站长视角
用户至上

Centos 7 安装 pptp vpn

1、检查系统内核是否支持MPPE

modprobe ppp-compress-18 && echo OK

显示OK说明系统支持MPPE

2、检查系统是否开启TUN/TAP支持

cat /dev/net/tun

cat: /dev/net/tun: 文件描述符处于错误状态

如果这条指令显示结果为下面的文本,则表明通过

3、 检查PPP是否支持MPPE

strings ‘/usr/sbin/pppd’|grep -i mppe|wc -l
43

如果以上命令输出为“0”则表示不支持;输出为“30”或更大的数字就表示支持.

4、安装ppp和iptables      #PPTP需要这两个软件包,一般centOS自带

yum install -y ppp iptables

5、安装PPTP

yum install epel-release
yum install pptpd

6、配置PPTP

(1)vi /etc/ppp/options.pptpd #编辑,保存

name pptpd                        #自行设定的VPN服务器的名字,可以任意

#refuse-pap                        #拒绝pap身份验证

#refuse-chap                      #拒绝chap身份验证

#refuse-mschap                 #拒绝mschap身份验证

require-mschap-v2             #为了最高的安全性,我们使用mschap-v2身份验证方法

require-mppe-128              #使用128位MPPE加密

ms-dns 8.8.8.8                   #设置DNS

ms-dns 8.8.4.4

proxyarp                            #启用ARP代理,如果分配给客户端的IP与内网卡同一个子网

#debug                              #关闭debug

lock

nobsdcomp

novj

novjccomp

#nologfd                            #不输入运行信息到stderr

logfile /var/log/pptpd.log    #存放pptpd服务运行的的日志

(2)vi /etc/ppp/chap-secrets #编辑,保存

kuaile pptpd 666666 *                 #设置用户名:test 密码:123456

或者

vpnuser add kuaile 666666

(3)vi /etc/pptpd.conf #编辑,保存

option /etc/ppp/options.pptpd

logwtmp

localip 10.0.6.1                       #设置VPN服务器虚拟IP地址

remoteip 10.0.6.101-200        #为拨入VPN的用户动态分配10.0.6.101~10.0.0.200之间的IP

7. 开启系统路由模式

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

vi /etc/sysctl.conf                 #编辑

net.ipv4.ip_forward = 1       #找到此行 去点前面#,把0改成1 开启路由模式,如果没有就自行添加

/sbin/sysctl -p                      #使设置立刻生效

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

7、配置防火墙NAT转发

centos 7 默认采用firewalld动态防火墙,我还是更习惯使用iptables

yum install iptables-services

systemctl stop firewalld.service
systemctl disable firewalld.service
yum erase firewalld

 

systemctl enable iptables.service
systemctl start iptables.servic

开启包转发

iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j MASQUERADE

意思是对即将发送出去的数据包进行修改,对来自设备eth0且源地址是10.0.6.0/24的数据包,把源地址修改为主机地址及vPN地址

iptables -t nat -L                     #完成后可以查看NAT表是否已经生效

这里要注意服务器的网口不一定是eth0,用netstat -i 查看

service iptables save    #保存防火墙设置

service  restart              #重启防火墙

对于开启了iptables过滤的主机,需要开放VPN服务的端口:1723 和gre协议

使用一下命令添加

开放pptp使用的1723端口和gre协议

 

iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

 

 

iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j MASQUERADE

或者(这俩条应该是等效的,一种不行的话, 用另一种试试)

iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j SNAT –to 你的主机IP

 

iptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

 

##############################################################################################################################

如果iptables规则中有拒绝的选项,需要注意接受的要在拒绝的前面。

Centos 7 的iptables默认规则中就有

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

添加的规则一定要在这条规则的前面,所以用插入的方法添加规则

iptables -I INPUT 5 -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
iptables -I INPUT 6 -p tcp -m state --state NEW -m tcp --dport 47 -j ACCEPT
iptables -I INPUT 7 -p gre -m state --state NEW -j ACCEPT
iptables -I FORWARD 2 -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 3 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o eth0 -j MASQUERADE

添加完成后试用iptalbes命令检查一下

 

[root@Centos7 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED tcp dpt:pptp
ACCEPT     gre  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID

 

 

[root@Centos7 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.6.0/24          anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

没问题后可以保存一下

service iptables save

这是我设置iptables的全部命令,供参考

888是我修改的ssh端口号

/sbin/iptables -F
/sbin/iptables -Z

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 888 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited

/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP

/sbin/iptables -F -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -t nat -A POSTROUTING -s 10.0.6.0/24 -o seth0 -j MASQUERADE

这是我的iptabls规则文件

[root@Centos7 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Fri Nov 28 15:27:36 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [67:9660]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 888 -j ACCEPT
-A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -m state --state INVALID -j DROP
COMMIT
# Completed on Fri Nov 28 15:27:36 2014
# Generated by iptables-save v1.4.7 on Fri Nov 28 15:27:36 2014
*nat
:PREROUTING ACCEPT [7:1301]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.0.6.0/24 -o seth0 -j MASQUERADE
COMMIT
# Completed on Fri Nov 28 15:27:36 2014

8、设置PPTP开机启动

service pptpd start                           #启动pptpd

systemctl enabled pptpd                  #设置开机启动

pptpd服务使用的端口是1723,这个端口是系统固定分配的,可以通过查看该端口检查pptpd服务的运行情况。

命令:netstat -ntpl

[root@Centos7 ~]# netstat -ntpl

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name

tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1423/cupsd

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1693/master

tcp        0      0 0.0.0.0:44666               0.0.0.0:*                   LISTEN      1358/rpc.statd

tcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      2020/pptpd

tcp        0      0 0.0.0.0:66                  0.0.0.0:*                   LISTEN      1579/sshd

tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1310/rpcbind

tcp        0      0 ::1:631                     :::*                        LISTEN      1423/cupsd

tcp        0      0 ::1:25                      :::*                        LISTEN      1693/master

tcp        0      0 :::66                       :::*                        LISTEN      1579/sshd

tcp        0      0 :::33794                    :::*                        LISTEN      1358/rpc.statd

tcp        0      0 :::111                      :::*                        LISTEN      1310/rpcbind

至此,VPN服务器搭建完成.

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权, 转载请注明出处。
文章名称:《Centos 7 安装 pptp vpn》
文章链接:https://cnidc.co/1653.html
【声明】:国外主机测评仅分享信息,不参与任何交易,也非中介,所有内容仅代表个人观点,均不作直接、间接、法定、约定的保证,读者购买风险自担。一旦您访问国外主机测评,即表示您已经知晓并接受了此声明通告。
【关于安全】:任何 IDC商家都有倒闭和跑路的可能,备份永远是最佳选择,服务器也是机器,不勤备份是对自己极不负责的表现,请保持良好的备份习惯。

登录

找回密码

注册