廣告

2024 年 10 月
 123456
78910111213
14151617181920
21222324252627
28293031  

彙整

Brazilfw 建置 PPTP VPN Server 與 Windows XP 用戶端連入 VPN(使用DDNS動態DNS架設)

這篇不保存實在是太可惜了!

出處:http://www.mml.com.tw/block/forum/index.php?action=forum_topicdetail&page=forum_topicdetail&f=431&t=135122

 

===========================================================================================

本章節不詳細探討VPN的原理與種類 以及 VPN 的好處
只是介紹如何使用 Brazilfw 這套軟路由來進行建置 PPTP VPN Server 的步驟 與 Windows XP 用戶端如何連入 Brazilfw PPTP VPN Server 的方式! (順道補齊友站教學文件缺短的部份)
PS: 為了一些動態IP的用戶,這次會搭配dyndns的機制與套件來進行使用~~~ 這樣用戶端就不用記憶IP or 因為 VPN Server的異動而更添進連線上的麻煩
以下就是 這次實作 的 圖例:
clip_image001
clip_image002
注意:VPN IP範圍需要與內部網路IP範圍區隔
PS: Files Server 就好比網路芳鄰的機器,提供檔案分享的功能! 前提就是已經設定好相關共享設定 (在此不再贅述) 而 VPN Client 的連線方式~ 最基本要能夠連上Internet~ 這部份也不另行贅述! 當然更別說 擔任 VPN Server 的 Brazilfw 軟路由 … 也要能夠連上Internet…
首先先將該需要的套件下載並安裝到 brazilfw 軟路由當中
1. 下載 Dyndns 套件
http://www.brazilfw.com.br/users/juanillo/ipupdate/ipupdate.tgz
2. 下載 PPTP VPN Server 套件
http://www.brazilfw.com.br/users/juanillo/poptop/pptpd.tgz
那要如何在 brazilfw 軟路由當中進行下載與安裝呢?! 有很多方法,不過我介紹一個最簡單的方法!
首先登入 brazilfw 軟路由本機當中
clip_image004
然後會出現這個畫面,請使用 TAB 按鍵 跳到底部的藍色光棒區
然後利用方向鍵來移動藍色光棒到 Exit 後,按下 Enter
clip_image006
這樣就會可以輸入指令的地方
*可以注意此時螢幕上端,輸入 menu 這個指令,就可以回到上一個畫面
clip_image008
這裡來觀察一下 brazilfw 軟路由本身系統的分割區掛載情形,這是預設的狀況…
一般而言,若沒有安裝套件… 會有個分割區(/dev/boot)是不會主動掛載上來的
輸入 mount 指令,來查看目前掛載的現況!
clip_image010
那就來掛載這個分割區… 此時只要輸入兩個字 "mt" 就可以了
clip_image012
這個算是縮寫的指令! brazilfw 是從 linux 精簡與優化的 軟路由,所以也可以使用linux的指令
由於linux的掛載指令為mount… 也可以輸入 mount /dev/boot /mnt 這是一樣的意思!!!
掛載目錄之後,就可以透過 mount 這個指令來看掛載了什麼目錄… (這是確認是否有掛載)
clip_image014
然後切換目錄到套件安裝的目錄當中
輸入 cd /mnt 然後用 pwd 來確認當下的目錄在哪
clip_image016
OK! 已經完成掛載目錄的部份,接下來就是進行套件的下載…先下載 dyndns client 套件…
輸入 " wget http://www.brazilfw.com.br/users/juanillo/ipupdate/ipupdate.tgz ."
(別忘記最尾巴的 . (點) 這個意思是說把下載下來的東西 放到限在這個目錄下(/mnt) )
clip_image018
OK! 完成下載dyndns client 套件目錄的部份,接下來就是進行pptp vpn server套件的下載…
輸入 " wget http://www.brazilfw.com.br/users/juanillo/poptop/pptpd.tgz ."
(別忘記最尾巴的 . (點) 這個意思是說把下載下來的東西 放到限在這個目錄下(/mnt) )
clip_image020
確認剛剛下載的兩個套件檔案是否有下載下來… 此時輸入指令 "ls"
clip_image022
可以看到紫色圈選的地方,已經順利的將兩個套件下載下來並存放在 /mnt 這個掛載點當中
做到這裡,應該會有人問… 那該如何安裝呢??? 這裡就先賣個關子!
那麼先來看一下 brazilfw 軟路由 的 Web GUI 部分… 先用與 10.0.4.0/24 同網段的機器來進行brazilfw Web GUI 的登入 (以第一張圖片來說,就是 Files Server) 開啟網頁瀏覽器 輸入 brazilfw 軟路由的 LAN IP
http://10.0.4.253:8180
clip_image023
輸入帳號 root 與 root 的密碼
clip_image024
調整語系 (這無關緊要) 若調整後無法正確顯示網頁,請將網頁編碼改成 UTF-8 即可正常顯示
clip_image025
調整完語系,請點選圈選處來將組態儲存起來
clip_image026
組態儲存的畫面
clip_image027
注意圈選的地方,目前並無 dyndns client 與 PPTP VPN Server 這兩個套件
clip_image028
OK! 回到 brazilfw 本機的畫面! 剛剛只是確認那兩個套件並無安裝…
回到 brazilfw 本機的畫面後. 先卸載 /mnt 這個套件掛載點
輸入 cd/ 跳離/mnt這個目錄
輸入 umt/ 卸載/mnt這個目錄 (也可使用正規linux指令 umount /mnt 指令)
然後使用 mount 來驗證是否卸載成功 (可以參考圖片中黃色線標示的地方)
clip_image030
輸入 reboot 來進行 brazilfw 軟路由的重新開機 (套件會在重新開機之後,進行自動安裝)
clip_image032
clip_image034
回到 brazilfw Web GUI 當中,按下 重新整理 來重新載入網頁
就可以發現這時候兩個套件自動安裝完畢~
clip_image035
首先先進行 dyndns client 的設定 (本篇幅也不贅述 dyndns 的申請方法)
點選 Dynamic IP Update 來進入設定組態的頁面
clip_image036
請參考本圖來進行設定.
Your Domain 這個欄位則是輸入於dyndns所申請的FQDN
而 Account 與 Password 則是輸入 dyndns 登入的帳號與密碼
上面該輸入的都輸入完畢後,請拉最底下並點選 OK 的按鈕
clip_image037
這邊提示! 就是每當組態改變的時候,再重新開機之前都必須將組態存檔.
點選左邊的 Dynamic IP Update 再次進入
clip_image038
然後點選 Force Update Now 來強制與dyndns 更新 brazilfw WAN端的IP 對照
clip_image039
這時候 brazilfw 的 dyndns client 套件會去向 dyndns 的 DNS 伺服器進行FQDN的更新
clip_image040
可以看比較上圖兩者的IP是否相符… 就是比較外部IP 與 上圖 兩者之間的IP是否相同
clip_image041
或者使用 ping 指令 來確認是否能夠正常解析到brazilfw的WAN IP
(由於brazilfw軟路由是阻擋外部IP的ICMP回應…所以會出現Request Timed Out 的字樣)
clip_image042
若能正常解析,已經完成dyndns對照解析FQDN的部份
也可到dyndns的設定網頁看一下組態是否正確對應到brazilfw的WAN IP
clip_image043
接下來就是設定 PPTP VPN Server 的步驟
clip_image044
點選 PoPToP VPN Server 開始設定 PPTP VPN Server 組態
首先這裡會有預設的兩個登入用戶,由於建議自己新增建立VPN Client的登入帳號與密碼…
在此就刪除這兩個預設的帳號…
clip_image045
刪除完後,這邊提醒著組態改變後,記得要去存檔… 在此先放著先
clip_image046
開始設定 PPPTP VPN Server 在於開機的時候啟動 VPN Server 的服務
點選 Edit BrazilFW Configuration file
clip_image047
接著在這邊輸入
clip_image048
PPTPD_ENABLED=’YES’
PPTPD_LOCALIP=’10.0.99.253′
輸入完成後 點選 OK 的按鈕
若出現錯誤訊息,則略過不管.. 點選 重新整理 就可以恢復正常了…
(而且組態已經設定進去;但還沒有寫入到brazilfw軟路由的儲媒當中)
再來是設定 VPN 的網段 (最前面有提到VPN需要處在一個獨立的網段)
clip_image049
點選 Edit configuration file
接著設定 VPN 的 網段 與 當 VPN 用戶端 登入的時候,所需要配發的IP範圍
clip_image050
設定
localip 10.0.99.253
remoteip 10.0.99.100-200
設定完成後,點選OK按鈕
這時候就會出現剛剛的設定組態,然後點選紅色圈選處來把剛剛設定的組態寫入儲媒當中
clip_image051
別著急,還沒有設定完… 再來設定! 點選 PoPToP VPN Server
clip_image052
點選 Edit options file 來設定 VPN 的 FQDN 組態
clip_image053
依照你的需求給予設定,設定完成後點選 OK
clip_image054
這時候就會出現剛剛的設定組態,然後點選紅色圈選處來把剛剛設定的組態寫入儲媒當中
clip_image055
別著急,還沒有設定完… 再來設定! 點選 PoPToP VPN Server
clip_image056
來新增 VPN 的 用戶端 登入帳號 與 密碼吧!
clip_image057
經過實驗,若是日後新增用戶,每新增一次都得將brazilfw重新啟動!!
經過實驗,若是一個用戶帳號,允許多個連入連線!!
新增 帳號 與 密碼 ,設定完後來點選 Send_User
clip_image058
點選紅色圈選處來把剛剛新增的VPN登入帳號寫入儲媒當中
clip_image059
做到這裡 算是告一段落… 但是可別忘記了~~~ 要開放防火牆來讓服務正常的進出入brazilfw
clip_image060
點選 進階防火牆設定 然後點選 編輯設定檔
clip_image061
在最底下輸入兩行
clip_image062
admin Y permit 47 any any all all #GRE Protocol
admin Y permit tcp any any 1723 all #TCP Port 1723
輸入完成後,點選OK 友站提供的資料有誤!會發生防火牆規則錯誤而無法運行PPTP VPN Server 特此修正
防火牆設定完之後,把防火牆組態存檔!
clip_image063
儲存完後,點選 進階防火牆設定 觀察剛剛的組態是否有設定進去
clip_image064
要跟這張圖一樣,就代表剛剛設定的那兩行已經成功了!!! 確定OK後,重新載入防火牆規則
clip_image065
重新載入完成後,點選返回列表
clip_image066
以防萬一,剛剛設定的組態在下次重新開機的時候消失… 則必須選擇 立即存檔
clip_image067
clip_image068
在此! 強烈建議重新啟動 brazilfw 軟路由 並且重新啟動前,確認剛剛所有設定的組態是否有正確的存入!
重新啟動 brazilfw 軟路由
clip_image069
======================以上就是Brazilfw 軟路由擔任VPN Server的設定=====================
友站並無提供 Windows XP 用戶端之連線方法,特此新增此篇幅!
好的 接下來開始設定位於外部網路要連入內部網路的VPN用戶端
clip_image001[1]
就是最左邊的用戶端,透過brazilfw的VPN來連到內部網路的Files Server2當中…
由於我是假設一般用戶(若能連上網際網路,就可跳過這段 PPPoE Client 的設定)
先來設定 PPPoE Client (再次強調! 若能夠上網,這段就免了!!!)
這邊就不詳加解釋,相信看圖也會簡單上手吧…
clip_image071
clip_image073
clip_image075
clip_image077
clip_image079
clip_image079[1]
clip_image081
clip_image083
clip_image085
clip_image087
在這邊就可以確定已經解析的到 Brazilfw 的 WAN IP
(前面已經提到由於 Brazilfw 軟路由預設是WAN的ICMP會不回應…)
接下來就設定 PPTP VPN Client
點選 建立一個新的連線
clip_image089
點選 下一步
clip_image091
點選 連線到我工作的地方的網路 後,點選下一步
clip_image093
點選 虛擬私人網路連線 後,點選下一步
clip_image095
輸入完 公司名稱 後,點選下一步 (這只是VPN用戶端連線的名稱而已)
clip_image097
若需要透過PPPoE連到網際網路,才需要像我這張圖點選 若不需要,則選 不要撥接起始連線 設定完後,點選下一步
clip_image099
這時候輸入PPTP VPN Server 的 IP or FQDN 後,點選下一步
clip_image101
點選 完成
clip_image103
點選 內容
clip_image105
點選 安全性 頁面,在安全性選項 當中, 要求資料加密 這個選項取消勾選(如圖) 後,點選 確定
clip_image107
輸入剛剛在VPN Server上頭的帳號與密碼 後,點選 連線
clip_image109
成功的話! 就會出現正常連線的狀況…
clip_image111
若不成功,則檢查連線的問題…
(可能是雙方其中一方無法對網際網路連線,或者VPN Server服務沒有正確開啟…等
或者是雙方其中一方的防火牆沒有開啟開放的規則而導致無法連線!!!)
透過 ipconfig /all 這個指令來看一下網路介面,這時候就會發現已經新增一個網路介面
並且網路範圍就如同在 VPN Server 上頭設定的網段是相同的…
clip_image113
驗證是否連線正常… 首先來ping一下 VPN Server 的 Local IP
clip_image115
這邊不太可能沒通… 除非ping錯 VPN Server IP
驗證是否連線正常… 來ping一下 brazilfw 的 LAN IP
clip_image117
這邊如果出現錯誤的話,通常是出在 brazilfw 的 路由表上…
在brazilfw的路由表上加上
route add -net 10.0.4.0 netmask 255.255.255.0 gw 10.0.99.253
不過這個錯誤通常不會出現… 有興趣的就看一下 brazilfw 的路由表吧!
clip_image119
當然ping一下今天要連線的 Files Server IP…
clip_image121
若這邊ping不到,代表這台的Files Server的default gateway並不是設定 brazilfw 這台的 LAN IP
(白話點就是Files Server的預設閘道設定依圖得設定 10.0.4.253)
clip_image123
透過直接指定IP的方式來連 Files Server 的 IP
clip_image125
若能夠作到這裡,恭喜! 大功告成….
clip_image127
這邊出問題的話,通常是服務設定沒有設定好…

 

 

補充教材
我想很多台灣人會去對岸出差~~~ 當然對岸的網路是相當的 "自由" …
所以會有不少去對岸出差or工作的人會在台灣建置VPN Server… 來突破那份自由的快感…
接下來~~~ 就簡單帶一下該如何透過 Brazilfw PPTP VPN Server 來上網~~~
簡單來說… 就是透過VPN連入之後,再進行連到外部的網際網路當中~~~
(俗稱的 VPN 跳板)
由於PPTP這個套件在brazilfw當中建立一個介面叫做 PPP1
clip_image002[5]
所以這時候要把這個介面加入到LAN當中,以利 iptables 來進行NAT的動作!
(若有能力,也可以在防火牆規則當中新增一條PPP1介面的NAT)
點選左邊的 LAN設定 → 然後就會出現這樣的頁面。
再來就是 第二個LAN網路設定 這個欄位當中輸入相關的資訊。
clip_image004[5]
由於上面提到 PPTP 這個介面叫做 PPP1 (若不知道,可以去brazilfw的CLI當中敲個 ifconfig |more的指令)
對內第二網路卡編號 欄位輸入 ppp1
第一 IP 位址 輸入VPN Local IP 為 10.0.99.253
和 子網路遮罩 為 255.255.255.0
之後拉到網頁底下 點選 "送出"
然後點選 左邊的 "立即存檔" 並將brazilfw重新啟動就可以套用剛剛設定的組態
====================驗證============================================
在 Windows XP 當中開啟 cmd
然後輸入指令: route print
clip_image006[5]
就會發現經過 PPTP VPN 連入之後, 而這台機器會優先以 VPN Server 的 IP 當作預設閘道
其次才會使用 自身 的 預設閘道 (圖片有標示兩條線) ← 若第一條失效,才會用到這條!
那如何證明呢? 接下來看~~~
輸入 tracert 168.95.1.1 (就是從這台機器連線到 168.95.1.1 之間的路徑)
就會發現首先這個封包會丟到 10.0.99.253 (brazilfw PPTP VPN Server)
然後經過這台的NAT之後,再轉出去到ISP的路由上~~~
clip_image008[5]
這樣就可以完成 VPN 跳板的行為了~~~
備註: 由於PPTP VPN 這個介面是要經過構聯之後,才會產生介面! 在設定之前,建議先產生VPN的構聯而產生 PPTP VPN 介面!

讀者也會看的其它文章:

    Comments are closed.