Startend.Blog's

1. 12.一、PPTP 协议介绍1、PPTP 简介PPTP: Point to Point Tunneling Protocol点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet 安全链接到公司网络。PPTP 可以用于在 IP 网络上建立 PPP 会话隧道。在这种配置下，PPTP 隧道和 PPP 会话运行在两个相同的机器上，呼叫方充当 PNS。PPTP 使用客户机－服务器结构来分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP 作为一个呼叫控制和管理协议，它允许服务器控制来自 PSTN 或 ISDN 的拨入电路交换呼叫访问并初始化外部电路交换连接。PPTP 只能通过 PAC 和 PNS 来实施，其它系统没有必要知道 PPTP。拨号网络可与 PAC 相连接而无需知道 PPTP。标准的 PPP 客户机软件可继续在隧道 PPP 链接上操作。PPTP 使用 GRE 的扩展版本来传输用户 PPP 包。这些增强允许为在 PAC 和 PNS 之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并且避免了不必要的重发和缓冲区溢出。PPTP 没有规定特定的算法用于低层控制，但它确实定义了一些通信参数来支持这样的算法工作。
2、协议（报文）结构16bit32 bitLengthPPTP Message TypeMagic CookieControl Message TypeReserved 0Protocol VersionReserved 1Framing CapabilityBearing CapabilityMaximum ChannelsFirmware RevisionHost Name （64 Octets）Vendor String （64 Octets）●Length: 该 PPTP 信息的八位总长，包括整个 PPTP 头。●PPTP Message Type: 信息类型。可能值有：1、控制信息；2、管理信息。●Magic Cookie: Magic Cookie 以连续的 0×1A2B3C4D 进行发送，其基本目的是确保接收端与 TCP数据流间的正确同步运行。●Control Message Type: 可能值有：”1″ 开始－控制－链接－请求(Start-Control-Connection-Request)；”2″ 开始－控制－链接－答复(Start-Control-Connection-Reply)；”3″ 停止－控制－链接－请求(Stop-Control-Connection-Request)；”4″ 停止－控制－链接－答复(Stop-Control-Connection-Reply)；”5″ 回应－请求(Echo-Request)；”6″ 回应－答复(Echo-Reply)；●Call Management: 可能值有：”1″ 传出－呼叫－请求(Outgoing-Call-Request)；”2″ 传出－呼叫－答复(Outgoing-Call-Reply)；”3″ 传入－呼叫－请求(Incoming-Call-Request)；”4″ 传入－呼叫－答复(Incoming-Call-Reply)；”5″ 传入－呼叫－连接(Incoming-Call-Connected)；”6″ 呼叫－清除－请求(Call-Clear-Request)；”7″ 呼叫－断开连接－通告(Call-Disconnect-Notify)；”8″ 广域网－错误－通告(WAN-Error-Notify)。●PPP Session Control: 设置－链路－信息(Set-Link-Info)。●Reserved 0 & 1: 必须设置为0。●Protocol Version: PPTP版本号。●Framing Capabilities: 指出帧类型，该信息发送方可以提供：”1″ 异步帧支持(Asynchronous Framing Supported)；”2″ 同步帧支持(Synchronous Framing Supported)。Bearer Capabilities: 指出承载性能，该信息发送方可以提供：”1″ 模拟访问支持(Analog Access Supported)；”2″ 数字访问支持(Digital access supported)。●Maximum Channels: 该 PAC 可以支持的个人 PPP 会话总数。●Firmware Revision: 若由 PAC 出发，则包括发出 PAC 时的固件修订本编号；若由 PNS 出发，则包括 PNS PPTP 驱动版本。●Host Name: 包括发行的 PAC 或 PNS 的 DNS 名称。●Vendor Name: 包括特定供应商字串，指当请求是由 PNS 提出时，使用的 PAC 类型或 PNS软件类型。
二、安装 PPTP Server操作系统：CentOS 5.0/Red Hat Enterprise Linux AS 5 ( RHEL 5 )安装 PPTP 需要 MPPE 和较高版本的 ppp ( > 2.4.3 ) 支持，不过 CentOS 5.0/RHEL 5 的 2.6.18 内核已经集成了 MPPE 和高版本的 ppp 。因此可以跳过安装配置 MPPE 和 ppp 的过程直接安装 PPTP。如果需要检查 MPPE 是否存在可以使用以下命令：shell> modprobe ppp-compress-18 && echo ‘MPPE found !’1、安装 pptpd下载最新的 pptpd 源代码 ( 1.3.4 @ 2007-05-23 )：
http://sourceforge.net/project/showfiles.php?group_id=44827
下载源码包之后：shell> tar xzvf pptpd-1.3.4.tar.gzshell> cd pptpd-1.3.4编译安装：注意：可能需要 libcap、libcap-devel RPM 包支持，如果没有请安装 libcap、libcap-devel RPM 包.shell> ./configure –prefix=/usr/local/pptpd –enable-bcrelay –with-libwrapshell> makeshell> make install2、配置 PPTP编译安装完成后，首先需要手工建立一些目录以及复制原始的 pptpd 配置文件：shell> mkdir /usr/local/pptpd/etcshell> vi /usr/local/pptpd/etc/pptpd.conf填入内容如下：# pptpd.confoption /usr/local/pptpd/etc/options.pptpddebugstimeout 30localip 10.0.0.254remoteip 10.0.0.200-210
说明：option /usr/local/pptpd/etc/options.pptpd ———— 指定 pptpd 扩展属性配置文件 options.pptpd 的位置。debug ———— 开启调试模式，有关 pptpd?的信息和错误都会记录在 /var/logs/message 中，方便排错和调试。stimeout 30 ———— 设置客户端连接 pptpd server 时的最长连接等待时间（连接超时时间），30 秒。localip 10.0.0.254 ———— pptpd server?所在服务器的 IP 地址，可以设置为服务器上绑定的任意一个 IP 地址。remoteip 10.0.0.200-210 ———— 设置客户端连接到 pptpd server 后可供分配的 IP 地址范围( 10.0.0.200 – 10.0.0.210 )，可以这样设置：10.0.0.200-208,10.0.0.209,10.0.0.210，效果是一样的。
shell> vi/usr/local/pptpd/etc/options.pptpd填入内容如下：# options.pptpdname IsMole-VPNrefuse-paprefuse-chaprefuse-mschaprequire-mschap-v2require-mppe-128ms-dns 202.106.46.151ms-dns 202.106.0.20# ms-dns 208.67.222.222 米国用# ms-dns 208.67.220.220proxyarpdebuglocknobsdcompnovjnovjccompnologfd
说明：name IsMole-VPN ———— pptpd server 的名称。refuse-pap ———— 拒绝 pap 身份验证模式。refuse-chap ———— 拒绝 chap 身份验证模式。refuse-mschap ———— 拒绝 mschap 身份验证模式。require-mschap-v2 ———— 在端点进行连接握手时需要使用微软的 mschap-v2 进行自身验证。require-mppe-128 ———— MPPE 模块使用 128 位加密。ms-dns 202.106.46.151ms-dns 202.106.0.20 ———— ppp 为 Windows 客户端提供 DNS 服务器 IP 地址，第一个 ms-dns 为 DNS Master，第二个为 DNS Slave。proxyarp ———— 建立 ARP 代理键值。debug ———— 开启调试模式，相关信息同样记录在 /var/logs/message 中。lock ———— 锁定客户端 PTY 设备文件。nobsdcomp ———— 禁用 BSD 压缩模式。novjnovjccomp ———— 禁用 Van Jacobson 压缩模式。nologfd ———— 禁止将错误信息记录到标准错误输出设备(stderr)。
配置好上面的两个文件后，我们开始添加客户端帐号。客户端帐号控制文件位于：/etc/ppp/chap-secretsshell> vi /etc/ppp/chap-secrets# PPTP User Accounts# username server_name “password” ipvpnuser1 IsMole-VPN “123456″ 10.0.0.201
三、启动 PPTPDshell> /usr/local/pptpd/sbin/pptpd -c /usr/local/pptpd/etc/pptpd.conf -o /usr/local/pptpd/etc/options.pptpd如果tcp的1723端口是打开的，就说明启动OK。
四、打开linux路由转发sysctl -w net.ipv4.ip_forward=1iptables -t nat -A POSTROUTING -j MASQUERADE
特殊情况注意：开启pptp vpn转发，vpn服务器和内网路由器modprobe ip_conntrack_pptpmodprobe ip_nat_pptp

windows 2003　VPN服务端安装配置 
在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。 
第一步：依次选择“开始”－“管理工具”－“路由和远程访问”，打开“路由和远程访问”服务窗口；再在窗口右边右击本地计算机名，选择“配置并启用路由和远程访问”。 
第二步：在出现的配置向导窗口点下一步，进入服务选择窗口。如果你的服务器如某此资料所说的那样只有一块网卡，那只能选择“自定义配置”；而标准VPN配置是需要两块网卡的，如果你服务器有两块网卡，则可有针对性的选择第一项或第三项。然后一路点击下一步，完成开启配置后即可开始VPN服务了。 
第三步：到这里还没完，以上两步只是开启了VPN服务，还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题，右击右边树形目录里的本地服务器名，选择“属性”并切换到IP选项卡。这里要说的是，如果你的internet拉入方式为宽带路由接入即DHCP方式，那就不需要改，不过根据笔者的经验，采用DHCP动态IP的网络速度相对较慢；而使用静态IP可减少IP地址解析时间，提升网络速度，其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段，也可自行定义，比如常见的局域网段“192.168.0.X”。 
第四步：我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问；而如果你是家庭用户采用的 ADSL宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。这里推荐使用动态域名解析软件花生壳，可以在www.oray.net下载，其安装及注意事项请参阅相关资料，这里不再详述。 
三、VPN客户端配置 
这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接着笔者同样以windows 2003客户端为例说明，其它的win2K操作系统设置都大同小异： 
第一步：在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在网络连接方式窗口里选择第二项“虚拟专用网络连接”；接着为此连接命名后点下一步。 
第二步：在“VPN服务器选择”窗口里，等待我们输入的是VPN服务端的固定内容，可以是固定IP，也可以是由花生壳软件解析出来的动态域名（此域名需要在提供花生壳软件的www.oray.net网站下载）；接着出现的“可用连接”窗口保持“只是我使用”的默认选项；最后，为方便操作，可以勾选“在桌面上建立快捷方式”选项，单击完成会出现VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。　 
四、连接后的共享操作 
只要有过一些局域网使用经验的朋友应该知道怎么做了吧？一种办法是通过“网上邻居”查找VPN服务端共享目录；另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了，自然也就可以直接点击某个视频节目播放，省去下载文件这一步所花时间了。
1.用单网卡建立VPN后 注意IP设置应再服务器的网段内
2.VPN后无法上外网你是不是使用拨号接入VPN，是VPN拨号链接上后宽带连接断开了还是无法访问外网了？如果是拨入VPN后无法访问外网可以用如下方法试试：在你所建立的VPN连接上点击右键，选“属性”，在弹出的窗口中点击“网络”标签，然后选中“internet协议(tcp/ip)”，点击属性按钮，在弹出的窗口中再点击“高级”按钮，把“在远程网络上使用默认网关”前面的勾去掉。如果不去掉这个勾，客户端拨入到VPN后，将使用远程的网络作为默认网关，导致客户端只能连通虚拟局域网，上不了外网了。

这篇先把方法都一一列出来吧

1.使用自带路由&VPN 域组策略进行配置

2.使用最简单的配置方法–网络连接–新建连接向导–设置高级连接–

下一步–接受传入的连接–然后一直下一步即可

3.使用FreeRADIUS Windows版

4.windows下配置freeradius（windows下虚拟unix的freeradius）+mysql

下载cygwin(windows下虚拟unix的软件)，并安装。下载及安装的方法见网上的帖子。

下章更新 freeradius Win版本服务

使用方法：在DOS下运行本文件即可

下载：本地下载

1.需要软件，什么都不需要。

你只要给各mysql的库就好了，库结构在

freeradius源码目录下的/src/modules/rlm_sql/drivers/rlm_sql_mysql/db_mysql.sql

你建立一个数据库就好了，我在我自己的机器上建立了一个名字为radius的数据库

并且导入了这个数据库的结构。

2。配置sql.conf

先回到刚才的freeradius的配置文件目录

cd /usr/local/freeradius-1.1.0/etc/raddb

vi sql.conf

修改连接信息

# Connect info        server = “192.168.8.53″        login = “radius”        password = “radius”
# Database table configuration        radius_db = “radius”

去掉下面的simul。。。。前面的#
打开sql的用户同时连接数测试的语句

# Uncomment simul_count_query to enable simultaneous use checking

simul_count_query = “SELECT COUNT(*) FROM ${acct_table1} WHERE UserName=’%{SQL-User-Name}’ AND AcctStopTime = 0″

3.配置radiusd.conf

注释掉 authorize {
的files
去掉sql前的注释


注释掉 preacct {
的files


注释掉 accounting {
的radutmp
去掉sql前面的#


注释掉 session{
的radutmp
去掉sql前面的#


去掉 post-auth {
sql前的#


总之就是去掉files模块，开启sql模块



4。在数据库中添加用户

在usergroup中添加一个test用户，组名为vpn

在radgroupcheck中添加一个vpn组，
attribute为Simultaneous-Use
op为:=
value为1
的纪录

在radcheck中添加
username为test
attribute为 User-Password
op为==
value为test


这样就添加了一个用户为test，组为vpn，密码为test
并且所有的组用户的都只能1个用户名登陆一次


5.测试
用debug模式启动radiusd

会看到

rad_recv: Access-Request packet from host 127.0.0.1:32768, id=222, length=146

Service-Type = Framed-User

Framed-Protocol = PPP

User-Name = “test”

MS-CHAP-Challenge = 0xb6a9e94b94c3c386875043efd5144e17

MS-CHAP2-Response = 0x38006d78036bb5e40ddeca0ce96b944619e000000000000000007b887b8762be38eb111a94a4b581925b85e07453a38a070f

Calling-Station-Id = “192.168.8.53″

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

rlm_sql (sql): Reserving sql socket id: 4

rlm_sql (sql): Released sql socket id: 4

rlm_sql (sql): Reserving sql socket id: 3

rlm_sql (sql): Released sql socket id: 3

rlm_sql (sql): Processing sql_postauth

rlm_sql (sql): Reserving sql socket id: 2

rlm_sql (sql): Released sql socket id: 2

Sending Access-Accept of id 222 to 127.0.0.1 port 32768

MS-CHAP2-Success = 0x38533d33453434464142394232444230413143464539453832444536453534373331383833454238414536

MS-MPPE-Recv-Key = 0x53a3812a0fd5b6f7b1cf4f6f6796f26b

MS-MPPE-Send-Key = 0xb8be60559cbc46fd4da277516d6584f3

MS-MPPE-Encryption-Policy = 0×00000002

MS-MPPE-Encryption-Types = 0×00000004

rad_recv: Accounting-Request packet from host 127.0.0.1:32768, id=223, length=110

Acct-Session-Id = “43EC0822056A00″

User-Name = “test”

Acct-Status-Type = Start

Service-Type = Framed-User

Framed-Protocol = PPP

Calling-Station-Id = “192.168.8.53″

Acct-Authentic = RADIUS

NAS-Port-Type = Async

Framed-IP-Address = 10.10.110.1

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

Acct-Delay-Time = 0

rlm_sql (sql): Reserving sql socket id: 1

rlm_sql (sql): Released sql socket id: 1

Sending Accounting-Response of id 223 to 127.0.0.1 port 32768

如果你把Simultaneous-Use改成0


会看到

rad_recv: Access-Request packet from host 127.0.0.1:32768, id=225, length=146

Service-Type = Framed-User

Framed-Protocol = PPP

User-Name = “test”

MS-CHAP-Challenge = 0x2295d4d65913cbc0a7836e986fe4a998

MS-CHAP2-Response = 0x34001739a3331c1a1a938eed99cda89b691f0000000000000000a8a9e9ae2eadaa6b1acb93e368113dc4ed47dac0a20b1ed8

Calling-Station-Id = “192.168.8.53″

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

rlm_sql (sql): Reserving sql socket id: 4

rlm_sql (sql): Released sql socket id: 4

rlm_sql (sql): Reserving sql socket id: 3

rlm_sql (sql): Released sql socket id: 3

rad_recv: Access-Request packet from host 127.0.0.1:32768, id=225, length=146

Sending Access-Reject of id 225 to 127.0.0.1 port 32768

Reply-Message := “\r\nYou are already logged in – access denied\r\n\n”

1。需要软件

freeradius

原先pppd源码目录中的一些关于radius外挂模块的配置文件。

2。安装freeradius的前期准备

安装mysql-devel.i386

yum install mysql-devel.i386

3。安装freeradius

http://www.freeradius.org

下载源码，我测试的时候是用 freeradius-1.1.0

用指定安装目录的方法安装

./configure –prefix=/usr/local/freeradius-1.1.0makemake install

4。配置pppd支持radius

4.1拷贝文件

从pppd的源码目录把下面这个目录复制到/etc/radiusclient/

cp -R ppp-2.4.4b1/pppd/plugins/radius/etc  /etc/radiusclient/

4.2修改options.pptpd中的配置

在/etc/ppp/options.pptpd

中加入

plugin /usr/local/lib/pppd/2.4.4b1/radius.so

4.3 配置 /etc/radiusclient中的servers和radiusclient.conf

在servers中，你需要增加一个radiusd的地址和密码

[root@kdfng radiusclient]# cat servers

#Server Name or Client/Server pair              Key

#—————-                               —————

#portmaster.elemental.net                       hardlyasecret

#portmaster2.elemental.net                      donttellanyone

localhost       netdragon

这里localhost表示你的radiusd就在本机，并且访问的密码是netdragon


radiusclient.conf中

# service. if this fails also a compiled in default is used.

authserver      localhost:1812

# RADIUS server to use for accouting requests. All that I

# said for authserver applies, too.

#

acctserver      localhost:1813

确认上面也是本地的，默认就是本地，所以一般不需要修改。
同时确保这个文件中radiusclient相关的路径所有的路径都是 /etc/radiusclient 开头的。


5。配置freeradius

cd /usr/local/freeradius-1.1.0/etc/raddb

raddb这个目录就是所有的freeradius配置文件所在了

5.1 修改clients.conf

这里说明一下，所有的nas都是radiusd的client，nas就是那个pptpd，所以这个文件就是配置pptpd的登陆权限的。

client 127.0.0.1      {

secret = netdragon

shortname = iamok

nastype     = other

}

修改127.0.0.1部分为上面的样子。secret就是我们刚才在/etc/radiusclient中servers里设置的那个。这两个要一致


5.2 在users文件的最上面加入一个用户

ww Auth-Type:= MS-CHAP, User-Password==”ww”, Simultaneous-Use:=1

Service-Type = Framed-User,

Framed-Protocol = PPP,

Framed-IP-Address = 255.255.255.254,

Framed-IP-Netmask = 255.255.255.0

说明一下 ww是用户名
auth-type是验证的类型
第二个ww是密码
Simultaneous-Use是允许这个用户名同时登陆的个数

所有这些都是check属性，要写在第一行
然后第二行开始用tab开头，是服务器返回给radius客户端的（也就是返回给pptpd）时reply属性。
其中ip地址设置为255.255.255.254表示ip地址的分配是由radius客户端决定的，也就是由pptpd决定。
最后一个是子网掩码。


5.3用debug模式运行radiusd

../../sbin/radiusd -x

你会看到

Starting – reading configuration files …

Using deprecated naslist file.  Support for this will go away soon.

Module: Loaded exec

rlm_exec: Wait=yes but no output defined. Did you mean output=none?

Module: Instantiated exec (exec)

Module: Loaded expr

Module: Instantiated expr (expr)

Module: Loaded PAP

Module: Instantiated pap (pap)

Module: Loaded CHAP

Module: Instantiated chap (chap)

Module: Loaded MS-CHAP

Module: Instantiated mschap (mschap)

Module: Loaded eap

rlm_eap: Loaded and initialized type md5

rlm_eap: Loaded and initialized type leap

rlm_eap: Loaded and initialized type gtc

rlm_eap: Loaded and initialized type mschapv2

Module: Instantiated eap (eap)

Module: Loaded preprocess

Module: Instantiated preprocess (preprocess)

Module: Loaded files

Module: Instantiated files (files)

Module: Loaded Acct-Unique-Session-Id

Module: Instantiated acct_unique (acct_unique)

Module: Loaded realm

Module: Instantiated realm (suffix)

Module: Loaded detail

Module: Instantiated detail (detail)

Module: Loaded radutmp

Module: Instantiated radutmp (radutmp)

Initializing the thread pool…

Listening on authentication *:1812

Listening on accounting *:1813

Ready to process requests.

6。测试

建立一个新的vpn连接

用户名ww密码ww

然后拨号

成功的话，会看到。

rad_recv: Access-Request packet from host 127.0.0.1:32768, id=214, length=144

Service-Type = Framed-User

Framed-Protocol = PPP

User-Name = “ww”

MS-CHAP-Challenge = 0x729e2492953298b498a766e778defe74

MS-CHAP2-Response = 0xfc00475dd294431a52ee1187d13127c3bf49000000000000000043aad8bb5cd6f5ece16ddae9d20c63d857836053b2197144

Calling-Station-Id = “192.168.8.53″

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

Sending Access-Accept of id 214 to 127.0.0.1 port 32768

Service-Type = Framed-User

Framed-Protocol = PPP

Framed-IP-Address = 255.255.255.254

Framed-IP-Netmask = 255.255.255.0

MS-CHAP2-Success = 0xfc533d31303637323037453037384244433138333441303536434337433044373046363942414446343039

MS-MPPE-Recv-Key = 0x0211fcb6f599479e8ee0a7d8a16a3252

MS-MPPE-Send-Key = 0x91242cedc84a2dc69355c56951119065

MS-MPPE-Encryption-Policy = 0×00000002

MS-MPPE-Encryption-Types = 0×00000004

rad_recv: Accounting-Request packet from host 127.0.0.1:32768, id=215, length=108

Acct-Session-Id = “43EBFF39048300″

User-Name = “ww”

Acct-Status-Type = Start

Service-Type = Framed-User

Framed-Protocol = PPP

Calling-Station-Id = “192.168.8.53″

Acct-Authentic = RADIUS

NAS-Port-Type = Async

Framed-IP-Address = 10.10.110.1

NAS-IP-Address = 127.0.0.1

NAS-Port = 0

Acct-Delay-Time = 0

Sending Accounting-Response of id 215 to 127.0.0.1 port 32768

1.你所需要的软件 
内核最好能升级到2.6
如果你是centos的用户，可以通过yum update来升级到最新的centos4.2
升级内核是为了待会安装一个内核模块增加对mppe的支持。这样才能支持pptp拨号。

2.确定你的内核是否支持mppe

modprobe ppp-compress-18 && echo ok

如果显示ok，那么恭喜，你的内核已经具备了mppe支持。请到第4部分

3。升级内核支持mppe

http://sourceforge.net/project/showfiles.php?group_id=44827

到上面这个网址。下载2个rpm包。

dkms-2.0.6-1.noarch.rpm 
kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm

dkms是一个新的软件，能让你在不编译内核的基础上，外挂一些内核的模块。
kernel_ppp_mppe就是mppe支持的内核模块了。

ok后重起你的系统。

4。安装pppd

http://www.samba.org/ppp

在上面的网址下载最新的ppp软件包，我测试的时候是 ppp-2.4.4b1
用最常规的方法，configure，make，make install
由于新版的没有复制范例配置文件，需要用 make install-etcppp 来安装范例配置文件

5。安装pptpd

http://poptop.sourceforge.net/

在上面的网址下载最新的pptpd包，我测试的时候是pptpd-1.2.3

也是最常规的方法 configure，make，make install

6。配置你的pppd和pptpd

pppd的默认配置文件在 /etc/ppp

pptpd的配置文件在 /etc/pptpd.conf

pptpd和pppd的关系好比 pptpd是pppd的外挂一样。

6.1 
/etc/pptpd.conf中需要配置的地方只有几个

你首先要确定下面这个
ppp  /usr/local/sbin/pppd

他给pptpd指名了pppd的所在

option /etc/ppp/options.pptpd

这个说明了pptpd在ppp下的配置文件

localip 192.168.8.22

remoteip 10.10.110.1-100

localip是pptpd的对外服务的ip，也就是客户端需要拨号的ip
remoteip是拨号服务器分配给拨号用户的ip ，可以用-表示ip范围

6.2
配置/etc/ppp/options.pptpd

为了测试，请打开debug和dump

# Logging
# Enable connection debugging facilities.# (see your syslog configuration for where pppd sends to)debug
# Print out all the option values which have been set.# (often requested by mailing list to verify options)dump

默认的信息会写在/var/log/messages


6.3
编辑 /etc/ppp/chap-secrets

添加一个测试用户

# Secrets for authentication using CHAP

# client        server  secret                  IP addresses

“iamok” pptpd   “iamok” *

第一个iamok是用户，第二个iamok是密码 ，*表示任意ip
pptpd表示和/etc/ppp/options.pptpd中的name 部分的pptpd要匹配，一般不用修改，我们只是
测试以下pptpd是否正常。


7。测试你的pptpd

如果是默认安装，你在任意路径打pptpd就可以了。

如果成功，你就会在 
/var/log/messages里面看到

Feb 10 09:51:46 kdfng pptpd[926]: MGR: Manager process started

Feb 10 09:51:46 kdfng pptpd[926]: MGR: Maximum of 100 connections available

然后你可以在任意一个win2k系统上建立一个vpn连接，用pptp方式的，用户名用上面设置的，这样你就能拨号了
而且ip就是你在上面所设置的ip


现在复查以下log文件

Feb 10 09:54:53 kdfng pptpd[937]: MGR: Manager process started

Feb 10 09:54:53 kdfng pptpd[937]: MGR: Maximum of 100 connections available

Feb 10 09:55:06 kdfng pptpd[939]: CTRL: Client 192.168.8.53 control connection started

Feb 10 09:55:06 kdfng pptpd[939]: CTRL: Starting call (launching pppd, opening GRE)

Feb 10 09:55:06 kdfng pppd[940]: pppd options in effect:

Feb 10 09:55:06 kdfng pppd[940]: debug          # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: nologfd                # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: dump           # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: require-mschap-v2              # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: refuse-pap             # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: refuse-chap            # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: refuse-mschap          # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: name pptpd             # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: 115200         # (from command line)

Feb 10 09:55:06 kdfng pppd[940]: lock           # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: local          # (from command line)

Feb 10 09:55:06 kdfng pppd[940]: ipparam 192.168.8.53           # (from command line)

Feb 10 09:55:06 kdfng pppd[940]: 192.168.8.22:10.10.110.1               # (from command line)

Feb 10 09:55:06 kdfng pppd[940]: nobsdcomp              # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: require-mppe-128               # (from /etc/ppp/options.pptpd)

Feb 10 09:55:06 kdfng pppd[940]: pppd 2.4.4b1 started by root, uid 0

Feb 10 09:55:06 kdfng pppd[940]: Using interface ppp0

Feb 10 09:55:06 kdfng pppd[940]: Connect: ppp0 <–> /dev/pts/1

Feb 10 09:55:06 kdfng pptpd[939]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

Feb 10 09:55:06 kdfng pppd[940]: MPPE 128-bit stateless compression enabled

Feb 10 09:55:08 kdfng pppd[940]: local  IP address 192.168.8.22

Feb 10 09:55:08 kdfng pppd[940]: remote IP address 10.10.110.1

Feb 10 09:55:17 kdfng pppd[940]: LCP terminated by peer (^Z^HEO^@<M-Mt^@^@^@^@)

Feb 10 09:55:17 kdfng pppd[940]: Connect time 0.2 minutes.

Feb 10 09:55:17 kdfng pppd[940]: Sent 0 bytes, received 3492 bytes.

Feb 10 09:55:17 kdfng pppd[940]: Modem hangup

Feb 10 09:55:17 kdfng pppd[940]: Connection terminated.

Feb 10 09:55:17 kdfng pppd[940]: Exit.

Feb 10 09:55:17 kdfng pptpd[939]: CTRL: Client 192.168.8.53 control connection finished

这样你的pptpd就配置完成了。

(转自小顾de杂记 原文出处:http://ihipop.info/2011/05/2332.html)

设置freeradius server部分

apt-get install freeradius freeradius-mysql
cd /etc/freeradius/
#启用sql.conf
sed -ie ‘s/^[ \t]#\$INCLUDE sql.conf$/\$INCLUDE sql.conf/’ radiusd.conf
#取消sites-available/default每个SQL前面的注释
sed -ie ‘s/^#[ \t]sql$/sql/’ sites-available/default

此外 还需要取消sites-available/default里面所有unix和PAM

（如果有必要）否则和系统同名的帐户就可能有登录问题

另外radutmp和file也可以注释

用了SQL方式后这些都没有必要了

vim sql.conf

填写数据库用户名 密码 数据库名字等
然后停止radius服务 启用radius调试模式

freeradius  -X
试一下
radtest sqltest testpwd localhost 1812 testing123
应该是不通过Access-Reject packet 才对
同时开freeradius  -X的那个终端会打印消息 说明ok了
 freeradius server部分设置完毕
设置radiusclient部分

查看PPP版本
apt-cache policy pppppp:
 已安装：2.4.4rel-10.1
 候选的软件包：2.4.4rel-10.1
 版本列表：
 *** 2.4.4rel-10.1 0
 500 http://mirrors.163.com lenny/main Packages
 100 /var/lib/dpkg/status
找到PPPD官网找到PPP2.4.4的源代码
wget ftp://ftp.samba.org/pub/ppp/ppp-2.4.4.tar.gz
tar zxvf ppp-2.4.4.tar.gz
cd ppp-2.4.4/pppd/plugins/radius/
cp -rf etc /etc/radiusclient
当然 也可以在这里找到ftp://ftp.freeradius.org/pub/freeradius/
 修改修改里面所有usr开头的路径为etc开头
sed -ie "s/\/usr\/local\/etc\/radiusclient/\/etc\
/radiusclient/g" /etc/radiusclient/radiusclient.conf
vim /etc/radiusclient/radiusclient.conf
按需要修改radius认证服务器的端口和路径
authserver localhost:1812
 acctserver localhost:1813
写入Radius认证服务起和密钥对
 比如
localhost testing123
radiusclient部分设置完毕
设置mysql server+daloradius部分

写这篇文章的时候 刚好daloradius0.9-9-rc1出来了
这是三年来首次更新（虽然SVN一直在更新）先装依赖（PHPDB）
apt-get install php5-gd php-pear php-db
wget http://sourceforge.net/projects/daloradius
/files/daloradius/daloradius0.9-9/daloradius-0.9-9-rc1.tar.gz
解压缩放到web目录下面
 先用PHPmyAdmin创建一个radius/radius用户
 同时创建一个同名数据库 赋予所有权限，然后
cd contrib/db/
#导入数据库
mysql -uradius -pradius radius
<fr2-mysql-daloradius-and-freeradius.sql
 cd ../../library/
vim daloradius.conf.php
设定CONFIG_DB_USER CONFIG_DB_PASS CONFIG_DB_NAME以及其他为对应的值
 然后创建一些基本用户组什么的
INSERT INTO `radius`.`radgroupcheck` (
`id` ,
`groupname` ,
`attribute` ,
`op` ,
`value`
)
VALUES (
NULL , 'user', 'Simultaneous-Use', ':=', '1'
), (
NULL , 'vip', 'Simultaneous-Use', ':=', '3'
);

INSERT INTO `radius`.`radgroupreply` (
`id` ,
`groupname` ,
`attribute` ,
`op` ,
`value`
)
VALUES (
NULL , 'user', 'Acct-Interim-Interval', ':=', '300'
), (
NULL , 'vip', 'Acct-Interim-Interval', ':=', '600'
);

使用默认密码administrator/radius登录daloradius，
然后用daloradius添加一个用户test 隶属于user用户组 使用radtest测试下
radtest test pwd localhost 1812 testing123
Sending Access-Request of id 1 to 127.0.0.1 port 1812
 User-Name = "test"
 User-Password = "pwd"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1812
 rad_recv: Access-Accept packet from
 host 127.0.0.1 port 1812, id=1, length=20
mysql server+daloradius部分设置完毕
locate radius.so
查找radius.so的位置 一般是/usr/lib/pppd/2.4.4/
 编辑xl2tpd的option文件（这个文件可
能是/etc/ppp/options.xl2tpd） 在末尾加上
plugin /usr/lib/pppd/2.4.4/radius.so
 plugin /usr/lib/pppd/2.4.4/radattr.so
 radius-config-file /etc/radiusclient/radiusclient.conf
PPTP如法炮制（这个文件可能是/etc/ppp/pptpd-options） ，即可。
 这时候就可以使用PPTP/L2TP来连接下，如果没错误。当然是恭喜了
。如果出错，看看freeradius -X的前端输出，可以用来诊断下。
 关键还是细心谨慎。其实也不是很困难