我前前后后一共折腾了四天才弄完,真是麻烦死了,不过需要跟大家说明的是其
实VPN(PPTP方式)的配置在FreeBSD上面并不困难,大家只需要5分钟就能
解决了,其余99%的时间我有一半再跟tun0搏斗,结果发现我犯了个低级错
误,另外一半时间我在跟ipfw搏斗,发现了VPN的连接机制还挺复杂。好了废
话不多说了,let's go
我的目的是做一台ADSL拨号网关,这个网关上由MPD作为VPN网关的守护进程,
使用PPTP协议作为传输协议,由于这台机器上有samba服务器,所以我无法开
放我的所有端口,我必须封锁所有不需要的端口。正因为这样花了很长时间研究
PPTP协议到底需要通过防火墙上的那些端口和那些协议。配置的目的已经告诉大
家了,下面是配置的过程。
首先从ppp拨ADSL说起,如果您对于使用ppp连接PPPoE(也就是ADSL使用的连
接方式)已经非常熟悉了,那就可以跳过这一段直接看后面的。
使用ppp连接PPPoE是非常简单的,FreeBSD在安装好之后你会在/etc/ppp/目录
下看到一个叫做ppp.conf的文件,你把这个文件修改成下面的样子就可以连接
PPPoE了,文件内容如下:
default:
set log Phase Chat LCP IPCP CCP tun command
ident user-ppp VERSION (built COMPILATIONDATE)
# Ensure that "device" references the correct serial port
# for your modem. (cuaa0 = COM1, cuaa1 = COM2)
#
set device PPPoE:rl0
set speed sync
set mru 1492
set mtu 1492
set ctsrts off
set timeout 60 # 3 minute idle timer (the default)
enable dns # request DNS info (for resolv.conf)
papchap:
#
# edit the next three lines and replace the items in caps with
# the values which have been assigned by your ISP.
#
set authname #username#
set authkey #password#
set timeout 60
set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
add default HISADDR # Add a (sticky) default route
第一部分是设置日志的方式和一些默认信息
set device PPPoE:后面需要改成你的网卡的驱动,我的是Realtek的8139,所以
就是rl0了,下面是设置最大发送/接受单元,PPPoE默认是1492,然后timeout是在
你是用auto方式的时候设置的超时时间,超过这个时间将会断线。enable dns是打开
从ISP服务端接收分配的DNS,后面papchap部分是设置你的PPPoE帐号信息,最后两句
是设置路由信息的,请务必添加。
注意标签后面的语句要有缩进,至少缩进一个空格,在帖子里可能看不到,大家要注意!
修改过配置文件之后你就可以用ppp -ddial papchap来试验一下,如果连接上了网络
就没问题了,在rc.conf文件中添加下面两句就可以在开机的时候启动ppp拨号:
ppp_enable="YES"
ppp_mode=ddial
ppp_nat="YES"
ppp_profile="papchap"
其中ppp_mode=后面是ppp的方式,可选的有auto ddial background等等,具体的信
息可以从man ppp中获得。以上就是PPP拨PPPoE的配置,可以看到非常的简单。
下面一部分是启动IPFW的防火墙,这个需要修改默认得内核设置,同时使用MPD也需要
对内核进行修改,所就在这里同时都修改了。我使用的是升级版本的IPFW,也就是被称作
IPFW2的防火墙,在FreeBSD4.x上使用这个防火墙需要重新编译IPFW,这需要你事先安
装了FreeBSD4.6以上的源码在你的硬盘上,然后执行下列步骤升级你的IPFW:
cd /usr/src/sbin/ipfw
make -DIPFW2
make install
cd /usr/src/lib/libalias
make -DIPFW2
make install
或者在你/etc/make.conf里面添加
IPFW2=TRUE
然后mak world来升级你的防火墙
升级IPFW完毕之后,接下来就是修改内核了,重新编译内核需要经过如下步骤,首先进入
/sys/i386/conf/目录,里面有两个文件,一个是GENERIC,另一个是LINT,具体的说明
信息我就不赘述了,我只讲一下我修改内核的过程。
首先
cp GENERIC mykern
编辑mykern增加如下的部分:
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ETHER
options IPFW2
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPSTEALTH
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
退出编辑器
config mykern
cd ../../compile/mykern
make depend
make
make install
然后重新启动机器内核的更新就已经完成了。
这样IPFW2的安装就已经完成了,我们先不打开防火墙,我们先配置mpd来建立PPTP的服
务器。关于MPD的安装其实非常简单,你可以自己手动编译,但我还是推荐大家用ports
来安装,因为我实在是想不出什么理由来不用ports安装:)
如果你安装了ports到你的硬盘上,你通过下列步骤就可以完成mpd的安装了
cd /usr/ports/net/mpd
make install
make clean
安装完毕之后,ports会自动创建/usr/local/etc/mpd目录
并把配置文件的样本存放在这个目录里面,可以通过修改已有的配置文件样本来完成对mpd
的配置,以mpd.conf.sample为例,首先cp mpd.conf.sample mpd.conf
然后修改下面的部分
pptp:
new -i ng0 pptp pptp
set iface disable on-demand
set iface enable proxy-arp
set iface idle 1800
set bundle enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set ipcp yes vjcomp
set ipcp ranges 192.168.1.1/32 192.168.1.50/32
set ipcp dns 192.168.1.3
set ipcp nbns 192.168.1.4
#
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
#
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
这个是sample里面的默认配置,下面对于需要修改的部分做出说明
实际上我们需要修改只有三行,就是下面三行
set ipcp ranges 192.168.1.1/32 192.168.1.50/32
set ipcp dns 192.168.1.3
set ipcp nbns 192.168.1.4
第一行是设置你的本地VPN网关的地址,如果你是像我一样用NAT来区分内外网的话
这个应该是网关的内网地址,后面的是对方拨入以后将会在内网获得的地址,这个
地址倒是没有什么特殊要求,就是首先这个地址需要和内网处于一个网段,否则访
问不了,第二后面可以设置一个掩码,来控制这个地址可能的范围,如果这个地址
被占用了,将会分配一个再限定范围内的地址给客户端,这个范围由"/"后面的掩
码来控制。
第二行是指定你内网使用的DNS服务器的地址,注意这个将会在用户连入的时候同
内网地址一起被分配给用户
第三行和第二行类似,是指定Netbios服务器的地址,如果内网没有WINS服务器
这行可以不写。最后我还增加了一行命令,再不增加这个命令的时候mpd看起来也是
正常运转的,但是我不太放心还是加了这行加密指令
set bundle enable encryption
下面我们还需要稍微修改一下mpd.links.sample
pptp:
set link type pptp
set pptp self 1.2.3.4
set pptp enable incoming
set pptp disable originate
上面的部分里面需要修改一下set pptp self 1.2.3.4这一行,这行是指定mpd
的pptp服务器绑定在那个地址上面,如果是我们现在使用ppp拨叫ADSL的情况,会遇
到网络界面改变,ip地址改变的情况,就不能定义这一句,所以针对我们的情况,我们
要去掉这句,其他的我们就不用改了
当然我们还要修改一下mpd.secret文件
这个文件定义了拨入用户的用户名和密码
用户名写在前面,密码写在后面用引号引起来,就像下面这样
fred "fred-pw"
当然还可以指定这个用户必须从那个地址或者网段来拨入,就像下面的例子:
joe "foobar" 192.168.1.1
bob "\x34\"foo\n" 192.168.1.10/24
之后我们还可以添加一句来默认让mpd执行pptp的这组设置,需要修改配置文件的这个
部分:
default:
load pptp
sample文件里面还有配置多用户登陆的情况下的样本,我就不用在写了,配置是一样的
改完这些之后只要运行mpd -b就可以启动了
由于考虑到安全原因我没有书写启动脚本在开机的时候启动mpd,因为对于防火墙来说
在没有用的时候多开一个端口就多一份危险,但是也许很多人需要在开机的时候自动运行
mpd,下面我还是提供一个启动脚本给大家,可以放在/usr/local/etc/rc.d/目录下面
记住要加上执行权限。
#!/bin/sh
PREFIX=/usr/local
case "$1" in
start)
if [ -x ${PREFIX}/sbin/mpd -a \
-f ${PREFIX}/etc/mpd/mpd.conf ]; then
${PREFIX}/sbin/mpd -b
echo -n ' mpd '
fi
;;
stop)
killall mpd && echo -n ' mpd '
;;
*)
echo "Usage: 'basename $0' {start|stop}" >&2
;;
esac
exit 0
;
下面我们要开启防火墙来测试一下了,我们开启防火墙还需要修改一下rc.conf文件
我们需要添加下列配置
firewall_enable="YES"
firewall_type="/etc/ipfw.conf"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
其中两个需要说明,firewall_type=后面我这里是指定了一个文件来做定制配置,ipfw
还有其他几种默认的方式可选,例如open,client,close等等。我们用不到就不说了
无论如何一定要有以下这句,否则你的网关无法正常运转
gateway_enable="YES"
大家注意到我的转发界面设置的是rl0也就是我的网卡,这在使用ppp的时候是没有问题的,
但是如果用mpd作PPPoE拨号时候无论如何不行,必须设置成mpd的创建的ng0设备上。
我开始的想法如果无法把pptp的监听设定在外网界面上的情况下就把端口用natd从外网
转进来,谁知道pptp还需要端口以外的部分进行连接,所以现在natd基本上是没有什么
作用的。
下面我就给大家我的/etc/ipfw.conf里面关于如何让pptp连接通过的语句
add 40009 allow tcp from me 1723 to any
add 40010 allow tcp from any to me 1723
add 40011 allow gre from me to any
add 40012 allow gre from any to me
只有添加了这四句才可以使得客户端连接上网关,但是如果只有这四个,客户端连上了是
什么也干不了的,所以还要为客户端设置下面两个规则才行
add 40007 allow ip from any to 192.168.1.30 keep-state setup
add 40008 allow ip from 192.168.1.30 to any keep-state setup
注意我得配置中192.168.1.30是我分配给客户端得内网地址,如果你的地址定义跟我
不同你需要修改这个地址
由于安全原因,我不能把我完整的配置文件都放出来给大家了,关于其他的规则,请大家
参考iceblood写的通过FreeBSD共享ADSL上网等文章得防火墙设置或者查看man 8 ipfw
来定制自己的规则。
最后我还要感谢我的好朋友+同学platinum在配置过程中帮助我测试并提供了很多的资料
给我,帮助我最终解决了所有问题。
当然还有我家宝宝,忍受了我两天都没顾上照顾她:)感谢她对我的支持嘻嘻。,