Acasă › Programe › Configurarea conexiunii VPN pptp. Conexiune PPTP - ce este? Condiții inițiale pentru o conexiune corectă

Configurarea conexiunii VPN pptp. Conexiune PPTP - ce este? Condiții inițiale pentru o conexiune corectă

După ce am examinat în detaliu în articolul anterior cum să ridicați partea de server a unei conexiuni VPN pe platforma Windows, trecem la configurarea unei conexiuni client PPTP. Pentru început, aș dori să reamintesc, pentru orice eventualitate, că protocolul PPTP utilizează două sesiuni de rețea: o sesiune PPP este stabilită utilizând protocolul GRE pentru transferul de date și se stabilește o conexiune pe portul TCP 1723 pentru a inițializa și gestiona conexiune.

În consecință, nu uitați să creați o regulă pentru GRE. Puteți citi cum să creați astfel de reguli într-un firewall standard dacă sunteți conectat direct la Internet. Dacă ești în spatele unui router, poți citi aici.

Dar noi am citit deja toate acestea, știm. Prin urmare, să trecem la configurarea unei conexiuni VPN client pentru PPTP.

Mai întâi trebuie să mergi la Panou de control, în Win7 tot ce trebuie să faci este să dai clic start. și du-te la Panou de control. Apoi, în funcție de setările de afișare, fie facem clic Retea si internet-> -> . Sau mergem direct la Centrul de control al rețelei și acces partajat -> Configurarea unei noi conexiuni sau rețele.

Va apărea un vrăjitor Instalare și conexiuni și rețele. Alege Conexiune la locul de muncă

Apoi, introduceți adresa de Internet (adresa serverului) și numele conexiunii care trebuie creată, cel mai bine Permiteți altor utilizatori să folosească această conexiune. De asemenea, pentru orice eventualitate, vă sfătuiesc să bifați caseta Nu vă conectați acum. Pentru că vom configura manual setările VPN.

Conexiunea noastră a fost creată cu succes. Acum trebuie să-l configurați. Accesați secțiunea Modificarea setărilor adaptorului din fereastră Centrul de rețea și partajare.

Acolo căutăm conexiunea noastră VPN și folosim RMB pentru a merge la elementul de meniu Proprietăți. Pe fila Siguranță Selectăm PPTP ca tip VPN. De fapt, asta este tot. Nu mai este nimic de configurat pe partea clientului folosind protocolul PPTP.

Mulți utilizatori au auzit probabil de termenul „conexiune PPTP”. Unii oameni nu își pot imagina nici pe departe ce este. Totuși, dacă descriem principiile stabilirii unei conexiuni pe baza acestui protocol într-un limbaj simplu, nu este deloc greu să le înțelegi.

Conexiune PPTP: ce este?

O conexiune de acest tip se bazează pe un protocol cu același nume, abrevierea în numele căruia provine din protocolul englez de tunelizare punct la punct, care poate fi tradus literal ca „protocol de tunel punct la punct”. Cu alte cuvinte, este o conexiune între doi abonați prin transmiterea de pachete de date criptate prin rețele nesigure bazate pe TCP/IP.

Tipul de conexiune PPTP vă permite să convertiți așa-numitele cadre PPP în pachete IP standard, care sunt transmise, de exemplu, prin Internet. Și deși se crede că protocolul PPTP este inferior ca nivel de securitate față de alte opțiuni precum IPSec, acesta este destul de răspândit astăzi, deoarece, de fapt, utilizatorul are de-a face cu unul dintre tipurile de conexiuni VPN (conexiune fără fir).

Conexiune PPTP: pentru ce este folosită?

Domeniul de aplicare al acestui protocol este foarte extins. În primul rând, acest tip de conexiune între doi utilizatori permite nu numai protejarea informațiilor transmise, ci și economisirea semnificativă a apelurilor la distanță lungă.

În plus, acest protocol este de foarte multe ori indispensabil în asigurarea comunicației între două rețele locale tocmai prin transmiterea de pachete pe Internet printr-o linie securizată (tunel) fără a utiliza o conexiune directă între ele. Adică cele două rețele locale nu au contact direct și folosesc tunelul ca intermediar.

Pe de altă parte, tunelul bazat pe PPTP poate fi folosit și pentru a crea o conexiune client-server, unde terminalul utilizatorului se conectează la server printr-un canal securizat.

Implementarea PPTP în diferite sisteme de operare

Acum să ne divagăm puțin și să ne uităm la conexiunea PPTP din cealaltă parte. Ce este acesta, de la dezvoltarea protocolului de către Microsoft, puțini oameni au înțeles. Și pentru prima dată într-o versiune completă a fost implementat de Cisco.

Cu toate acestea, specialiștii Microsoft nu au rămas în urmă. Incepand cu versiuni Windows 95 OSR2, capacitatea de a crea o conexiune bazată pe PPTP a apărut mai târziu produse software, chiar și cu instrumentele de configurare a serverului PPTP încorporate. Mai jos, ca exemplu, vom lua în considerare conexiunea PPTP a Windows 7, mai ales că acest sistem rămâne cel mai popular printre majoritatea utilizatorilor din ziua de azi.

ÎN sisteme Linux Până recent sprijin deplin această tehnologie nu a existat. A apărut doar în modificarea 2.6.13 și a fost anunțat oficial în versiunea de kernel 2.6.14.

Sistemele FreeBSD și Mac OS X vin cu clienți PPTP încorporați. PDA-uri Palm care acceptă conexiune fără fir Wi-Fi, dotat cu client Mergic.

Condiții inițiale pentru o conexiune corectă

Utilizarea tunelului este destul de specifică. Configurarea unei conexiuni PPTP necesită utilizarea portului TCP 1723 și, fără greșeală, a protocolului IP GRE cu numărul 47.

De aici rezultă că setarea, dacă există, sau paravanul de protecție Windows încorporat ar trebui să fie astfel încât pachetele IP să poată trece liber și fără restricții. Acest lucru se aplică nu numai mașinilor utilizator sau rețelelor locale. De asemenea, un astfel de transfer gratuit de date tunelizate ar trebui să fie asigurat la nivelul furnizorului.

Dacă NAT este utilizat în etapa intermediară a transferului de date, procesarea VPN în acest segment trebuie configurată corespunzător.

Principii generale de funcționare și conectare

Ne-am uitat la conexiunea PPTP destul de scurt. Ce este asta, probabil că mulți înțeleg deja măcar puțin. Claritatea completă a problemei se va face după revizuirea principiilor de bază ale funcționării protocolului și a comunicării bazate pe acesta, precum și în secțiunea în care procesul de instalare va fi afișat pas cu pas pentru o conexiune PPTP GRE.

Deci, conexiunea dintre două puncte este stabilită pe baza unei sesiuni PPP obișnuite bazată pe protocolul GRE (încapsulare). A doua conexiune direct pe portul TCP este responsabilă pentru controlul și inițierea GRE.

Pachetul IPX transmis în sine constă din datele în sine, uneori numite sarcină utilă, și informații suplimentare de control. Ce se întâmplă când un pachet este primit la celălalt capăt al liniei? Programul corespunzător unei conexiuni PPTP extrage informațiile conținute în întregul pachet IPX și le trimite spre procesare folosind instrumente care corespund protocolului propriu al sistemului.

În plus, una dintre componentele importante ale transmiterii și recepționării informațiilor de bază în tunel este condiția obligatorie pentru utilizarea accesului folosind combinația „login-parolă”. Desigur, este posibil să piratați login-urile și parolele în etapa de primire, dar în timpul procesului de transmitere a informațiilor printr-un coridor (tunel) securizat, este imposibil.

Securitatea conexiunii

După cum am menționat deja, tunelul bazat pe protocolul PPTP nu este sigur în absolut toate aspectele. Totuși, dacă avem în vedere că se folosesc instrumente precum EAP-TLS, MSCHAP-v2 sau chiar MPEE, putem vorbi de un grad de protecție destul de ridicat.

Uneori, pentru a crește nivelul de securitate, pot fi folosite apeluri de retur (apeluri), în care partea care trimite sau care primește confirmă conectarea și transferul de informații în mod programatic.

Configurarea PPTP folosind instrumentele proprii ale Windows 7: setările adaptorului de rețea

Configurați o conexiune PPTP în orice sistem Windows destul de simplu. După cum am menționat deja, luăm „șapte” ca exemplu.

Mai întâi trebuie să accesați Centrul de rețea și partajare. Acest lucru se poate face fie din „Panou de control”. Sau din meniul accesat făcând clic dreapta pe pictograma de conexiune la Internet sau la rețea.

În stânga în meniu există o linie pentru modificarea parametrilor adaptorului de rețea, pe care trebuie să-l utilizați, după care puteți face clic dreapta pe conexiune retea locala apel meniul contextualși selectați linia de proprietăți.

Într-o fereastră nouă, utilizați proprietățile protocolului TCP/IPv4. În fereastra de setări, ar trebui să specificați parametrii furnizați de furnizor la conectare (în cele mai multe cazuri, acest lucru este setat primire automată adrese pentru serverele IP și DNS).

Salvăm modificările și revenim la conexiunea la rețeaua locală, unde trebuie să verificăm dacă este activă acest moment. Pentru a face acest lucru, folosiți clic dreapta. Dacă linia de sus spune „Deconectare”, atunci conexiunea este activă. În caz contrar, porniți-l.

Creați și configurați setări VPN

Următorul pas este să creați o conexiune VPN. Pentru a face acest lucru, în secțiunea „Centrul de control” din partea dreaptă a ferestrei, utilizați linia pentru a crea o nouă conexiune.

După aceea, selectați conectarea la un loc de muncă, apoi utilizați o conexiune la Internet existentă.

Apoi, amânăm configurarea conexiunii la Internet, iar în următoarea fereastră indicăm adresa de Internet a operatorului VPN și introducem un nume arbitrar (asigurați-vă că bifați caseta de lângă „Nu vă conectați acum” din partea de jos) .

După aceasta, introduceți datele de conectare și parola, dacă sunt prevăzute în contractul de servicii, și faceți clic pe butonul „Creați”.

În lista de conexiuni disponibile, selectați-o pe cea pe care tocmai ați creat-o și în fereastra nouă faceți clic pe butonul proprietăți. În continuare, trebuie să acționați extrem de atent. În fila de securitate, este obligatoriu să setați următorii parametri:

Tip VPN: automat;
criptarea datelor: opțional;
Permisiuni de protocol: CHAP și CHAP versiunea 2.

Confirmăm modificările și mergem la fereastra de configurare a conexiunii, unde apăsăm butonul de conectare. Dacă setările sunt făcute corect, veți fi conectat la Internet.

Ar trebui să folosesc utilitare terțe?

Utilizatorii reacționează diferit la întrebarea instalării de servere sau clienți PPTP suplimentare, dar cei mai mulți dintre ei sunt de acord că configurarea și utilizarea modulului Windows încorporat este mult de preferat din punct de vedere al simplității.

Puteți, desigur, să instalați ceva de genul pfSense, care este un pachet firewall-ruter, dar clientul său nativ Multilink PPP Daemon are multe probleme la utilizarea serverelor Windows bazate pe PPTP în ceea ce privește distribuirea utilizării protocolului de autentificare între client și server în deși nu au fost observate astfel de probleme pe terminalele utilizatorilor de acasă. Acest utilitar, ca oricare altul, este mult mai dificil de configurat și, fără cunoștințe speciale, nu este posibil să specificați parametrii corecti sau să corectați „colapsul” constant al adresei IP a utilizatorului.

Puteți încerca alte utilități client sau server concepute pentru a stabili o conexiune PPTP, dar ce rost are să încărcați sistemul programe inutile când orice sistem de operare Windows are instrumente native? Mai mult, unele programe nu numai că sunt greu de configurat, dar pot provoca și conflicte în software și nivel fizic. Deci este mai bine să te limitezi la ceea ce ai.

În loc de postfață

Asta, de fapt, este tot ceea ce privește protocolul PPTP, precum și crearea, configurarea și utilizarea unei conexiuni tunel pe baza acestuia. În ceea ce privește utilizarea sa, nu este justificată pentru utilizatorul mediu. Există pur și simplu îndoieli legitime că cineva ar putea avea nevoie de un canal de comunicare sigur. Dacă într-adevăr trebuie să vă protejați IP-ul, este mai bine să utilizați servere proxy anonime pe Internet sau așa-numitele anonimizatoare.

Dar pentru a asigura interacțiunea între rețelele locale ale întreprinderilor comerciale sau orice alte structuri, instalarea unei conexiuni PPTP poate fi cea mai ușoară cale de ieșire. Și deși o astfel de conexiune nu va asigura 100% securitate, există totuși ceva bun simț în utilizarea ei.

Având în vedere aspectele teoretice din părțile anterioare, să trecem la implementarea practică. Astăzi ne vom uita la crearea server VPNși PPTP pe platforma Ubuntu Server. Acest material este destinat cititorilor care au abilități de lucru cu Linux, așa că nu ne vom lăsa distrași de lucrurile pe care le-am descris în alte articole, cum ar fi configurarea unei rețele etc. Dacă aveți dificultăți, studiați mai întâi celelalte materiale ale noastre.

Vom începe cunoștințele noastre practice cu VPN cu PPTP, deoarece este cel mai ușor de implementat. Cu toate acestea, rețineți că acesta este un protocol slab sigur și nu trebuie utilizat pentru a accesa date critice.

Să ne uităm la diagrama pe care am creat-o în laboratorul nostru de teste pentru familiarizarea practică cu această tehnologie:

Avem o rețea locală 10.0.0.0/24 cu un server terminal 10.0.0.2 și 10.0.0.1, care va servi ca server VPN; avem rețeaua rezervată 10.0.1.0/24 pentru VPN. Interfața externă a serverului are o adresă IP dedicată condiționată X.X.X.X. Scopul nostru este să oferim clienților de la distanță acces la server terminalȘi resurse partajate Pe el.

Configurarea unui server PPTP

Să instalăm pachetul pptpd care implementează funcționalitatea PPTP VPN:

Sudo apt-get install pptpd

Acum să deschidem fișierul /etc/pptpd.confși setați setările de bază ale serverului VPN. Să mergem la sfârșitul fișierului, unde indicăm adresa serverului din rețeaua VPN:

Localip 10.0.1.1

Și gama de adrese care urmează să fie emise clienților:

Remoteip 10.0.1.200-250

Adresele trebuie să fie alocate nu mai puțin decât posibilele conexiuni simultane, de preferință cu o marjă mică, deoarece creșterea lor fără a reporni pptpd este imposibilă. De asemenea, găsim și decomentăm linia:

Bcrelay eth1

Acest lucru vă va permite să transferați Clienți VPN pachete de difuzare a rețelei interne.

De asemenea, puteți utiliza opțiunile ascultaȘi viteză, primul vă permite să specificați adresa IP a interfeței locale pentru ascultarea conexiunilor PPTP de intrare, al doilea vă permite să specificați viteza conexiunilor VPN în bps. De exemplu, să permitem serverului să accepte conexiuni PPTP doar din interfața externă:

Ascultă X.X.X.X

Mai mult setări fine sunt în dosar /etc/ppp/pptpd-options. Setările implicite îndeplinesc destul de bine cerințele noastre, dar să ne uităm pe scurt la unele dintre ele, astfel încât să aveți o idee despre scopul lor.

Secțiune #Criptare este responsabil pentru criptarea și autentificarea datelor. Aceste opțiuni interzic utilizarea protocoalelor PAP, CHAP și MS-CHAP învechite și nesigure:

Refuza-pap
refuz-cap
refuza-mschap

Require-mschap-v2
necesită-mppe-128

Următoarea secțiune #Rețea și rutare, aici ar trebui să acordați atenție opțiunii ms-dns, care vă permite să utilizați server DNS pe rețeaua internă. Acest lucru poate fi util dacă rețeaua are o structură de domeniu sau dacă are un server DNS care conține numele tuturor PC-urilor din rețea, ceea ce face posibilă accesarea computerelor după numele lor, și nu doar prin IP. În cazul nostru, această opțiune este inutilă și comentată. Într-un mod similar, puteți seta adresa serverului WINS folosind opțiunea ms-wins.

Există și o opțiune aici proxyarp, inclusiv, după cum ați putea ghici din nume, suport pentru server Proxy ARP.

In sectiune #Diverse conține opțiunea Lacăt, care limitează clientul la o singură conexiune.

Ivanov * 123 *
petrov * 456 10.0.1.201

Prima intrare permite utilizatorului Ivanov cu parola 123 să se conecteze la server și îi atribuie o adresă IP arbitrară, a doua creează utilizatorul petrov cu parola 456, căruia i se va atribui o adresă permanentă 10.0.1.201 la conectare.

Repornind pptpd:

Sudo /etc/init.d/pptpd reporniți

Notă importantă! Dacă pptpd nu vrea să repornească, înghețând la pornire, dar /var/log/syslog adăugarea unei linii linia lungă a fișierului de configurare ignorată asigurați-vă că îl adăugați la sfârșitul fișierului /etc/pptpd.confîntrerupere de linie.

Serverul nostru este gata de funcționare.

Configurarea PC-urilor client

În general, este suficient să configurați o conexiune VPN cu opțiunile implicite. Cu toate acestea, vă recomandăm să specificați în mod explicit tipul de conexiune și să dezactivați protocoalele de criptare inutile.

Apoi, în funcție de structura rețelei, trebuie să specificați rute statice și gateway-ul implicit. Aceste probleme au fost discutate în detaliu în părțile anterioare.

Stabilim o conexiune VPN și încercăm să facem ping oricărui PC din rețeaua locală, am obținut acces la serverul terminal fără nicio dificultate:

Acum o altă completare importantă. În cele mai multe cazuri, accesul la computerele din rețeaua locală va fi posibil numai prin adrese IP, de exemplu. calea \\10.0.0.2 va funcționa, dar \\SERVER nu. Acest lucru poate fi incomod și neobișnuit pentru utilizatori. Există mai multe modalități de a rezolva această problemă.

Dacă rețeaua locală are o structură de domeniu, este suficient să specificați serverul DNS al controlerului de domeniu ca server DNS pentru conexiunea VPN. Utilizați opțiunea ms-dns V /etc/ppp/pptpd-options serverul și datele de setări vor fi primite automat de către client.

Dacă nu există un server DNS în rețeaua locală, atunci puteți crea și utiliza un server WINS; informațiile despre acesta pot fi, de asemenea, transmise automat clienților folosind opțiunea ms-wins. Și, în sfârșit, dacă există puțini clienți la distanță, utilizați fișierele de pe computerele client gazde(C:\Windows\System32\drivers\etc\hosts), unde ar trebui să adăugați linii precum.

Astăzi o vom configura.

Acțiunile pe care le vom efectua astăzi pentru a le configura VPN pe server sub Control Windows Server 2008R2, se poate aplica și la Windows Server 2003, deși va arăta diferit pe alocuri, logica acțiunii este foarte asemănătoare.

Mai întâi trebuie să ridicăm rolul.

Instalarea unui rol

ÎN Manager server mergi la Roluri - Adăugați roluri .

Selectați din listă

Se va deschide o fereastră de informații unde puteți vizualiza informații despre Serviciul de politici de rețea și acces, apoi apasa " Mai departe».

Selectați din listă „Servicii de rutare și acces la distanță”și toate subelementele imbricate, faceți clic Mai departe .

Toate datele necesare au fost colectate, faceți clic pe butonul "Instalare" .

Rolul a fost instalat cu succes, faceți clic pe butonul "Închide"

După instalarea rolului, trebuie să-l configurați, ceea ce vom face.

Stabilirea unui rol „Servicii de rutare și acces la distanță”

Accesați managerul de server, extindeți ramura „Roluri”, alege un rol „Politica de rețea și servicii de acces”, extindeți, faceți clic dreapta pe „Routare și acces la distanță”și alegeți „Configurați și activați rutarea și accesul de la distanță”, setați următorii parametri:

Se va deschide o fereastră „Asistent de instalare a serverului de rutare și acces la distanță” După citire, apăsați butonul "Mai departe"

La fereastră "Configurare" selectați elementul „ Configurație specială” presa "Mai departe"

La fereastră " Configurație personalizabilă” alege „Acces la o rețea privată virtuală (VPN)” presa "Mai departe"

În fereastra următoare faceți clic "Gata"

Vi se va cere să porniți serviciul, ceea ce vom face făcând clic pe butonul „Începe serviciul”

Ei bine, acum avem totul gata pentru a trece direct la configurare PPTP VPN pe un server care rulează Windows Server 2008R2.

Setări PPTP VPN pe un server care rulează Windows Server 2008R2.

În cazul în care ați instalat deja rolul „ Politică de rețea și servicii de acces” asigurați-vă că aveți următoarele setări:

Deschidere Manager server - Roluri - Rutare și acces la distanță, faceți clic dreapta pe rol și selectați Proprietăți, pe fila Sunt comune verificați dacă caseta este bifată router IPv4, optiunea " rețea locală și apel la cerere”, și Server de acces la distanță IPv4:

Acum trebuie să verificăm setările Securitatea conexiunii. Pentru a face acest lucru, accesați fila Siguranțăși verificați parametrii pentru Metode de autentificare, următoarele casete de selectare ar trebui să fie activate Protocolul EAPȘi Verificare criptată (Microsoft versiunea 2, MS-CHAP v2):

Apoi, accesați fila IPv4, acolo verificăm ce interfață va accepta conexiuni VPNși un grup de adrese pentru emiterea de clienți VPN ( Setați interfața la Permiteți RAS să selecteze adaptorul ):

După ce faceți clic pe OK, serviciul va fi repornit și rolul de server VPN va fi adăugat. Acum aveți un articol nou numit Porturi . Acum trebuie să dezactivăm serviciile pe care nu intenționăm să le folosim și să configuram PPTP. Faceți clic pe element Porturi- faceți clic dreapta și selectați proprietăți. În fereastra care se deschide, selectați Miniport WAN (PPTP)și apăsați tonîn partea de jos a formularului. Configurați totul ca în captura de ecran de mai jos:

Numărul maxim de porturi este numărul de clienți care se pot conecta la tine. Chiar dacă grupul de adrese este mai mare decât această valoare, serverul va respinge conexiunile peste acest număr.

Următorul pas este configurarea permisiunilor pentru utilizatori. Să mergem la „Manager server - Configurare - Utilizatori și grupuri locale - Utilizatori”, Selectați utilizatorul la care doriți să permiteți conectarea acest server De VPNși faceți clic dreapta pe utilizator - Proprietăți. Pe fila Apeluri primite - Drepturi de acces la rețea- a stabilit Permite accesul. (Dacă serverul tău rulează Director activ, apoi setările trebuie introduse în snap-in Director activ ):

Pentru functionare normala Serverul VPN trebuie să deschidă următoarele porturi:

Pentru PPTP: 1723 (TCP);
Pentru L2TP: 1701 (TCP) și 500 (UDP);
Pentru SSTP: 443 (TCP).

Aceasta completează configurarea. Puteți crea o conexiune și puteți încerca să vă conectați. Pentru a vedea clienții conectați în prezent, utilizați modulul de completare Rutare și acces la distanță - Clienții Acces de la distanță . De asemenea, pentru monitorizare și diagnosticare, utilizați jurnalul de evenimente Network Policy and Access Services.

Dorim să vă reamintim că conectarea utilizând VPN-urile PPTP nu sunt cele mai sigure, deoarece autorizarea are loc folosind perechea Login - Password. Este mai bine să configurați pentru o funcționare mai sigură L2TP conexiune folosind o cheie pre-partajată, ceea ce va crește semnificativ securitatea VPN conexiuni și utilizare IPSec.