CentOS7中PPTP的配置
最近做各种vpn,记录一下pptp的流程
#yum install -y perl ppp iptables //centos默认安装了iptables和ppp
#yum install pptpd
3. 修改配置文件
3.1 配置文件/etc/ppp/options.pptpd
#cp /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak #vi /etc/ppp/options.pptpd
将如下内容添加到到options.pptpd中(如果需要使用代码来启动进程方式,需要修改name,这个name和chap-secets文件中的第二项对应):
ms-dns 8.8.8.8 ms-dns 8.8.4.4
然后保存这个文件。
解析:ms-dns 8.8.8.8, ms-dns 8.8.4.4是使用google的dns服务器
3.2 配置文件/etc/ppp/chap-secrets
#cp /etc/ppp/chap-secrets /etc/ppp/chap-secrets.bak #vi /etc/ppp/chap-secrets
chap-secrets内容如下:
# Secrets for authentication using CHAP # client server secret IP addresses myusername pptpd mypassword *
PS:
//myusername是你的vpn帐号
pptpd和options.pptpd中的name对应
mypassword是你的vpn的密码
*表示允许任何ip连接该pptp vpn
我这里根据这个格式,假设我的vpn的帐号是ksharpdabu,密码是 sky。那么,应该如下:
ksharpdabu pptpd sky *
3.3 配置文件/etc/pptpd.conf
#cp /etc/pptpd.conf /etc/pptpd.conf.bak #vi /etc/pptpd.conf
修改下面:
connection 100 #最大连接数 localip 192.168.9.1 #vpn服务占用的ip remoteip 192.168.9.11-30 //表示vpn客户端获得ip的范围
3.4 配置文件/etc/sysctl.conf
#vi /etc/sysctl.conf //修改内核设置,使其支持转发
将net.ipv4.ip_forward = 0 改成 net.ipv4.ip_forward = 1
保存修改后的文件
#/sbin/sysctl -p
4. 启动pptp vpn服务和iptables
#service pptpd start
经过前面步骤,我们的VPN已经可以拨号登录了,但是还不能访问任何网页。
最后一步就是添加iptables转发规则了,输入下面的指令:
启动iptables和nat转发功能,很关键的呀:
#/sbin/service iptables start //启动iptables
#iptables -t nat -A POSTROUTING -p tcp --syn -s 192.168.9.0/24 -j TCPMSS --set-mss 1356 #这里主要是解决pptp无法访问https站点的问题,还有一种方法是连接后修改ppp0的mtu值,但是每次都需要手动修改太麻烦了
#iptables -t nat -A POSTROUTING -s 192.168.9.0/24 -j SNAT --to-source 207.210.83.140 #添加转发规则
//注意:
需要注意的是,“192.168.9.0/24”是根据之前的配置文件中的“localip”网段来改变的(这个网段是用户自定义的 ),比如你设置的 “10.0.0.1”网段,则应该改为“10.0.0.0/24”
to-source 的值写外网网卡的ip地址即可
#/etc/init.d/iptables save //保存iptables的转发规则
#/sbin/service iptables restart //重新启动iptables
5. 重启pptp vpn
#service pptpd restart
客户端如何拨号登陆vpn,我就不写了,大家可以自行google
6. 设置pptp vpn 开机启动
#chkconfig pptpd on //开机启动pptp vpn服务 #chkconfig iptables on //开机启动iptables
7. 过程中遇到的问题
之前pptp测试都是好的,可是在其他环境部署的时候出现了问题
LCP: timeout sending Config-Requests Jun 3 14:52:05 localhost pppd[29491]: Connection terminated. Jun 3 14:52:05 localhost pppd[29491]: Modem hangup Jun 3 14:52:05 localhost pppd[29491]: Exit. Jun 3 14:52:05 localhost pptpd[29490]: GRE: read(fd=6,buffer=7fc6156eb480,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs Jun 3 14:52:05 localhost pptpd[29490]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7) Jun 3 14:52:05 localhost pptpd[29490]: CTRL: Client 192.168.1.112 control connection finished
往上各种说法,可能情况不同
基本上是:
1. 注释pptpd.conf中的logwtmp(版本不匹配的原因)
2. 注释options.pptpd中的require-mschap-v2和require-mppe-128
尝试后都没有成功,最终找到了解决方案:
是两个内核模块没有在机器启动的时候加载进来:nf_conntrack_pptp和nf_conntrack_proto_gre
原因是这样的:
在内核版本为3.18或者更高时,模式在开机时已经加载了nf_conntrack_pptp模块
如果低版本内核,开机没有加载该模块,需要手动加载modprobe nf_conntrack_pptp
iptables支持pptp gre模块的规则过滤需要有上述模块的支持,在没有加载的该模块的时候iptables都会将pptp和gre的数据包识别为invalid类型,drop掉
手动加载
# modprobe nf_conntrack_pptp
开机加载
sudo touch /etc/modules-load.d/nf_conntrack_pptp.conf sudo echo "nf_conntrack_pptp" > /etc/modules-load.d/nf_conntrack_pptp.conf
希望可以帮到同样问题的人
