Был очень большой перерыв в бложике, писать было не о чем :) И вот на работе появилась задача, подключить 1 комп ко внутренней сети. Думал сначала взять OpenVPN, но решил, что незачем плодить сущности и пусть сервер поработает хоть немного.
Итак, все описаное мной, было проверено на Windows 2003 EN. Приступим:
1. Для начала нам надо включить RRAS сервер (routing and remove access ), для этого идем Administrative tools - Routing and Remote access, увидим свой сервер, жмем правой кнопкой на него Configure and Enable Routing and Remote server, запустится мастер, ничего сложного, проходим его до конца.
2. Появится пункт IP Routing, открываем его, идем в пункт NAT/Basic Firewall, жмем правой кнопкой New Interface, добавляем внутренний и внешний интерфейс. Заходим
У меня интерфейс to-optima идет к интернет-шлюзу (Linux машина) и он считается внешним, Lan - внутренняя сеть.
После этого, правой кнопкой на внешнем интерфейсе, Properties. отмечаем галчоками Enable NAT Interface (если вам надо чтобы через этот интерфейс пользователи могли выходить в интернет) и Enable a basic firewall.
Затем идем в Services and Ports и ставим галочку напротив VPN Gateway (PPTP).
В настройках внутреннего интерфейса, должен быть выбран пункт: Private interface connected to private network
3. Затем идем в пункт Remote Access Policies жмем правой и new remote access policy. Появистя мастер, походим его тыкая кнопку вперед. После его появления, жмем правой кнопкой - Properties. В первом же окне, ставим галочку у Grant remote access permission. Затем На вкладках Authentication и Ecnryption выбираем методы авторизации и шифрования (советую выбрать MS-CHAP 2, а в шифровании все пункты).
4. Идем в пункт Ports - Properties. Здесь мы видем возможные способы подключения (PPPOE, PPTP, L2TP). Я оставил только PPTP. Чтобы выключить остальные, выбираем их, жмем кнопку Configure и пункт maximum ports до нуля. Но, следует отметить, что требуется установить нужное количество соединений в нужном способе подключения (у меня 5 соединений в PPTP), в конечном итоге у вас должно получиться что-то типа этого:
5. Выбираем в меню свой сервер, правой кнопкой - Properties, первое меню настраиваем так:
Теперь идем на вкладку IP и там есть 2 выбора, либо отдавать IP клиентам по DHCP (если он у вас настроен) либо из пула адресов (у меня из пула, соответственно его надо добавить нажав по кнопке Add).
Внизу, выбираем внутренний адаптер.
6. Теперь надо дать нужным пользователям возможность заходить по VPN. У меня все пользователи в домене, поэтому идем: Administrative tools - Active Directory users, ищем нужного юзера, заходим в его настройки Properties, открываем вкладку Dial-In и ставим галочки:
После этого, настройка на Windows 2003 заканчивается. Если у вас нету перед ним шлюза на Linux, то можете пробовать подключиться (главное не забудьте правильно выставить настройки шифрования в подключении у клиента).
Для тех, у кого есть шлюз на Linux, потребуется сделать несколько действий
1. В правила iptables сделать DNAT порта VPN tcp 1723 и протокола gre. Это можно сделать следующими правилами:
$IPT -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to-destination $your_server
$IPT -t nat -A PREROUTING -p gre -j DNAT --to-destination $your_server
Ну и не забыть конечно разрешить FORWARD между внешним и внутренним интерфейсами протокола gre.
Также требуется подгрузить модуль ip_nat_pptp (в 5 дебиане он есть точно сразу)
modprobe ip_nat_pptp