Linux Man на русском

  User    Syst    Libr    Device    Files    Other    Admin  



   pptpd.conf - конфигурация демона PPTP VPN

НАЗВАНИЕ

pptpd.conf − конфигурация демона PPTP VPN


ОПИСАНИЕ

pptpd(8) читает опции из этого файла, обычно /etc/pptpd.conf. Большинство опций могут быть изменены из командной строки. Локальный и удалённый IP−адреса для клиентов должны выбираться из конфигурационного файла или из конфигурационных файлов pppd(8).

ОПЦИИ

option файл−опций

Имя файла опций, который будет передан в pppd(8) вместо файла по умолчанию /etc/ppp/options, в котором могут быть заданы опции специфичные для PPTP. Равнозначно опции командной строки −−option.

stimeout секунды

Количество секунд для ожидания PPTP−пакетов перед отделением программы pptpctrl(8) управляющей клиентом. По умолчанию − 10 секунд. Эта возможность защищает от отказа в обслуживании. Равнозначно опции командной строки −−stimeout.

logwtmp

Обновить wtmp(5) при подключении или отключении пользователей. Обратитесь к wtmp(1).

debug

Включает отладочный режим, отправку отладочной информации в syslog(3). Не влияет на отладку pppd(8). Равнозначно опции командной строки −−debug.

bcrelay внутренний−интерфейс

Включает широковещательный режим, отправляя клиентам все широковещательные пакеты принятые на внутреннем интерфейсе сервера. Равнозначно опции командной строки −−bcrelay.

connections n

Ограничение на количество клиентских подключений, которые могут быть приняты. Если pptpd выделяет IP−адреса самостоятельно (то есть опция delegate не используется), тогда количество подключений также ограничивается опцией remoteip. Значение по умолчанию − 100.

delegate

Делегирует pppd(8) выделение IP−адресов клиентов. Без этой опции, используемой по умолчанию, pptpd управляет списком IP−адресов клиентов и передаёт следующий свободный адрес в pppd. При указании этой опции pptpd не передаёт адрес в pppd, поэтому pppd может воспользоваться RADIUS−сервером или файлом chap−secrets для выделения адресов.

localip указание−IP

Один или несколько IP−адресов для использования на локальном конце туннелей PPP−каналов между сервером и клиентом. Если задан только один адрес, этот адрес используется для всех клиентов. Иначе, должен быть задан один адрес на каждого клиента, а если свободные адреса отсутствуют, то любые новые клиенты будут отброшены. Опция localip будет проигнорирована, если используется опция delegate.

remoteip указание−IP

Список IP−адресов для назначения удалённым PPTP−клиентам. Каждый подключенный клиент должен иметь разный адрес, поэтому в списке должно быть по меньшей мере столько адресов, сколько одновременных клиентов. Предпочтителен некоторый запас, поскольку вы не сможете изменить этот список без перезапуска pptpd. Если пул IP−адресов будет исчерпан, в syslog(3) будет отправлено предупреждение. Опция remoteip будет проигнорирована, если используется опция delegate.

noipparam

По умолчанию, в сценарий ip−up с помощью опции pppd(8) ipparam передаётся исходный IP−адрес клиента. Опция noipparam предотвращает это поведение. Равнозначно опции командной строки −−noipparam.

listen IP−адрес

IP−адрес локального интерфейса для прослушивания входящих PPTP−соединений (TCP−порт 1723). Равнозначно опции командной строки −−listen.

vrf имя−vrf

VRF для ожидания TCP−подключений и пакетов GRE. Равнозначно опции командной строки −−vrf.

pidfile PID−файл

Указывает альтернативное место расположения файла с идентификатором процесса (по умолчанию /var/run/pptpd.pid). Равнозначно опции командной строки −−pidfile.

speed скорость

Указывает скорость (в битах в секунду) для передачи PPP−демону в качестве скорости интерфейса для пары tty/pty. Она игнорируется некоторыми PPP−демонами, такими как pppd(8) в Linux. По умолчанию это 115200 байт в секунду, некоторые реализации интерпретируют это значение как означающие "без ограничений". Равнозначно опции командной строки −−speed.

ЗАМЕЧНИЯ

Вышеуказанные указания−IP (для опций localip и remoteip) могут быть списком IP−адресов (например 192.168.0.2,192.168.0.3), диапазоном (например 192.168.0.1−254 или 192.168.0−255.2) или их сочетанием (например 192.168.0.2,192.168.0.5−8). Правильными парами могут быть (в зависимости от использования VPN):

localip 192.168.0.1
remoteip
192.168.0.2−254

или

localip 192.168.1.2−254
remoteip
192.168.0.2−254

ПРОВЕРКА МАРШРУТИЗАЦИИ − PROXYARP

Выделите диапазон адресов вашей локальной сети для использования клиентами.

В /etc/ppp/options.pptpd установите опцию proxyarp. В pptpd.conf не задавайте опцию localip, но установите remoteip для выделенного диапазона адресов. Включите продвижение пакетов в ядре (например, с помощью /proc/sys/net/ipv4/ip_forward).

Сервер будет объявлять клиентов в локальную сеть используя ARP, предоставляя свой собственный Ethernet−адрес. bcrelay(8) не требуется.

ПРОВЕРКА МАРШРУТИЗАЦИИ − ПРОДВИЖЕНИЕ

Выделите для клиентов подсеть которая маршрутизируются из вашей локальной сети, но не является частью вашей локальной сети.

В pptpd.conf установите localip в единственный адрес или диапазон IP−адресов выделенной подсети, установите remoteip в диапазон IP−адресов выделенной подсети. Включите продвижение пакетов ядром (например, с помощью /proc/sys/net/ipv4/ip_forward). Локальная сеть должна иметь маршрут к клиентам используя сервер в качестве шлюза.

Сервер буден передавать пакеты в неизменном виде между клиентами и локальной сетью. Для поддержки широковещательных протоколов, таких как NETBIOS, может потребоваться bcrelay(8).

ПРОВЕРКА МАРШРУТИЗАЦИИ − ТРАНСЛЯЦИЯ АДРЕСОВ

Выделите подсеть для клиентов, которые не маршрутизируются из вашей локальной сети, и к которой нет других маршрутов с сервера (например 10.0.0.0/24).

Установите в localip один IP−адрес из подсети (например, 10.0.0.1), установите в remoteip диапазон IP−адресов из подсети (например, 10.0.0.2−200). Включите продвижение пакетов ядром (например, с помощью /proc/sys/net/ipv4/ip_forward). Включите трансляцию адресов на eth0 (например, iptables −t nat −A POSTROUTING −o eth0 −j MASQUERADE).

Сервер будет транслировать пакеты между клиентами и локальной сетью. Клиенты будут обращаться к локальной сети как имеющие адрес, принадлежащий серверу. Локальной сети не потребуется явный маршрут к клиентам. Для поддержки широковещательных протоколов, таких как NETBIOS, потребуется bcrelay(8).

ПРАВИЛА ФИЛЬТРАЦИИ ПАКЕТОВ

pptpd(8) принимает управляющие соединения на TCP−порту 1723, и затем использует GRE (протокол 47) для обмена пакетами данных. Добавьте эти правила к вашей конфигурации iptables(8), или используйте их как основу для ваших собственных правил:

iptables −−append INPUT −−protocol 47 −−jump ACCEPT
iptables −−append INPUT −−protocol tcp −−match tcp \
−−destination−port 1723 −−jump ACCEPT

СМОТРИ ТАКЖЕ

pppd(8), pptpd(8), pptpd.conf(5).

АВТОР ПЕРЕВОДА

Перевод на русский язык выполнил Владимир Ступин <vladimir@stupin.su>.