PPTP 站點到站點 VPN 希望對需要的朋友有幫助
某公司有兩個站點,如下圖所示:
http://zoukejian.blog.ccidnet.com/attachment/73559_5b837e18c899fc8.jpg
現在需要使用PPTP VPN 在這兩個站點之間實現站點到站點VPN。
下面描述實現步驟:
一. 安裝和配置 Linux PPTP VPN 伺服器
由於伺服器已經裝好了,這裡就不說具體的安裝步驟了。
1. 在 /etc/ppp/chap-secrets 文件裡面新建一個帳號。站點一網關將使用該賬號來撥VPN。
# vi chap-secrets
"site1-gateway" pptpd "password-for-site1-gateway" 10.1.1.2
其中:
「site1-gateway」 和 「password-for-site1-gateway」分別是站點一撥本VPN伺服器時
使用的用戶名和密碼;
「pptpd」 對應於
# cat /etc/ppp/options.pptpd | grep name
name pptpd <---- "pptpd"
「10.1.1.2」 表示給站點一的網關撥號後分配這個IP;
2. 添加一條路由,以便讓VPN 伺服器知道該怎樣路由到達站點一的數據包。
# ip route add 10.0.0.0/16 via 10.1.1.2。
這裡假設站點一網關撥號后獲得的IP地址為10.1.1.2 , 跟上面為站點一網關建立的帳號
所列的IP要一致。
注意:是否要添加路由,其實是由站點一的 Linux PPTP VPN 客戶端的配置決定的,如果在客戶端做 SNAT 的話(也就是把來自站點一的 源地址為10.0.0.0/16的數據包的源地址NAT為該客戶端撥VPN后所分配的IP地址,即是10.1.1.2),那麼此處就不需要手工添加路由了。筆者認為用 SNAT 的方式更好一些,因為這樣方便對 VPN 的監控。
二. 安裝和配置 Linux PPTP VPN 客戶端
1. 確認已經安裝了 PPP 軟體包。
# which pppd
/usr/sbin/pppd
如果提示找不到,那就需要安裝 PPP 軟體包了。
2.下載 PPTP 客戶端軟體:
# wget http://jaist.dl.sourceforge.net/sourceforge/pptpclient/pptp-1.7.1.tar.gz
3.安裝 PPTP 客戶端軟體:
# tar -zxvf pptp-1.7.1.tar.gz
# cd pptp-1.7.1
# make & make install
4.配置 PPTP 客戶端:
1) 給PPTP 客戶端配置撥號時使用的帳號信息:
# cd /etc/ppp
# vi chap-secrets
# Secrets for authentication using CHAP
# client server secret addresses
"site1-gateway" pptpd "passwdforsite1gateway" *
其中前面3個欄位要與在站點二VPN伺服器上建立的帳號的相應欄位一致,
第4個欄位可以用 * 號填充,表示地址由伺服器端的配置決定。
2) 配置撥號屬性:
# vi peers/t5
pty "pptp 59.xxx.xx.xx --nolaunchpppd"
# 59.xxx.xx.xx 指站點二的VPN伺服器的公網IP
name "site1-gateway"
remotename "pptpd"
# 這兩個name的配置要與 /etc/ppp/chap-secrets 文件里相應項的信息一致
require-mppe-128
#如果站點二VPN伺服器要求加密,使用該語句,如果不要求加密,
# 註釋掉該語句
noauth
5.撥 VPN並添加相應路由:
# pppd call m5; tail -f /var/log/messages
如果你看到下面的消息,表示撥號成功了
mail1 kernel: PPP MPPE Compression module registered
mail1 pppd: MPPE 128-bit stateless compression enabled
mail1 pppd: local IP address 10.1.1.1
mail1 pppd: remote IP address 10.1.1.2
上面的10.1.1.1對應於PPTP VPN 伺服器配置文件的
# cat /etc/pptpd.conf | grep local
localip 10.1.1.1 <----- "10.1.1.1"
# ip addr l # 檢查是否已經建立了撥號介面
# ip route add 10.1.0.0/16 via 10.1.1.1
添加一條到達站點二的路由,以便網關知道該怎麼路由到達站點二的數據包
6. 可以選擇配置 SNAT,從而避免在站點二 VPN 伺服器上手工添加路由:
# iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -d 10.1.0.0/16 -j SNAT --to-source 10.1.1.2
三. 驗證
在站點一的任意一台電腦上去tracert 站點二的某台機器, 看路由是否正確。
C:\Documents and Settings\Administrator>tracert 10.1.2.1
Tracing route to 10.1.2.1 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 10.0.1.1 # 交換機上的SVI IP
2 <1 ms <1 ms <1 ms 10.0.0.1 # 站點一網關的內網 IP
3 34 ms 34 ms 34 ms 10.1.1.2 # 站點二VPN 伺服器的本地 VPN IP
4 34 ms 34 ms 34 ms 10.1.2.1 # 站點二的目標 IP
Trace complete.
上面的10.1.1.1對應於PPTP VPN 伺服器配置文件的
# cat /etc/pptpd.conf | grep local
localip 10.1.1.1 <----- "10.1.1.1"
最後,別忘了將啟動配置寫入 /etc/rc.local 文件。
希望對需要的朋友有幫助
《解決方案》
非常感謝,我有時間的話實踐下!!!!堅決頂你!!!!
《解決方案》
你的意思是二個站點,各自既為PPTPD服務端也同時為客戶端,同時也沒見你建立連接操作...........
再寫幾個路子由就可以實現網路連接?
《解決方案》
回復 #1 kns1024wh 的帖子
我按照你的帖子做了可是有問題,
提示:pppd: Can't open options file /etc/ppp/peers/m5: No such file or directory
我想問下你那個m5文件是怎麼出來的???
《解決方案》
也可以作為一種應用的案例吧
一般PPTPD用於Site to Site的比較少吧,呵呵
《解決方案》
恩 這種其實還是簡單的pptp 點到點只是加了路由而已
