Головна › Програми › Vpn pptp налаштування підключення. З'єднання PPTP – що це таке? Початкові умови для коректного з'єднання

Vpn pptp налаштування підключення. З'єднання PPTP – що це таке? Початкові умови для коректного з'єднання

Розглянувши докладно у попередній статті, як підняти серверну частину VPN-з'єднання на платформі Windows, ми переходимо до налаштування клієнтського підключення PPTP. Спочатку хотілося б згадати про всяк випадок, що з роботи протоколу PPTP використовується дві мережевих сесії: передачі даних встановлюється PPP сесія з допомогою протоколу GRE, і з'єднання на ТСР порту 1723 для ініціалізації та управління з'єднанням.

Відповідно, не забуваємо створювати правило для GRE. Як створити такі правила у штатному фаєрволі, якщо ви безпосередньо підключені до інтернету, можна почитати . Якщо ви знаходитесь за маршрутизатором, можна почитати тут.

Але ми все це вже читали-знаємо. Тому візьмемося за налаштування клієнтського VPN з'єднання під PPTP.

Для початку необхідно зайти в Панель управління, у Win7 для цього варто лише натиснути Пуск. і перейти в Панель управління. Далі в залежності від налаштувань відображення ми або натискаємо Мережа та Інтернет-> -> . Або ж переходимо відразу в Центр управління мережами та спільним доступом -> Налаштування нового підключення або мережі.

З'явиться майстер Встановлення та підключення та мережі. Вибираємо Підключення до робочого місця

Далі вводимо Інтернет-адресу (адресу сервера) і назву підключення, що створюється, найкраще Дозволити використання цього підключення іншими користувачами. Також про всяк випадок раджу поставити галочку на Не підключатися зараз. Оскільки ми будемо налаштовувати параметри VPN вручну.

Підключення у нас успішно склалося. Тепер необхідно його налаштувати. Переходимо до розділу Зміна параметрів адаптерів з вікна Центр управління мережами та спільним доступом.

Там шукаємо наше VPN підключення та за допомогою ПКМ переходимо до пункту меню Властивості. На вкладці Безпекатип VPN вибираємо PPTP. По суті це і все. На стороні клієнта за протоколом PPTP більше налаштовувати нічого.

Ймовірно, багато користувачів чули про такий термін, як "з'єднання PPTP". Що це таке, деякі не уявляють навіть віддалено. Однак, якщо описувати принципи встановлення з'єднання на основі цього протоколу простою мовою, Зрозуміти їх зовсім неважко.

Поєднання PPTP: що це?

Підключення такого типу будується на основі однойменного протоколу, скорочення в назві якого походить від англійського point-to-point tunneling protocol, що можна перекласти як «тунельний протокол типу «точка-точка». Іншими словами, це з'єднання між двома абонентами через передачу пакетів даних у зашифрованому вигляді через незахищені мережі на основі TCP/IP.

Тип з'єднання PPTP дозволяє перетворювати так звані кадри PPP в стандартні IP-пакети, які передаються, наприклад, за допомогою того ж інтернету. І хоча, як вважається, протокол PPTP за рівнем безпеки поступається деяким іншим варіантам на кшталт IPSec, він сьогодні має досить велике поширення, адже, по суті, користувач має справу з одним із різновидів VPN-підключень (бездротове з'єднання).

З'єднання PPTP: для чого потрібне його використання?

Сфера застосування цього протоколу дуже велика. Перш за все, такий вид з'єднання між двома користувачами дозволяє не тільки захистити інформацію, що передається, але і суттєво економити на далеких дзвінках.

Крім того, цей протокол буває дуже часто незамінним при забезпеченні зв'язку між двома локальними мережами саме через передачу пакетів в інтернеті по захищеній лінії (тунелю) без прямого з'єднання між ними. Тобто безпосереднього контакту дві локальні мережі не мають і використовують тунель як посередник.

З іншого боку, тунелювання на основі PPTP може застосовуватися і при створенні з'єднання типу «клієнт-сервер», коли термінал користувача підключається до сервера по захищеному каналу.

Реалізація PPTP у різних ОС

Тепер трохи відвернемось і з іншого боку подивимося на з'єднання PPTP. Що це таке, з моменту розробки протоколу корпорацією Microsoft тоді мало хто розумів. І вперше у повноцінному варіанті його було реалізовано компанією Cisco.

Тим не менш, і фахівці Microsoft не відставали. Починаючи з версії Windows 95 OSR2, можливості створення підключення на основі PPTP з'явилися і в пізніших програмних продуктах, причому навіть із вбудованими засобами налаштування PPTP-сервера. Далі як приклад буде розглянуто PPTP-з'єднання Windows 7, тим більше, що саме ця система на сьогоднішній день залишається найбільш популярною у більшості користувачів.

У системах Linuxдо недавнього часу повної підтримкицієї технології не було. Вона з'явилася лише у модифікації 2.6.13, а офіційно була заявлена у версії ядра 2.6.14.

Системи FreeBSD та Mac OS X поставляються із вбудованими PPTP-клієнтами. КПК Palm, що мають підтримку бездротового з'єднання Wi-Fi обладнані клієнтом Mergic.

Початкові умови для коректного з'єднання

Використання тунелювання є досить специфічним. Налаштування PPTP-з'єднання передбачає використання TCP-порту 1723 і обов'язково - протоколу IP GRE з номером 47.

З цього випливає, що налаштування якщо така є, або вбудованого брендмауера Windows повинна бути такою, щоб IP-пакети могли проходити вільно і без обмежень. Це стосується не тільки машин або локальних мереж. Така вільна передача тунельованих даних повинна забезпечуватися і на рівні провайдера.

У разі використання NAT на проміжній стадії передачі даних має бути налаштована обробка VPN у цьому сегменті.

Загальні принципи роботи та підключення

Ми розглянули досить коротко з'єднання PPTP. Що це таке, багатьом, напевно, вже хоч трохи зрозуміло. Повна ясність у питання буде внесена після розгляду основних принципів функціонування протоколу та зв'язку на його основі, а також у розділі, де буде показано процес встановлення кроків з'єднання PPTP GRE.

Отже, з'єднання між двома точками встановлюється на основі звичайної сесії PPP на основі протоколу GRE (інкапсуляція). Друге підключення безпосередньо на порті TCP відповідає за керування GRE та ініціацію.

Сам пакет IPX, що передається, складається власне з даних, іноді званих корисним навантаженням, і додаткової керуючої інформації. Що відбувається при отриманні пакета на іншому кінці лінії? Відповідна програма для PPTP-з'єднання як би витягує міститься в цільному пакеті IPX інформацію та відправляє її на обробку за допомогою засобів, що відповідають власному протоколу системи.

Крім того, однією з важливих складових тунельної передачі та прийому основної інформації є обов'язкова умова використання доступу за допомогою комбінації «логін-пароль». Звичайно, зламати логіни та паролі на стадії отримання можна, але в процесі передачі інформації через захищений коридор (тунель) - ніяк.

Засоби захисту з'єднання

Як мовилося раніше, тунелювання з урахуванням протоколу PPTP захищеним абсолютно у всіх аспектах немає. Однак, якщо врахувати, що застосовуються такі засоби, як EAP-TLS, MSCHAP-v2 або навіть MPEE, можна говорити про досить високий ступінь захисту.

Іноді для підвищення рівня безпеки можуть застосовуватися відповідні дзвінки (дзвони), при яких сторона, що передає або приймає, здійснює підтвердження підключення та передачі інформації програмним способом.

Налаштування PPTP власними засобами Windows 7: параметри мережного адаптера

Налаштувати PPTP-з'єднання будь-якої системі Windowsдосить просто. Як уже говорилося, як приклад беремо «сімку».

Спочатку потрібно зайти до «Центру управління мережами та спільним доступом». Зробити це можна або з "Панелі управління". Або з меню, яке викликається правим кліком на значку інтернет-або мережного підключення.

Зліва в меню є рядок зміни параметрів мережного адаптера, який і потрібно задіяти, після чого правим кліком на підключенні локальної мережівикликати контекстне менюта вибрати рядок властивостей.

У новому вікні використовуємо властивості протоколу TCP/IPv4. У вікні параметрів слід прописати параметри, надані провайдером під час підключення (у більшості випадків встановлюється автоматичне отриманняадрес для IP і DNS-серверів).

Зберігаємо зміни та повертаємося до підключення по локальній мережі, де потрібно перевірити, чи активно воно в Наразі. Для цього використається правий клік. Якщо у верхньому рядку вказано «Вимкнути», значить з'єднання активно. Інакше вмикаємо його.

Створення та налаштування параметрів VPN

На наступному етапі потрібно створити підключення VPN. Для цього у розділі «Центру керування» у правій частині вікна використовуємо рядок створення нового підключення.

Після цього вибираємо підключення до робочого місця, а потім використання існуючого підключення до інтернету.

Далі відкладаємо налаштування-інтернет-з'єднання, а в наступному вікні вказуємо інтернет-адресу оператора VPN і вводимо довільне ім'я (обов'язково внизу ставимо галочку навпроти рядка «Не підключатися зараз»).

Після цього вводимо логін та пароль, якщо такі передбачені договір на надання послуг, і натискаємо кнопку «Створити».

У списку доступних підключень вибираємо щойно створене і в новому вікні натискаємо кнопку властивостей. Далі діяти потрібно дуже акуратно. На вкладці безпеки обов'язково необхідно встановити такі параметри:

тип VPN: автоматичний;
шифрування даних: необов'язкове;
дозволи протоколів: CHAP та CHAP версії 2.

Підтверджуємо зміни, переходимо до вікна установки з'єднання, де тиснемо кнопку підключення. Якщо налаштування здійснено належним чином, з'явиться підключення до Інтернету.

Чи варто використовувати сторонні утиліти?

На питання встановлення додаткових PPTP-серверів або клієнтів користувачі реагують по-різному, проте більшість з них сходиться на думці, що налаштування та використання вбудованого модуля Windows виглядає набагато краще в плані простоти.

Можна, звичайно, інсталювати щось на зразок пакету pfSense, що представляє собою міжмережевий екран-маршрутизатор, проте його «рідний» клієнт Multilink PPP Daemon має безліч проблем з використанням Windows-серверів на основі PPTP у плані розподілу використання протоколу аутентифікації між клієнтом і сервером хоча на домашніх терміналах таких проблем помічено не було. У налаштуванні ця утиліта, так само як і будь-які інші, набагато складніше, і без спеціальних знань вказати правильні параметри або виправити постійний «зліт» IP-адреси користувача неможливо.

Можна спробувати і деякі інші клієнтські або серверні утиліти, призначені для встановлення з'єднання PPTP, проте який сенс завантажувати систему непотрібними програмамиколи в будь-якій ОС Windows є власні кошти? Більш того, деякі програми не тільки складні в налаштуванні, але ще й можуть викликати конфлікти на програмному та фізичному рівні. Тож краще обмежитися тим, що є.

Замість післямови

Ось, власне, і все, що стосується протоколу PPTP, а також створення, налаштування та використання тунельного з'єднання на його основі. Щодо його використання, для рядового користувача воно не виправдане. Просто виникають законні сумніви, що комусь може знадобитися захищений канал зв'язку. Якщо вже потрібно захистити свій IP, краще використовувати анонімні проксі-сервери в інтернеті або так звані анонімайзери.

Зате для забезпечення взаємодії між локальними мережами комерційних підприємств чи будь-яких інших структур, встановлення PPTP-з'єднання може стати найпростішим виходом. І хоч таке підключення на всі сто безпеку не забезпечить, проте частка здорового глузду в його залученні є.

Розглянувши попередніх частинах теоретичні питання перейдемо до практичної реалізації. Сьогодні ми розглянемо створення VPN сервера PPTP на платформі Ubuntu Server. Даний матеріал розрахований на читачів, які мають навички роботи з Linux, тому ми не відволікатимемося на речі, описані нами в інших статтях, таких як налаштування мережі тощо. Якщо ви відчуваєте труднощі - попередньо вивчіть інші наші матеріали.

Практичне знайомство з VPN ми почнемо з PPTP як найпростішого в реалізації. Проте слід пам'ятати, що це слабозахищений протокол і його не слід використовувати для доступу до критично важливих даних.

Розглянемо схему, яку ми створили у нашій тестовій лабораторії для практичного знайомства з даною технологією:

У нас є локальна мережа 10.0.0.0/24 з сервером терміналів 10.0.0.2 і 10.0.0.1, який буде виконувати функції сервера VPN, для VPN ми зарезервували мережу 10.0.1.0/24. Зовнішній інтерфейс сервера має умовну виділену IP адресу X.X.X.X. Наша мета – надати віддаленим клієнтам доступ до термінальному серверуі загальним ресурсамна ньому.

Налаштування сервера PPTP

Встановимо пакет pptpd, що реалізує функціонал PPTP VPN:

Sudo apt-get install pptpd

Тепер відкриємо файл /etc/pptpd.confта задамо основні налаштування VPN сервера. Перейдемо в кінець файлу, де вкажемо адресу сервера у мережі VPN:

Localip 10.0.1.1

І діапазон адрес для видачі клієнтам:

Remoteip 10.0.1.200-250

Адреса потрібно виділити не менше, ніж можливих одночасних з'єднань, краще з невеликим запасом, так як їх збільшення без перезапуску pptpd неможливо. Також знаходимо та розкоментуємо рядок:

Bcrelay eth1

Це дозволить передавати VPN клієнтамширокомовні пакети внутрішньої мережі

Також можна використовувати опції listenі Speedперша дозволяє вказати IP адресу локального інтерфейсу для прослуховування вхідних PPTP з'єднань, другий вказати швидкість VPN з'єднань в біт/с. Наприклад дозволимо серверу приймати PPTP з'єднаннятільки із зовнішнього інтерфейсу:

Listen X.X.X.X

Більше тонкі налаштуваннязнаходяться у файлі /etc/ppp/pptpd-options. Налаштування за умовчанням цілком відповідають нашим вимогам, проте коротко розглянемо деякі з них, щоб ви мали уявлення про їхнє призначення.

Секція #Encryptionвідповідає за шифрування даних та автентифікацію. Дані опції забороняють використання застарілих та небезпечних протоколів PAP, CHAP та MS-CHAP:

Refuse-pap
refuse-chap
refuse-mschap

Require-mschap-v2
require-mppe-128

Наступна секція #Network and Routing, тут слід звернути увагу на опцію ms-dnsяка дозволяє використовувати DNS серверу внутрішній мережі. Це може бути корисно при доменній структурі мережі або наявності в ній сервера DNS який містить імена всіх ПК мережі, що дає можливість звертатися до комп'ютерів за їх іменами, а не тільки по IP. У нашому випадку ця опція марна та закоментована. Подібним чином можна встановити й адресу WINS сервера опцією ms-wins.

Тут же знаходиться опція proxyarp, що включає, як нескладно здогадатися з назви, підтримку сервером Proxy ARP.

У секції #Miscellaneousміститься опція lockяка обмежує клієнта одним підключенням.

Ivanov *123*
petrov * 456 10.0.1.201

Перший запис дозволяє підключатися до сервера користувачу ivanov з паролем 123 і присвоює йому довільну IP-адресу, друга створює користувача petrov з паролем 456, якому при підключенні буде присвоюватися постійна адреса 10.0.1.201.

Перезапускаємо pptpd:

Sudo /etc/init.d/pptpd restart

Важливе зауваження! Якщо pptpdне хоче перезапускатися, зависаючи на старті, а в /var/log/syslogдодаючи рядок long config file line ignoredобов'язково додайте в кінець файлу /etc/pptpd.confперенесення рядка.

Наш сервер готовий до роботи.

Налаштування клієнтських ПК

Загалом достатньо налаштувати VPN з'єднання з опціями за замовчуванням. Однак ми радимо явно вказати тип з'єднання та вимкнути зайві протоколи шифрування.

Далі, залежно від структури мережі, необхідно вказати статичні маршрути та основний шлюз. Ці питання докладно розбиралися у попередніх частинах.

Встановлюємо VPN з'єднання і намагаємося пропінгувати якийсь ПК у локальній мережі, ми без будь-яких труднощів отримали доступ до термінального сервера:

Тепер ще один важливий додаток. У більшості випадків доступ до комп'ютерів локальної мережі буде можливий лише за адресами IP, тобто. шлях 10.0.0.2 буде працювати, а SERVER - ні. Це може виявитися незручним та незвичним для користувачів. Існує кілька способів вирішення цієї проблеми.

Якщо локальна мережа має доменну структуру, достатньо вказати сервер DNS для VPN підключення DNS сервер контролера домену. Скористайтеся опцією ms-dnsв /etc/ppp/pptpd-optionsсервера та дані налаштування будуть отримані клієнтом автоматично.

Якщо DNS сервер у локальній мережі відсутній, то можна створити та використовувати WINS сервер, інформацію про нього також можна автоматично передавати клієнтам за допомогою опції ms-wins. І нарешті, якщо віддалених клієнтів небагато, використовувати на клієнтських ПК файли hosts(C:\Windows\System32\drivers\etc\hosts), куди слід додати рядки виду.

Сьогодні ми налаштуємо.

Ті дії, які ми сьогодні будемо робити для налаштування VPN на сервері під керуванням Windows Server 2008R2, можуть бути застосовані і на Windows Server 2003, хоч і буде виглядати в деяких місцях інакше, але логіка дій дуже схожа.

Для початку нам потрібно підняти роль.

Встановлення ролі

У Диспетчер серверапереходимо в Ролі - Додати ролі .

Вибираємо зі списку

Відкриється інформаційне вікно, де ви можете ознайомитися з інформацією про Службі політики мережі та доступу, після натискаємо « Далі».

Вибираємо зі списку “Служби маршрутизації та віддаленого доступу”і всі вкладені підпункти, натискаємо Далі .

Усі необхідні дані зібрані, натискаємо кнопку "Встановити" .

Роль успішно встановлена натискаємо кнопку "Закрити"

Після встановлення ролі необхідно налаштувати її, чим ми й займемося.

Налаштування ролі “Служби маршрутизації та віддаленого доступу”

Переходимо до диспетчера сервера, розкриваємо гілку "Ролі", обираємо роль “Служби політики мережі та доступу”, розгортаємо, клацаємо правою кнопкою по “Маршрутизація та віддалений доступ”і вибираємо “Налаштувати та увімкнути маршрутизацію та віддалений доступ”, виставляємо наступні параметри:

Відкриється вікно “Майстра установки сервера маршрутизації та віддаленого доступу”після ознайомлення натискаємо кнопку "Далі"

У вікні "Конфігурація"вибираємо пункт “ Особлива конфігурація”натискаємо "Далі"

У вікні " Конфігурація, що настроюється”обираємо “Доступ до віртуальної приватної мережі (VPN)”натискаємо "Далі"

У наступному вікні натискаємо "Готово"

Вам буде запропоновано запустити службу, що ми зробимо, натиснувши на кнопку "Запустити службу"

Ну ось у нас все готове для того, щоб перейти безпосередньо до налаштування PPTP VPN на сервері під керуванням Windows Server 2008R2.

Налаштування PPTP VPN на сервері під керуванням Windows Server 2008R2.

Якщо у вас вже було встановлено роль “ Служби політики мережі та доступу” переконайтеся в тому, що у вас виставлені наступні налаштування:

Відкриваємо Диспетчер сервера - Ролі - Маршрутизація та віддалений доступ, клацаємо по ролі правою кнопкою миші та вибираємо Властивості, на вкладці Загальніперевіряємо, що стоїть галочка в полі IPv4-маршрутизатор, вибрано опцію “ локальної мережі та виклику на вимогу”, а також IPv4-сервер віддаленого доступу:

Тепер нам необхідно перевірити налаштування Безпеки підключень. Для цього переходимо на вкладку Безпеката перевіряємо параметри для Методи автентифікаціїповинні стояти наступні галочки на Протокол EAPі Шифрована перевірка (Microsoft, версія 2, MS-CHAP v2):

Далі переходимо на вкладку IPv4там перевіряємо який інтерфейс буде приймати підключення VPNта пул адрес для видачі VPN клієнтам ( Інтерфейсом виставте Дозволити RAS вибирати адаптер ):

Після натискання на кнопку ОК служба буде перезавантажена, і роль сервера VPN буде додана. Тепер у вас з'явився новий пункт під назвою Порти . Тепер нам необхідно відключити служби, які ми не плануємо використовувати та налаштувати PPTP. Натисніть на пункт Порти- правою клавішею миші та виберіть пункт властивості. У вікні виберіть WAN Miniport (PPTP)та натисніть налаштуватиунизу форми. Виставте все як на скріншоті нижче:

Максимальна кількість портів, це кількість клієнтів, які можуть до Вас підключитися. Навіть якщо пул адрес більше цього значення, сервер відкидатиме підключення понад це число.

Наступним етапом буде налаштування дозволів для користувачів. Переходимо в “Диспетчер сервера – Конфігурація- Локальні користувачі та групи – Користувачі”,Виберіть користувача якому ви хочете дозволити підключатися до даному серверупо VPNта натисніть на користувача правою кнопкою миші - Властивості. На вкладці Вхідні дзвінки - Права доступу до мережі- Виставте Дозволити доступ. (Якщо Ваш сервер працює під керуванням Active Directory, то налаштування необхідно вводити в оснастці Active Directory ):

Для нормального функціонування vpn-сервера необхідно відкрити такі порти:

Для PPTP: 1723 (TCP);
Для L2TP: 1701 (TCP) та 500 (UDP);
Для SSTP: 443 (TCP).

На цьому налаштування закінчено. Ви можете створити підключення і спробувати підключитися. Щоб подивитись підключених клієнтів на даний момент використовуйте оснастку Маршрутизація та віддалений доступ - Клієнти Віддалений доступ . Також для контролю та діагностики використовуйте журнал подій Служб політики мережі та доступу.

Підключення з використанням PPTP VPN є не найбезпечнішими, оскільки авторизація відбувається за парою Логін - Пароль. Краще для безпечнішої роботи налаштувати L2TPз'єднання за попереднім ключем, що дозволить суттєво підвищити безпеку VPNз'єднання та використовувати IPSec.