摘要
PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)支持基于IP的加密隧道����。利用ROS可以實(shí)現(xiàn)PPTP客戶端和PPTP服務(wù)端��。
PPTP隧道的一般應(yīng)用
1 通過(guò)INTERNET的安全的路由器-路由器隧道
2 連接(或橋接)本地企業(yè)網(wǎng)或局域網(wǎng)(當(dāng)EOIP啟用時(shí))
3 移動(dòng)或遠(yuǎn)程客戶實(shí)現(xiàn)遠(yuǎn)程介入公司的企業(yè)網(wǎng)/局域網(wǎng)(查閱WINDOWS的PPTP設(shè)置獲取更多信息)
每個(gè)PPTP連接包括一個(gè)服務(wù)端和一個(gè)客戶端�����。ROS可以做為客戶端也可以做為服務(wù)端--或者同時(shí)做為服務(wù)端和客戶端����。例如,下面做為客戶端的配置可以接入到WIN2K-SERVER���,另外的ROS�����,或者其他提供PPTP服務(wù)的路由器
快速設(shè)置向?qū)?/p>
下面步驟實(shí)現(xiàn)在IP地址分別為10.5.8.104(PPTP服務(wù)端)和10.1.0.172(PPTP客戶端)的兩個(gè)ROS間建立PPTP隧道~
一�����、PPTP服務(wù)端配置
1��、添加一個(gè)用戶
[admin@PPTP-Server]ppp secret>add name=jack password=pass \
\... local-address=10.0.0.1 remote-address=10.0.0.2
2���、開(kāi)啟PPTP服務(wù)
[admin@PPTP-Server]interface pptp-server server>set enabled=yes
二��、PPTP客戶端配置
1�����、添加PPTP客戶端
[admin@PPTP=-Client]interface pptp-client>add user=jack password=pass \
\... connect-to=10.5.8.104 disabled=no
規(guī)范
要求模塊:PPP
要求許可: LEVEL1(1個(gè)隧道)���,LEVEL3(200個(gè)隧道),LEVEL5
子目錄:/interface pptp-server, /interface pptp-client
standards and Technologies: PPTP(RFC 2637)
硬件需求:無(wú)特殊要求
相關(guān)文檔
1����、軟件模塊管理
2、IP addresses和ARP
3���、PPP user AAA
4����、EoIP
描述
PPTP是利用點(diǎn)到點(diǎn)協(xié)議傳輸IP數(shù)據(jù)的安全隧道��。PPTP將PPP封裝在基于IP的虛擬線路上��。PPTP合并了PPP和MPPE(微軟點(diǎn)到點(diǎn)加密)來(lái)建立加密鏈路�����。這個(gè)協(xié)議的功能是在路由器之間建立一條如同在路由器和PPTP客戶端間的方便管理的安全連接����。(幾乎包括WINDOWS在內(nèi)的所有操作系統(tǒng)都支持PPTP Client)
PPTP包含PPP的連接認(rèn)證和計(jì)費(fèi)機(jī)制。連接的認(rèn)證和計(jì)費(fèi)可以通過(guò)RADIUS客戶端或者本地服務(wù)來(lái)實(shí)現(xiàn)�。
支持MPPE 40位RC4和MPPE 128位RC4加密。
PPTP通過(guò)TCP1723端口和GRE協(xié)議通信(通用路由封裝�����,IP協(xié)議 ID47)����,由IANA制定。通過(guò)開(kāi)啟TCP1723端口和允許47號(hào)協(xié)議通信�����,PPTP可以與大多數(shù)的防火墻和路由器一起使用。
地址偽裝/地址轉(zhuǎn)換的IP連接可能會(huì)受到限制或無(wú)法建立PPTP連接�。請(qǐng)查閱本部分后的Mircosoft和RFC鏈接獲得更多信息。
其他資源
http://msdn.microsoft.com/library/backgrnd/html/understanding_pptp.htm
http://support.microsoft.com/support/kb/articles/q162/8/47.asp
http://www./rfc/rfc2637.txt?number=2637
http://www./rfc/rfc3078.txt?number=3078
http://www./rfc/rfc3079.txt?number=3079
PPTP客戶端配置
子目錄:/interface pptp-client
屬性介紹
add-default-route(yes|no; 默認(rèn):no)-是否使用本連接的服務(wù)端作為默認(rèn)路由器(網(wǎng)關(guān))�;
allow(多選:mschap2,mschap1,chap,pap;默認(rèn):mschap2,mschap1,chap,pap)-允許客戶端使用的認(rèn)證協(xié)議;
connect-to(IP地址)-要連接的PPTP服務(wù)器地址
mru(整數(shù)��;默認(rèn):1460)--最大接收單元�。最優(yōu)值是隧道應(yīng)用接口的MRU值減去40(所以,對(duì)于1500比特的以太連接�����,設(shè)置MRU為1460避免分組過(guò)?���。?br>mtu(整數(shù);默認(rèn):1460)-最大傳輸單元���。最優(yōu)值是隧道應(yīng)用的接口的MTU值減去40(所以���,對(duì)于1500比特的以太連接,設(shè)置MTU為1460避免分組過(guò)?。?br>name(連接名����;默認(rèn):pptp-outN)--接口名稱
password(文本��;默認(rèn):"")-登陸遠(yuǎn)程服務(wù)端的密碼
profile(名稱��;默認(rèn):default)-登陸到遠(yuǎn)程服務(wù)端的配置文件
user(文本)-當(dāng)?shù)顷懙竭h(yuǎn)程服務(wù)端的用戶名
例子
建立一個(gè)名稱為test2的PPTP客戶端��,用戶名john,密碼john����,服務(wù)端10.1.1.12并作為默認(rèn)網(wǎng)關(guān)���;
[admin@MikroTik]interface pptp-client>add name=test2 connect-to=10.1.1.12 \
\...user=john add-default-route=yes password=john
[admin@MikroTik]interface pptp-client>print
Flags: X - disabled, R - running
0 X name="test2" mtu=1460 connect-to=10.1.1.12 user="john"
password="john" profile=default add-default-route=yes
[admin@MikroTik] interface pptp-client> enable 0
PPTP客戶端監(jiān)測(cè)
命令:/interface pptp-client monitor
屬性描述
encoding(文本)--在此連接中使用加密和編碼(如果是非對(duì)稱的�,用'/'隔開(kāi))
status(文本) - 客戶端的狀態(tài)
Dialing - 嘗試建立連接
Verifying password... - 連接已經(jīng)建立�����,正在驗(yàn)證密碼
Connected - 已連接
Terminated - 接口未啟用或另一方未建立連接
uptime(時(shí)間) - 顯示連接時(shí)間天����,小時(shí),分鐘��,秒
例子
一個(gè)建立連接的例子:
[admin@MikroTik]interface pptp-client>monitor test2
uptime:4h35s
encoding:MPPE 128bit,stateless
status:Connected
[admin@MikroTik]interface pptp-client>
建立PPTP服務(wù)器
子目錄: /interface pptp-server server
描述
PPTP服務(wù)器為每個(gè)連接的PPTP客戶端建立一個(gè)動(dòng)態(tài)接口。PPTP連接的數(shù)量取決于你擁有的許可等級(jí)�。Level1允許1個(gè)客戶端,Level3和Level4達(dá)到200客戶端�����,Level5和Level6不限制數(shù)量�。
建立PPTP用戶,你可以參考PPP安全和PPP配置手冊(cè)��。也可以用ROS作為RADIUS客戶端記錄PPTP用戶���,具體內(nèi)容請(qǐng)查閱手冊(cè)�。
屬性描述
authentication(多選:pap|chap|mschap1|mschap2;默認(rèn):mschap2) - 認(rèn)證機(jī)制
default-profile - 使用默認(rèn)配置文件
enabled(yes|no ����;默認(rèn):no) - 是否開(kāi)啟PPTP服務(wù)器
keepalive-timeout(時(shí)間;默認(rèn):30) - 設(shè)置路由器發(fā)送相鄰“保持活動(dòng)”包的時(shí)間片�����。如果在時(shí)間片中沒(méi)有流量或沒(méi)有活動(dòng)響應(yīng)(如 2*keepalive-timeout)�,未響應(yīng)的客戶端將被宣告斷開(kāi)
mru (整數(shù);默認(rèn):1460) - 最大接受單元。最優(yōu)值為隧道工作接口的MRU值減去40(所以對(duì)于1500-byte的以太連接�,設(shè)置1460避免分組過(guò)小)
MTU(整數(shù)���;默認(rèn):1460) - 最大傳輸單元��。��。����。�����。��。�����。���。。。����。。�。。�。。��。
例子
啟用PPTP服務(wù)器
[admin@MikroTik]interfece pptp-server server>set enabled=yes
[admin@MikroTik]interface pptp-server server>print
enabled:yes
mtu:1460
mru:1460
authentication:mschap2,mschap1
keepalive-timeout:30
default-profile:default
[admin@MikroTik]interface pptp-server server>
PPTP服務(wù)端連接
子目錄:/interface pptp-server
描述
在PPTP服務(wù)器配置中有兩種連接-靜態(tài)連接和動(dòng)態(tài)連接�。當(dāng)用戶數(shù)據(jù)庫(kù)或者default-profile正確設(shè)置了local-address和remote-address就可以建立動(dòng)態(tài)連接。當(dāng)添加靜態(tài)連接后�����,default-profile應(yīng)該為缺省值�,只有PPP用戶(在/ppp secret)能夠配置。注意兩種情況中PPP用戶都必須正確配置���。
屬性描述
client-address(IP地址) - 顯示已連接客戶端的IP地址(這里無(wú)法設(shè)置)
encoding (文本) - 在此連接中使用的加密和編碼(用'/'隔開(kāi))
mtu(整數(shù)) - 客戶端的MTU(這里無(wú)法設(shè)置)
name(名稱) - 接口名稱
uptime(時(shí)間) - 顯示連接時(shí)間
user(名稱) - 靜態(tài)配置或者動(dòng)態(tài)添加的用戶名
例子
為ex1用戶添加靜態(tài)通路:
[admin@MikroTik] interface pptp-server>add user=ex1
[admin@MikroTik] interface pptp-server>print
Flags: X - disabled, D - dynamic, R - running
# NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING
0 DR <pptp-ex> ex 1460 10.0.0.202 6m32s none
1 pptp-in1 ex1
[admin@MikroTik] interface pptp-server>
在這個(gè)例子中ex是已經(jīng)連接的用戶�����。
PPTP 應(yīng)用實(shí)例
路由-到-路由安全隧道實(shí)例
下面是個(gè)利用通過(guò)Internet的加密PPTP隧道連接2個(gè)企業(yè)網(wǎng)絡(luò)的例子�����。
圖1
在這個(gè)例子中有兩個(gè)路由器
[本地Office]
本地企業(yè)網(wǎng)地址:10.150.2.254/24
本地接入Internet:192.168.80.1/24
[遠(yuǎn)程O(píng)ffice]
遠(yuǎn)程接入Internet: 192.168.81.1/24
遠(yuǎn)程企業(yè)網(wǎng)地址:10.150.1.254/24
路由器接入不同的ISP��。其中一個(gè)路由器通過(guò)Internet可以訪問(wèn)另一個(gè)路由器����。
在PPTP服務(wù)器上為客戶端建立用戶
[admin@HomeOffice]ppp secret>add name=ex service=pptp password=lkjrht
local-address=10.0.103.1 remote-address=10.0.103.2
[admin@HomeOffice]ppp secret>print detail
Flags: X - disabled
0 name="ex" service=pptp caller-id="" password="lkjrht" profile=default
local-address=10.0.0103.1 remote-address=10.0.103.2 routes=""
[admin@HomeOffice]ppp secret>
然后將用戶添加到PPTP服務(wù)列表
[admin@HomeOffice] interface pptp-server>add user=ex
[admin@HomeOffice] interface pptp-server>print
Flags: X - disabled, D - dynamic, R - running
# NAME USER MTU CLIENT-ADDRESS UPTIME ENCODING
0 pptp-in1 ex
[admin@HomeOffice] interface pptp-server>
最后,開(kāi)啟服務(wù)����。
[admin@HomeOffice] interface pptp-server server>set enabled=yes
[admin@HomeOffice] interface pptp-server server>print
enabled:yes
mtu:1460
mru:1460
authentication:mschap2
default-profile:default
[admin@HomeOffice] interface pptp-server server>
增加PPTP客戶端到遠(yuǎn)程office路由器:
[admin@RemoteOffice] interface pptp-client>add connect-to=192.168.80.1 user=ex \
\... password=lkjrht disabled=no
[admin@RemoteOffice] interface pptp-client>print
Flags: X - disabled, R -runing
0 R name="pptp-out1" mtu=1460 mru=1460 connect-to=192.168.80.1 user="ex"
password="lkjrht" profile=default add-default-route=no
[admin@RemoteOffice] interface pptp-client>
這樣,一條PPTP隧道就在兩個(gè)路由器間建立了��。這條隧道在在路由器之間象以太網(wǎng)似的點(diǎn)到點(diǎn)連接�,路由器的IP分別是10.0.103.1和10.0.103.2。他允許兩個(gè)路由器通過(guò)第三方網(wǎng)絡(luò)“直接”的連接���。
圖2
令本地企業(yè)網(wǎng)可以在PPTP隧道路由,必須增加這些路由規(guī)則:
[admin@HomeOffice] >ip route add dst-address 10.150.1.0/24 gateway 10.0.103.2
[admin@RemoteOffice] > ip route add dst-address 10.150.2.0/24 gateway 10.0.103.1
在PPTP服務(wù)端可以使用用戶配置的路由參數(shù)轉(zhuǎn)換:
[admin@HomeOffice] ppp secret> print detail
Flags: X - disabled
0 name="ex" service=pptp caller-id="" password="lkjrht" profile=default
local-address=10.0.103.1 remote-address=10.0.103.2 routes==""
[admin@HomeOffice] ppp secret> set 0 routes="10.150.1.0/24 10.0.103.2 1"
[admin@HomeOffice] ppp secret> print detail
Flags: X - disabled
0 name="ex" service=pptp caller-id="" password="lkjrht" profile=default
local-address=10.0.103.1 remote-address=10.0.103.2
routes="10.150.1.0/24 10.0.103.2 1"
[admin@HomeOffice] ppp secret>
測(cè)試PPTP隧道連接:
[admin@RemoteOffice]> /ping 10.0.103.1
10.0.103.1 pong: ttl=255 time=3 ms
10.0.103.1 pong: ttl=255 time=3 ms
10.0.103.1 pong: ttl=255 time=3 ms
ping interrupted
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 3/3.0/3 ms
測(cè)試通過(guò)PPTP隧道連接到localhomeoffice網(wǎng)絡(luò)
[admin@RemoteOffice]> /ping 10.150.2.254
10.150.2.254 pong: ttl=255 time=3 ms
10.150.2.254 pong: ttl=255 time=3 ms
10.150.2.254 pong: ttl=255 time=3 ms
ping interrupted
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 3/3.0/3 ms
要在這條安全隧道上橋接局域網(wǎng),請(qǐng)查閱手冊(cè)的'EoIP'實(shí)例部分.限制隧道的最大速度,請(qǐng)參考'Queues'部分.
通過(guò)PPTP隧道連接到遠(yuǎn)程客戶端
下面的實(shí)例說(shuō)明了如何通過(guò)加密的PPTP隧道連接一臺(tái)計(jì)算機(jī)到遠(yuǎn)程辦公室網(wǎng)絡(luò),分配給計(jì)算機(jī)一個(gè)和遠(yuǎn)程網(wǎng)絡(luò)相同網(wǎng)絡(luò)號(hào)的地址(不使用EoIP隧道的橋接技術(shù))
關(guān)于建立PPTP客戶端,請(qǐng)參考你所使用軟件的手冊(cè).
圖3
本例中的路由器
[RemoteOffice]
Internet地址 192.168.81.1/24
局域網(wǎng)地址 10.150.1.254/24
客戶端計(jì)算機(jī)可以通過(guò)Internet訪問(wèn)路由器.
在PPTP服務(wù)器上建立用戶:
[admin@RemoteOffice] ppp secret> add name=ex service=pptp password=lkjrht
local-address=10.150.1.254 remote-address=10.150.1.2
[admin@RemoteOffice] ppp secret> print detail
Flags: X - disabled
0 name="ex" service=pptp caller-id="" password="lkjrht" profile=default
local-address=10.150.1.254 remote-address=10.150.1.2 routes==""
[admin@RemoteOffice] ppp secret>
將用戶添加到PPTP服務(wù)列表:
[admin@RemoteOffice] interface pptp-server> add name=FromLaptop user=ex
[admin@RemoteOffice] interface pptp-server> print
Flags: X - disabled, D - dynamic, R - running
# NAME USER MTU CLIENT-ADDRESS UPTIME ENC...
0 FromLaptop ex
[admin@RemoteOffice] interface pptp-server>
啟用PPTP服務(wù):
[admin@RemoteOffice] interface pptp-server server> set enabled=yes
[admin@RemoteOffice] interface pptp-server server> print
enabled: yes
mtu: 1460
mru: 1460
authentication: mschap2
default-profile: default
[admin@RemoteOffice] interface pptp-server server>
最后,啟用局域網(wǎng)接口的proxy APR功能
[admin@RemoteOffice] interface ethernet> set Office arp=proxy-arp
[admin@RemoteOffice] interface ethernet> print
Flags: X - disabled, R - running
# NAME MTU MAC-ADDRESS ARP
0 R ToInternet 1500 00:30:4F:0B:7B:C1 enabled
1 R Office 1500 00:30:4F:06:62:12 proxy-arp
[admin@RemoteOffice] interface ethernet>
中間是一段windows中建立PPTP客戶端~~
問(wèn)題解答
問(wèn):我使用了防火墻,無(wú)法建立PPTP連接
答:確保TCP連接端口1723在你的兩個(gè)站點(diǎn)間可以雙向通行.并且需要允許IP協(xié)議47通過(guò).
