読者です 読者をやめる 読者になる 読者になる

DRY

Web関連の技術の事、食事/お酒の事、旅行の事など

CentOS 6.4でPPTP VPNサーバーを構築

CentOS 6.4でPPTP VPNサーバーを構築したのでその際の設定を残しておきます。

訳あって、サーバはGlobalIPのみを持っていて、いかなるLANにも接続しません。
■環境の確認
CentOS release 6.4 (Final)


$ cat /etc/redhat-release
CentOS release 6.4 (Final)
GlobalIPのみ保持

eth0 Link encap:Ethernet HWaddr BC:30:5B:E2:8F:xx
inet addr:216.xxx.xxx.xxx Bcast:216.xxx.xxx.xxx Mask:255.255.255.240

eth1 Link encap:Ethernet HWaddr BC:30:5B:E2:8F:xx

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:628 (628.0 b) TX bytes:628 (628.0 b)

まずはppp関連のインストール。

# yum install ppp

# yum install pppd
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Setting up Install Process
No package pppd available.
Error: Nothing to do
と言われるので最新版(2013年3月現在)のrpmでインストール

cd /usr/local/src
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.el6.x86_64.rpm
rpm -Uvh pptpd-1.3.4-2.el6.x86_64.rpm
そうすると、/etc/pptpd.confというファイルが出来るのでこれを編集します。
ポイントは2つで「localip」と「remoteip」

localip : PPTPでの接続後のPPTP-VPNサーバー上(つまりこのサーバー)に指定したIPアドレスが割り振られる
remoteip : PPTP-VPNクライアントに割り当てられるIPアドレスのレンジ


localip 192.168.0.240
remoteip 192.168.0.241-245
今回はファイルの一番最後にこの二つを追加しました。

次に認証方式やDNS resolverに関する設定を /etc/ppp/options.pptpdにします。
基本的にはデフォルトのままで、ms-dnsの部分だけ自分の環境に合わせます。
ms-dns 8.8.8.8
のように。

/etc/ppp/chap-secretsを編集し、このVPNサーバーにアクセスできるユーザを作成します。
フォーマットは [username] [space] [server] [space] [password] [space][IP addresses]です。
タブなどは要りません。(入れると動かないですね)


vpnuser pptpd vpnuserpassword *
※後ほど記載しますが、iptablesでアクセス元を制御するので、chap-secretsの[IP addresses]は*にしてあります。

また、IPv4転送を有効にする必要があるので、/etc/sysctl.confを変更します。


less /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
一応SELinuxも確認しておきます。

# vi /etc/selinux/config
SELINUX=disabled
PPTPでは以下のポートとプロトコルを使用するので、それに見合った設定をします。
TCP/IP 1723番ポート
GRE/IP (プロトコル番号47番)

さらに今回は特定のサーバからのみ許可したいので、iptablesに以下のような設定を追加します。


-A INPUT -s 124.xx.xxx.xxx/32 -p tcp --dport 1723 -j ACCEPT
-A INPUT -s 124.xx.xxx.xxx/32 -p 47 -j ACCEPT
※124.xx.xxx.xxxからだけ許したいという状態の場合です

全体的なサービスの再起動・起動など


/etc/rc.d/init.d/iptables restart
service pptpd start
SELinux変えちゃったら再起動が必要です

起動に成功した場合以下のようにppp0がわりあたります。


# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.240 P-t-P:192.168.0.241 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:5797 errors:0 dropped:0 overruns:0 frame:0
TX packets:3085 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:451930 (441.3 KiB) TX bytes:1417706 (1.3 MiB)
こうなればVPN側の設定はとりあえず完了です。
後は各クライアントから接続をします。

ログを使って接続等を確認したければ、
/etc/pptpd.confのdebugを有効にして


# TAG: debug
# Turns on (more) debugging to syslog
#
debug
less /etc/rsyslog.confに"debug"を追記

*.=debug;\
news.none;mail.none -/var/log/debug
また今回は必要ないですが、VPNからInternetに出たければNATの設定をします。

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
サブネットマスクは適当に設定してください。