一、×××介绍
×××(Virtual Private Network),虚拟专用网络,主要是在公用网络上建立专用网络,进行加密通讯。在企业网络中得到广泛应用。×××网关通过对数据包的加密和数据包目标地址的转换实现远程访问。×××有多种分类方式,主要是按照协议进行分类。
×××协议主要分为ppp协议、pptp协议、l2tp协议等。
(1)、PPP协议
ppp协议支持多种网络协议,可以把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,将整个报文封装在PPTP(Point-to-Point Tunneling Protocol)隧道协议包中,再嵌入IP报文或帧中继或ATM中进行传输。
(2)、PPTP协议
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网,可以通过密码验证协议,可扩展认证协议等方法增强安全性。远程用户可以通过ISP、直接连接Internet 或者其他网络安全地访问企业网;
PPTP能够将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进程传输。PPTP使用TCP是实现隧道的创建、维护与终止,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或压缩;
PPTP通信过程中需要建立两种连接,一种是控制连接,一种是数据连接。控制连接用来协议通信过程中的参数和进行数据连接的维护。而真正的数据通信由数据连接完成。
×××工作原理图:
二、PPTP控制连接建立流程
PPTP控制连接建立过程分为以下几步:
(1)建立TCP连接;(2)PPTP控制连接和GRE隧道建立;(3)PPTP协议的LCP协商;(4)PPP协议的身份验证;(5)PPP协议的NCP协商;(6)PPP协议的CCP协商
以下分析使用的抓包方式,使用的IP地址为:client IP :192.168.163.56 server IP :192.168.163.196 (此地址 只用来演示PPTP工作流程使用,无具体配置)
1、建立TCP连接
PPTP控制层协议是建立在TCP协议的基础上,所以建立的第一步就是常用的TCP三次握手
2、PPTP控制连接和隧道的建立
在此过程,完成PPTP控制层连接和GRE隧道建立的工作
3、PPP协议的LCP协商
LCP是PPP协议的链路控制协议,负责建立、拆除和监控数据链路,如认证方法,压缩方法,是否回叫等。
4、PPP协议的身份认证
LCP协商完成后,PPP协议的Server端会对Client端进行身份验证,在LCP协商中已经协商好身份验证协议
5、PPP协议的NCP协商
NCP协议是PPP协议的网络控制协议,主要用来协商双方网络层接口参数,分配IP,DNS等信息。下图中的IPCP是NCP基于TCP/IP 的接口协商协议。Server和Client都要把自己的Miniport信息发送给对方。
6、PPP协议的CCP协商
CCP协议协商PPP通讯中数据加密的协议。
三、数据连接的流程
PPTP数据隧道化过程采用多层封装的方式。
1、PPTP数据包封装过程
封装过程:
2、PPTP数据包解析过程
解析过程:
四、环境准备
1、服务器:
操作系统:CentOS Linux release 7.5.1804 (Core)
IP地址:172.28.1.191
2、客户端:
windows 7操作系统
windows10 操作系统
五、PPTP服务端安装
1、检查服务器端系统版本:
cat /etc/redhat-release
2、检查服务端IP地址信息:
ip addr
3、检查ppp是否开启
cat /dev/ppp
modprobe ppp-compress-18 && echo ok
4、安装PPP
yum install -y ppp
5、安装PPTPD
在安装PPTPD服务之前,需要先更新一下yum源
(1)安装wget
yum install -y wget
(2)添加EPEL源:
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
(3)安装epel源:
rpm -ivh epel-release-latest-7.noarch.rpm
(4)检查是否添加到源列表中:
yum repolist
(5)更新源列表
yum -y update
(6)安装PPTPD:
yum install -y pptpd
6、设置×××内网IP段
vi /etc/pptpd.conf
将以下两行前面的#号删掉,配置×××内网的IP段,也可自行设置
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245
7、配置opptions.pptpd
vi /etc/ppp/options.pptpd
(1)修改DNS:
修改dns服务的两行:
ms-dns 8.8.8.8
ms-dns 8.8.4.4
(2)修改日志记录:
添加日志存放位置:
nologfd
logfile /var/log/pptpd.log #日志存放位置
8、设置×××账号密码:
编辑/etc/ppp/chap-secrets ,创建×××账号密码,
vim /etc/ppp/chap-secrets
备注:添加用户名密码的格式
用户名 pptpd 密码 * #每个字段之间用tab键隔开 *表示用任意IP连接×××都可以
在此建立两个账号
9、修改内核参数
编辑/etc/sysctl.conf 修改内核参数,支持内核转发
vim /etc/sysctl.conf , 在最下面添加:net.ipv4.ip_forward=1
输入命令生效:sysctl -p
10、修改防火墙设置:
(1)创建规则文件:
touch /usr/lib/firewalld/services/pptpd.xml
(2)修改规则文件
vim /usr/lib/firewalld/services/pptpd.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>pptpd</short>
<description>PPTP</description>
<port protocol="tcp" port="1723"/>
</service>
(3)重启防火墙
systemctl start firewalld.service
(4)添加服务
firewall-cmd --permanent --zone=public --add-service=pptpd
(5)允许防火墙伪装IP:
firewall-cmd --add-masquerade
(6)开启 47和1723端口
firewall-cmd --permanent --zone=public --add-port=47/tcp
firewall-cmd --permanent --zone=public --add-port=1723/tcp
(7)允许grep协议:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p gre -j ACCEPT
(8)设置规则允许数据包由eth0 和ppp+接口中进出
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -o eth0 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o ppp+ -j ACCEPT
(9)设置转发规则,从源地址发出的所有包进行伪装,改变地址,由eth0发出
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o eth0 -j MASQUERADE -s 192.168.0.0/24
11、开启转发规则
转发规则有两种:
(1)XEN架构:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
(2)OpenVZ架构:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source VPS公网IP //VPS公网IP 要换成你服务器的IP 比如 115.138.148.X
在此我使用的是XEN架构,在命令终端输入第一条命令:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
12、编辑rc.local文件,添加转发规则
(1)给rc.local执行权限
chmod +x /etc/rc.d/rc.local
(2)编辑rc.local文件
在文件最下面添加代码
使用XEN架构,添加代码:iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
使用OpenVZ架构,添加代码:iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source VPS公网IP
在此使用的XEN架构。
vim /etc/rc.d/rc.local
13、重启服务
systemctl restart pptpd
friewall-cmd --reload
14、查看pptpd服务
ps -aux | grep pptpd
15、设置开机启动
systemctl enable pptpd
六、客户端验证:
1、windows10操作系统客户端验证
(1)点击windows10的“设置”-然后点击“网络和Internet”
(2)在“×××”选项中,点击“添加×××连接”
(3)弹出“添加×××连接”界面后,需要输入×××账号信息
(4)返回“×××”界面,选择刚刚创建的×××连接
(5)输入×××的账号 密码
(6)测试×××是否连接成功:
ping×××服务器本机地址。172.28.1.188
2、windows7 客户端连接×××
(1)右键点击右下角的网络图标,然后打开“网络和共享中心”
(2)点击设置新的连接或网络进行×××拨号方式的创建
(3)在弹出的设置连接或网络的选项卡里选择“连接到工作区”
(4)选择“使用我的Internet连接(×××)”然后点击进入:
(5)填写×××服务器的IP地址信息,然后输入新建×××的名称,可自定义:
(6)输入×××账号密码
(7)默认情况下系统会对×××的服务一个一个的进行尝试连接
(8)测试连接是否成功
ping 172.28.1.188
