CentOS7中PPTP的配置

最近做各种vpn,记录一下pptp的流程

 

1.准备
#yum install -y perl ppp iptables //centos默认安装了iptables和ppp
 
2.安装pptpd

 

#yum install pptpd

3. 修改配置文件

3.1 配置文件/etc/ppp/options.pptpd

#cp /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak
#vi /etc/ppp/options.pptpd

将如下内容添加到到options.pptpd中(如果需要使用代码来启动进程方式,需要修改name,这个name和chap-secets文件中的第二项对应):

ms-dns 8.8.8.8
ms-dns 8.8.4.4

然后保存这个文件。

解析:ms-dns 8.8.8.8, ms-dns 8.8.4.4是使用google的dns服务器

 

3.2 配置文件/etc/ppp/chap-secrets

#cp /etc/ppp/chap-secrets   /etc/ppp/chap-secrets.bak
#vi /etc/ppp/chap-secrets

chap-secrets内容如下:

# Secrets for authentication using CHAP
# client server secret IP addresses
myusername pptpd mypassword *

 PS:

//myusername是你的vpn帐号

pptpd和options.pptpd中的name对应

mypassword是你的vpn的密码

*表示允许任何ip连接该pptp vpn

我这里根据这个格式,假设我的vpn的帐号是ksharpdabu,密码是 sky。那么,应该如下:

ksharpdabu pptpd sky *

 

3.3 配置文件/etc/pptpd.conf

#cp /etc/pptpd.conf     /etc/pptpd.conf.bak
#vi /etc/pptpd.conf

修改下面

connection 100 #最大连接数
localip 192.168.9.1 #vpn服务占用的ip
remoteip 192.168.9.11-30 //表示vpn客户端获得ip的范围

3.4 配置文件/etc/sysctl.conf

#vi /etc/sysctl.conf //修改内核设置,使其支持转发

将net.ipv4.ip_forward = 0 改成 net.ipv4.ip_forward = 1

保存修改后的文件

#/sbin/sysctl -p

4. 启动pptp vpn服务和iptables

#service pptpd start

经过前面步骤,我们的VPN已经可以拨号登录了,但是还不能访问任何网页。

最后一步就是添加iptables转发规则了,输入下面的指令:

启动iptables和nat转发功能,很关键的呀:

#/sbin/service iptables start //启动iptables

#iptables -t nat -A POSTROUTING -p tcp --syn -s 192.168.9.0/24 -j TCPMSS --set-mss 1356 #这里主要是解决pptp无法访问https站点的问题,还有一种方法是连接后修改ppp0的mtu值,但是每次都需要手动修改太麻烦了

#iptables -t nat -A POSTROUTING -s 192.168.9.0/24 -j SNAT --to-source 207.210.83.140 #添加转发规则

//注意:

        需要注意的是,“192.168.9.0/24”是根据之前的配置文件中的“localip”网段来改变的(这个网段是用户自定义的 ),比如你设置的 “10.0.0.1”网段,则应该改为“10.0.0.0/24”

    to-source 的值写外网网卡的ip地址即可

 
#/etc/init.d/iptables save //保存iptables的转发规则

#/sbin/service iptables restart //重新启动iptables

 

5. 重启pptp vpn

#service pptpd restart

客户端如何拨号登陆vpn,我就不写了,大家可以自行google

 

6. 设置pptp vpn 开机启动

#chkconfig pptpd on //开机启动pptp vpn服务

#chkconfig iptables on //开机启动iptables

 

7. 过程中遇到的问题 

之前pptp测试都是好的,可是在其他环境部署的时候出现了问题

LCP: timeout sending Config-Requests
Jun  3 14:52:05 localhost pppd[29491]: Connection terminated.
Jun  3 14:52:05 localhost pppd[29491]: Modem hangup
Jun  3 14:52:05 localhost pppd[29491]: Exit.
Jun  3 14:52:05 localhost pptpd[29490]: GRE: read(fd=6,buffer=7fc6156eb480,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Jun  3 14:52:05 localhost pptpd[29490]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Jun  3 14:52:05 localhost pptpd[29490]: CTRL: Client 192.168.1.112 control connection finished

往上各种说法,可能情况不同

基本上是:

1. 注释pptpd.conf中的logwtmp(版本不匹配的原因)

2. 注释options.pptpd中的require-mschap-v2和require-mppe-128

尝试后都没有成功,最终找到了解决方案:

是两个内核模块没有在机器启动的时候加载进来:nf_conntrack_pptp和nf_conntrack_proto_gre

原因是这样的:

在内核版本为3.18或者更高时,模式在开机时已经加载了nf_conntrack_pptp模块

如果低版本内核,开机没有加载该模块,需要手动加载modprobe nf_conntrack_pptp

iptables支持pptp gre模块的规则过滤需要有上述模块的支持,在没有加载的该模块的时候iptables都会将pptp和gre的数据包识别为invalid类型,drop掉

手动加载

# modprobe nf_conntrack_pptp

开机加载

sudo touch /etc/modules-load.d/nf_conntrack_pptp.conf
sudo echo "nf_conntrack_pptp" > /etc/modules-load.d/nf_conntrack_pptp.conf

 

希望可以帮到同样问题的人

posted @ 2015-05-07 15:20  smallcoderhujin  阅读(14943)  评论(1编辑  收藏  举报