協議的本地網路,有效利用了原有的網路架構,降低成本
GRE隧道擴展了跳數受限網路協議的工作范圍,支持企業靈活設計網路拓撲
GRE隧道可以封裝組播數據,和IPSec結合使用時可以保證語音、視頻等組播業務的安全
GRE隧道支持使能MPLS LDP,使用GRE隧道承載MPLS LDP報文,建立LDP LSP,實現MPLS骨幹網的互通
GRE隧道將不連續的子網連接起來,用於組建實現企業總部和分支間安全的連接
GRE屬於網路層協議 IP協議號為47
GRE的優點總結:
GRE實現機制簡單,對隧道兩端的設備負擔小
GRE隧道可以通過IPv4網路連通多種網路協議的本地網路,有效利用了原有的網路架構,降低成本
GRE隧道擴展了跳數受限網路協議的工作范圍,支持企業靈活設計網路拓撲
GRE隧道可以封裝組播數據,和IPSec結合使用時可以保證語音、視頻等組播業務的安全
GRE隧道支持使能MPLS LDP,使用GRE隧道承載MPLS LDP報文,建立LDP LSP,實現MPLS骨幹網的互通
GRE隧道將不連續的子網連接起來,用於組建,實現企業總部和分支間安全的連接
隧道介面
GRE隧道是通過隧道兩端的 Tunnel介面 建立的,所以需要在隧道兩端的設備上分別配置 Tunnel介面 。對於GRE的Tunnel介面,需要指定其協議類型為GRE、源地址或源介面、目的地址和Tunnel介面IP地址
隧道介面(tunnel介面) 是為實現報文的封裝而提供的一種點對點類型的虛擬介面 與loopback介面類似 都是一種 邏輯接
GRE隧道介麵包含 源地址 、 目的地址 和 隧道介面IP地址 和 封裝類型
Tunnel的源地址:配置報文傳輸協議中的源地址。
當配置地址類型時,直接作為源地址使用
當配置類型為源介面時,取該介面的IP地址作為源地址使用
Tunnel的目的地址 :配置報文傳輸協議中的目的地址
Tunnel介面IP地址 :為了在Tunnel介面上啟用動態路由協議,或使用靜態路由協議發布Tunnel介面,需要為Tunnel介面分配IP地址。Tunnel介面的IP地址可以不是公網地址,甚至可以借用其他介面的IP地址以節約IP地址。但是當Tunnel介面借用IP地址後,該地址不能直接通過tunnel口互通,因此在借用IP地址情況下,必須配置靜態路由或路由協議先實現借用地址的互通性,才能實現Tunnel的互通。
L2TP基本概念:
L2TP(Layer 2 Tunneling Protocol) VPN是一種用於承載PPP報文的隧道技術,該技術主要應用在遠程辦公場景中為出差員工遠程訪問企業內網資源提供接入服務。
L2TP VPN的優點:
身份驗證機制,支持本地認證,支持Radius伺服器等認證方式
多協議傳輸,L2TP傳輸PPP數據包,PPP本身可以傳輸多協議,而不僅僅是IP可以在PPP數據包內封裝多種協議
計費認證地址分配
可在LAC和LNS兩處同時計費,即ISP處(用於產生賬單)及企業網關(用於付費及審計)。L2TP能夠提供數據傳輸的出入包數、位元組數以及連接的起始、結束時間等計費數據,可根據這些數據方便地進行網路計費
LNS可放置於企業網的USG之後,對遠端用戶地址進行動態分配和管理,可支持私有地址應用
不受NAT限制穿越,支持遠程接入,靈活的身份驗證及時以及高度的安全性,L2TP協議本身並不提供連接的安全性,但它可以依賴於PPP提供的認證(CHAP、PAP等),因此具有PP所具有的所有安全特性。
L2TP和PPTP區別:
L2TP:公有協議、UDP1701、支持隧道驗證,支持多個協議,多個隧道,壓縮位元組,支持三種模式
PPTP:私有協議、TCP1723、不支持隧道驗證,只支持IP、只支持點到點
PPTP:
點對點隧道協議(PPTP)是由包括Microsoft和3com等公司組成的PPTP論壇開發的,一種點對點隧道協議,基於拔號使用的PPP協議使用PAP或CHAP之類的加密演算法,或者使用Microsoft的點對點加密演算法MPPE。
L2TP:
第二層隧道協議(L2TP)是IETF基於L2F(Cisco的2層轉發協議)開發的PPTP後續版本,是一種工業標准Internet隧道協議。
兩者的主要區別主要有以下幾點:
PPTP只能在兩端間建立單一隧道,L2TP支持在兩端點間使用多隧道,這樣可以針對不同的用戶創建不同的服務質量
L2TP可以提供隧道驗證機制,而PPTP不能提供這樣的機制,但當L2TP或PPTP與IPSec共同使用時,可以由IPSec提供隧道驗證,不需要在第二層協議上提供隧道驗證機制
PPTP要求互聯網路為IP網路,而L2TP只要求隧道媒介提供面向數據包的點對點連接,L2TP可以在IP(使用UDP),FR,ATM,x.25網路上使用
L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(voerhead)佔用4個位元組,而PPTP協議下要佔用6個位元組
㈣ 如何在Unbuntu上快速部署PPTP服務
一、PPTP簡介
協議:TCP,埠1723
協議:GRE,協議號47
依賴服務:pppd
二、快速部署
搭建環境
Ubuntu Server 10.04~11.04
pptpd v1.3.4
pppd version 2.4.5
1.安裝軟體包
在Ubuntu Server上默認是已經安裝pppd服務的,如果你沒有,請一並安裝。
apt-get install pptpd ppp
2./etc/pptpd.conf
option /etc/ppp/pptpd-options
logwtmp
localip 10.10.10.1
remoteip 10.10.10.100-245
option指令告訴pptpd應該讓pppd讀取哪個配置文件
logwtmp插件會將每次用戶登錄情況記賬到/var/log/wtmp文件
這不是文本文件,需要使用last命令讀取:
last -f /var/log/wtmp
localip和remoteip所在網段不得和伺服器、用戶所在網段沖突。
3.重啟PPTP服務
對pptpd.conf配置文件所做的修改需要重啟pptpd服務
/etc/init.d/pptpd restart
4./etc/ppp/pptpd-options
對ppp配置文件所做的修改,無需重啟pppd服務,因為pppd由pptpd啟動,那時所做的更新會自動應用上去。
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
nodefaultroute
lock
nobsdcomp
persist
mtu 1404
mru 1404
5.啟用轉發
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
對於OpenVZ的主機,可能不支持MASQUERADE,此時需要使用SNAT:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $IP
其中$IP就是你主機的外網IP地址
三、測試
1.啟用測試用戶
編輯/etc/ppp/chap-secrets文件,加入如下行:
# Secrets for authentication using CHAP
# client server secret IP addresses
guest pptpd password *
該行創建一個用戶,用戶名為guest,密碼為password(明文)
server欄位與pptpd-options配置文件中的name屬性對應。還可以星號(*)代替,表示不限調用服務。
IP address表示來源IP,這里星號(*)表示接受所有連接。
對來源IP的過濾應該由iptables防火牆來完成。讀者可以查閱本博客關於iptables的相關文章進行設置。
2.撥號
可以在Windows系統、iOS上與PPTP伺服器連接。
連接方法請參看這篇文章。(更新中)
3.調試
PPTP服務會調用ppp進行驗證,日誌記錄在/var/log/syslog中
如果在pptpd-options配置文件中啟用debug開關,則還會出現在/var/log/debug文件中
我們經常會遇到如下錯誤消息:
GRE: Bad checksum from pppd.
這可能是由於你的主機在NAT後面,也可能是當地網路對GRE協議支持不佳。
如果出現
LCP: timeout sending Config-Requests
這很有可能是你的ISP導致的。出於這種不穩定、不和諧因素,我們有必要使用更穩定、更安全的L2TP。
㈤ win7系統如何創建PPTP的VPN撥號連接
你是說不用客戶端直接設置?
Windows 7
1. 在畫面右下角,點選網路連接,然後選擇「打開網路共享中心」;
2. 在彈出的對話窗口中,選擇「設置新的連接或網路」;
3. 選擇「連接到工作區」,然後選擇「使用我的Internet連接(VPN),通過Internet使用虛擬專用網路(VPN)來連接」,然後單擊「我將稍後設置Internet連接」;
4. 在「Internet 地址」里,填上VPN提供的IP地址。填好IP後,其它東西都不用管它,直接點擊下一步。目標名稱填寫「VPN連接」;
5. 填VPN的用戶名和密碼,先不要填,點「創建」;
6. 到這里就完成的連接設置導向。點擊「關閉」。;
7. 回到桌面右鍵點擊「網路」->「屬性」,再點擊一下左邊的「更改適配器設置」;
8. 找到剛才建好的「VPN連接」並雙擊打開;
9. 填寫提供的VPN用戶名和密碼,「域」可以不用填寫。然後點擊屬性->安全;
10. 在「數據加密」這一項選中「可選加密(沒有加密也可以連接)」選好後點擊「確定」。VPN類型自動,使用這些協議選擇CHAP,MS-CHAP v2;
11. 整個Windows7 VPN過程都設置完成了。點擊「連接」就可以上網沖浪了。
㈥ 怎麼創建一個pptp伺服器。讓其他很多路由登錄
首先說明不是每一款路由器都可以開啟該選項,能否開啟直接決定於路由器固件的設計,以NW705P為例,操作步驟如下:
1、瀏覽器輸入路由器管理ip,默認192.168.1.1,回車;
2、輸入路由器管理員賬戶及密碼,點擊確定,默認皆為admin;
3、左側導航點擊應用網關,右側列表點擊PPTP透傳後啟用,然後點擊保存生效即可。
㈦ tp-link tl-r473g/tl-r483g路由器怎麼搭建vpn
多WAN口千兆企業VPN路由器TL-R483G
你可以開啟VPN功能試試,遠程登錄內網
至此,PPTP VPN設置連接成功,VPN客戶端可以訪問上網並訪問總部內網。
㈧ win2008 如何同時搭建pptp和l2tp服務
L2TP支持MP(Multilink Protocol),把多個物理通道捆綁為單一邏輯信道
pptp使用M$的撥號網路作為客戶端,使用gre做tunnel封裝,mppe進行加密。
l2tp也使用M$的撥號網路做為客戶端,在lac進行一次證,在lns進行二次認證,tunnel是處於lac與lns之間。加密方式可以選擇mppe和ipsec。
ipsec使用ESP/AH做為tunnel封裝,一般需要專用的客戶端。如cisco的vpn client或其它廠商的client.
PPTP和L2TP都使用PPP協議對數據進行封裝,然後添加附加包頭用於數據在互聯網路上的傳輸。盡管兩個協議非常相似,但是仍存在以下幾方面的不同:
1.PPTP要求互聯網路為IP網路。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網路上使用。
2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道。
3.L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(overhead)佔用4個位元組,而PPTP協議下要佔用6個位元組。
4.L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗證,不需要在第2層協議上驗證隧道。
㈨ 如何搭建一個支持IPv6的PPTP VPN
Debian的包管理是所有發行版里最好的,所以這條命令打完就安裝完畢了我們的pptp伺服器端程序。
配置IP地址范圍
編輯/etc/pptpd.conf,在最後添加如下地址:
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
這兩句設置了當外部計算機通過pptp聯接到vpn後所能拿到的ip地址范圍和伺服器的ip地址設置。
㈩ 如何搭建一個支持IPv6的PPTP VPN
Debian的包管理是所有發行版里最好的,所以這條命令打完就安裝完畢了我們的pptp伺服器端程序。
配置IP地址范圍
編輯/etc/pptpd.conf,在最後添加如下地址:
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
這兩句設置了當外部計算機通過pptp聯接到vpn後所能拿到的ip地址范圍和伺服器的ip地址設置。