No Money No Honey

這篇不保存實在是太可惜了！

出處：http://www.mml.com.tw/block/forum/index.php?action=forum_topicdetail&page=forum_topicdetail&f=431&t=135122

===========================================================================================

本章節不詳細探討VPN的原理與種類 以及 VPN 的好處
只是介紹如何使用 Brazilfw 這套軟路由來進行建置 PPTP VPN Server 的步驟 與 Windows XP 用戶端如何連入 Brazilfw PPTP VPN Server 的方式! (順道補齊友站教學文件缺短的部份)
PS: 為了一些動態IP的用戶,這次會搭配dyndns的機制與套件來進行使用~~~ 這樣用戶端就不用記憶IP or 因為 VPN Server的異動而更添進連線上的麻煩
以下就是 這次實作 的 圖例:


注意:VPN IP範圍需要與內部網路IP範圍區隔
PS: Files Server 就好比網路芳鄰的機器,提供檔案分享的功能! 前提就是已經設定好相關共享設定 (在此不再贅述) 而 VPN Client 的連線方式~ 最基本要能夠連上Internet~ 這部份也不另行贅述! 當然更別說 擔任 VPN Server 的 Brazilfw 軟路由 … 也要能夠連上Internet…
首先先將該需要的套件下載並安裝到 brazilfw 軟路由當中
1. 下載 Dyndns 套件
http://www.brazilfw.com.br/users/juanillo/ipupdate/ipupdate.tgz
2. 下載 PPTP VPN Server 套件
http://www.brazilfw.com.br/users/juanillo/poptop/pptpd.tgz
那要如何在 brazilfw 軟路由當中進行下載與安裝呢?! 有很多方法,不過我介紹一個最簡單的方法!
首先登入 brazilfw 軟路由本機當中

然後會出現這個畫面,請使用 TAB 按鍵 跳到底部的藍色光棒區
然後利用方向鍵來移動藍色光棒到 Exit 後,按下 Enter

這樣就會可以輸入指令的地方
*可以注意此時螢幕上端,輸入 menu 這個指令,就可以回到上一個畫面

這裡來觀察一下 brazilfw 軟路由本身系統的分割區掛載情形,這是預設的狀況…
一般而言,若沒有安裝套件… 會有個分割區(/dev/boot)是不會主動掛載上來的
輸入 mount 指令,來查看目前掛載的現況!

那就來掛載這個分割區… 此時只要輸入兩個字 "mt" 就可以了

這個算是縮寫的指令! brazilfw 是從 linux 精簡與優化的 軟路由,所以也可以使用linux的指令
由於linux的掛載指令為mount… 也可以輸入 mount /dev/boot /mnt 這是一樣的意思!!!
掛載目錄之後,就可以透過 mount 這個指令來看掛載了什麼目錄… (這是確認是否有掛載)

然後切換目錄到套件安裝的目錄當中
輸入 cd /mnt 然後用 pwd 來確認當下的目錄在哪

OK! 已經完成掛載目錄的部份,接下來就是進行套件的下載…先下載 dyndns client 套件…
輸入 " wget http://www.brazilfw.com.br/users/juanillo/ipupdate/ipupdate.tgz ."
(別忘記最尾巴的 . (點) 這個意思是說把下載下來的東西 放到限在這個目錄下(/mnt) )

OK! 完成下載dyndns client 套件目錄的部份,接下來就是進行pptp vpn server套件的下載…
輸入 " wget http://www.brazilfw.com.br/users/juanillo/poptop/pptpd.tgz ."
(別忘記最尾巴的 . (點) 這個意思是說把下載下來的東西 放到限在這個目錄下(/mnt) )

確認剛剛下載的兩個套件檔案是否有下載下來… 此時輸入指令 "ls"

可以看到紫色圈選的地方,已經順利的將兩個套件下載下來並存放在 /mnt 這個掛載點當中
做到這裡,應該會有人問… 那該如何安裝呢??? 這裡就先賣個關子!
那麼先來看一下 brazilfw 軟路由 的 Web GUI 部分… 先用與 10.0.4.0/24 同網段的機器來進行brazilfw Web GUI 的登入 (以第一張圖片來說,就是 Files Server) 開啟網頁瀏覽器 輸入 brazilfw 軟路由的 LAN IP
http://10.0.4.253:8180

輸入帳號 root 與 root 的密碼

調整語系 (這無關緊要) 若調整後無法正確顯示網頁,請將網頁編碼改成 UTF-8 即可正常顯示

調整完語系,請點選圈選處來將組態儲存起來

組態儲存的畫面

注意圈選的地方,目前並無 dyndns client 與 PPTP VPN Server 這兩個套件

OK! 回到 brazilfw 本機的畫面! 剛剛只是確認那兩個套件並無安裝…
回到 brazilfw 本機的畫面後. 先卸載 /mnt 這個套件掛載點
輸入 cd/ 跳離/mnt這個目錄
輸入 umt/ 卸載/mnt這個目錄 (也可使用正規linux指令 umount /mnt 指令)
然後使用 mount 來驗證是否卸載成功 (可以參考圖片中黃色線標示的地方)

輸入 reboot 來進行 brazilfw 軟路由的重新開機 (套件會在重新開機之後,進行自動安裝)


回到 brazilfw Web GUI 當中,按下 重新整理 來重新載入網頁
就可以發現這時候兩個套件自動安裝完畢~

首先先進行 dyndns client 的設定 (本篇幅也不贅述 dyndns 的申請方法)
點選 Dynamic IP Update 來進入設定組態的頁面

請參考本圖來進行設定.
Your Domain 這個欄位則是輸入於dyndns所申請的FQDN
而 Account 與 Password 則是輸入 dyndns 登入的帳號與密碼
上面該輸入的都輸入完畢後,請拉最底下並點選 OK 的按鈕

這邊提示! 就是每當組態改變的時候,再重新開機之前都必須將組態存檔.
點選左邊的 Dynamic IP Update 再次進入

然後點選 Force Update Now 來強制與dyndns 更新 brazilfw WAN端的IP 對照

這時候 brazilfw 的 dyndns client 套件會去向 dyndns 的 DNS 伺服器進行FQDN的更新

可以看比較上圖兩者的IP是否相符… 就是比較外部IP 與 上圖 兩者之間的IP是否相同

或者使用 ping 指令 來確認是否能夠正常解析到brazilfw的WAN IP
(由於brazilfw軟路由是阻擋外部IP的ICMP回應…所以會出現Request Timed Out 的字樣)

若能正常解析,已經完成dyndns對照解析FQDN的部份
也可到dyndns的設定網頁看一下組態是否正確對應到brazilfw的WAN IP

接下來就是設定 PPTP VPN Server 的步驟

點選 PoPToP VPN Server 開始設定 PPTP VPN Server 組態
首先這裡會有預設的兩個登入用戶,由於建議自己新增建立VPN Client的登入帳號與密碼…
在此就刪除這兩個預設的帳號…

刪除完後,這邊提醒著組態改變後,記得要去存檔… 在此先放著先

開始設定 PPPTP VPN Server 在於開機的時候啟動 VPN Server 的服務
點選 Edit BrazilFW Configuration file

接著在這邊輸入

PPTPD_ENABLED=’YES’
PPTPD_LOCALIP=’10.0.99.253′
輸入完成後 點選 OK 的按鈕
若出現錯誤訊息,則略過不管.. 點選 重新整理 就可以恢復正常了…
(而且組態已經設定進去;但還沒有寫入到brazilfw軟路由的儲媒當中)
再來是設定 VPN 的網段 (最前面有提到VPN需要處在一個獨立的網段)

點選 Edit configuration file
接著設定 VPN 的 網段 與 當 VPN 用戶端 登入的時候,所需要配發的IP範圍

設定
localip 10.0.99.253
remoteip 10.0.99.100-200
設定完成後,點選OK按鈕
這時候就會出現剛剛的設定組態,然後點選紅色圈選處來把剛剛設定的組態寫入儲媒當中

別著急,還沒有設定完… 再來設定! 點選 PoPToP VPN Server

點選 Edit options file 來設定 VPN 的 FQDN 組態

依照你的需求給予設定,設定完成後點選 OK

這時候就會出現剛剛的設定組態,然後點選紅色圈選處來把剛剛設定的組態寫入儲媒當中

別著急,還沒有設定完… 再來設定! 點選 PoPToP VPN Server

來新增 VPN 的 用戶端 登入帳號 與 密碼吧!

經過實驗,若是日後新增用戶,每新增一次都得將brazilfw重新啟動!!
經過實驗,若是一個用戶帳號,允許多個連入連線!!
新增 帳號 與 密碼 ,設定完後來點選 Send_User

點選紅色圈選處來把剛剛新增的VPN登入帳號寫入儲媒當中

做到這裡 算是告一段落… 但是可別忘記了~~~ 要開放防火牆來讓服務正常的進出入brazilfw

點選 進階防火牆設定 然後點選 編輯設定檔

在最底下輸入兩行

admin Y permit 47 any any all all #GRE Protocol
admin Y permit tcp any any 1723 all #TCP Port 1723
輸入完成後,點選OK 友站提供的資料有誤!會發生防火牆規則錯誤而無法運行PPTP VPN Server 特此修正
防火牆設定完之後,把防火牆組態存檔!

儲存完後,點選 進階防火牆設定 觀察剛剛的組態是否有設定進去

要跟這張圖一樣,就代表剛剛設定的那兩行已經成功了!!! 確定OK後,重新載入防火牆規則

重新載入完成後,點選返回列表

以防萬一,剛剛設定的組態在下次重新開機的時候消失… 則必須選擇 立即存檔


在此! 強烈建議重新啟動 brazilfw 軟路由 並且重新啟動前,確認剛剛所有設定的組態是否有正確的存入!
重新啟動 brazilfw 軟路由

======================以上就是Brazilfw 軟路由擔任VPN Server的設定=====================
友站並無提供 Windows XP 用戶端之連線方法,特此新增此篇幅!
好的 接下來開始設定位於外部網路要連入內部網路的VPN用戶端

就是最左邊的用戶端,透過brazilfw的VPN來連到內部網路的Files Server2當中…
由於我是假設一般用戶(若能連上網際網路,就可跳過這段 PPPoE Client 的設定)
先來設定 PPPoE Client (再次強調! 若能夠上網,這段就免了!!!)
這邊就不詳加解釋,相信看圖也會簡單上手吧…










在這邊就可以確定已經解析的到 Brazilfw 的 WAN IP
(前面已經提到由於 Brazilfw 軟路由預設是WAN的ICMP會不回應…)
接下來就設定 PPTP VPN Client
點選 建立一個新的連線

點選 下一步

點選 連線到我工作的地方的網路 後,點選下一步

點選 虛擬私人網路連線 後,點選下一步

輸入完 公司名稱 後,點選下一步 (這只是VPN用戶端連線的名稱而已)

若需要透過PPPoE連到網際網路,才需要像我這張圖點選 若不需要,則選 不要撥接起始連線 設定完後,點選下一步

這時候輸入PPTP VPN Server 的 IP or FQDN 後,點選下一步

點選 完成

點選 內容

點選 安全性 頁面,在安全性選項 當中, 要求資料加密 這個選項取消勾選(如圖) 後,點選 確定

輸入剛剛在VPN Server上頭的帳號與密碼 後,點選 連線

成功的話! 就會出現正常連線的狀況…

若不成功,則檢查連線的問題…
(可能是雙方其中一方無法對網際網路連線,或者VPN Server服務沒有正確開啟…等
或者是雙方其中一方的防火牆沒有開啟開放的規則而導致無法連線!!!)
透過 ipconfig /all 這個指令來看一下網路介面,這時候就會發現已經新增一個網路介面
並且網路範圍就如同在 VPN Server 上頭設定的網段是相同的…

驗證是否連線正常… 首先來ping一下 VPN Server 的 Local IP

這邊不太可能沒通… 除非ping錯 VPN Server IP
驗證是否連線正常… 來ping一下 brazilfw 的 LAN IP

這邊如果出現錯誤的話,通常是出在 brazilfw 的 路由表上…
在brazilfw的路由表上加上
route add -net 10.0.4.0 netmask 255.255.255.0 gw 10.0.99.253
不過這個錯誤通常不會出現… 有興趣的就看一下 brazilfw 的路由表吧!

當然ping一下今天要連線的 Files Server IP…

若這邊ping不到,代表這台的Files Server的default gateway並不是設定 brazilfw 這台的 LAN IP
(白話點就是Files Server的預設閘道設定依圖得設定 10.0.4.253)

透過直接指定IP的方式來連 Files Server 的 IP

若能夠作到這裡,恭喜! 大功告成….

這邊出問題的話,通常是服務設定沒有設定好…

補充教材
我想很多台灣人會去對岸出差~~~ 當然對岸的網路是相當的 "自由" …
所以會有不少去對岸出差or工作的人會在台灣建置VPN Server… 來突破那份自由的快感…
接下來~~~ 就簡單帶一下該如何透過 Brazilfw PPTP VPN Server 來上網~~~
簡單來說… 就是透過VPN連入之後,再進行連到外部的網際網路當中~~~
(俗稱的 VPN 跳板)
由於PPTP這個套件在brazilfw當中建立一個介面叫做 PPP1

所以這時候要把這個介面加入到LAN當中,以利 iptables 來進行NAT的動作!
(若有能力,也可以在防火牆規則當中新增一條PPP1介面的NAT)
點選左邊的 LAN設定 → 然後就會出現這樣的頁面。
再來就是 第二個LAN網路設定 這個欄位當中輸入相關的資訊。

由於上面提到 PPTP 這個介面叫做 PPP1 (若不知道,可以去brazilfw的CLI當中敲個 ifconfig |more的指令)
對內第二網路卡編號 欄位輸入 ppp1
第一 IP 位址 輸入VPN Local IP 為 10.0.99.253
和 子網路遮罩 為 255.255.255.0
之後拉到網頁底下 點選 "送出"
然後點選 左邊的 "立即存檔" 並將brazilfw重新啟動就可以套用剛剛設定的組態
====================驗證============================================
在 Windows XP 當中開啟 cmd
然後輸入指令: route print

就會發現經過 PPTP VPN 連入之後, 而這台機器會優先以 VPN Server 的 IP 當作預設閘道
其次才會使用 自身 的 預設閘道 (圖片有標示兩條線) ← 若第一條失效，才會用到這條！
那如何證明呢? 接下來看~~~
輸入 tracert 168.95.1.1 (就是從這台機器連線到 168.95.1.1 之間的路徑)
就會發現首先這個封包會丟到 10.0.99.253 (brazilfw PPTP VPN Server)
然後經過這台的NAT之後，再轉出去到ISP的路由上~~~

這樣就可以完成 VPN 跳板的行為了~~~
備註: 由於PPTP VPN 這個介面是要經過構聯之後，才會產生介面！ 在設定之前，建議先產生VPN的構聯而產生 PPTP VPN 介面！