71367

Побудова VPN сервера

Лабораторная работа

Информатика, кибернетика и программирование

Коли з на реальній машині підключається VPN з’єднання доступ до Інтернету за замовченням йде через нього, так як віртуальна машина отримує Інтернет через NAT з реальної машини, перевірити працездатність роздачі Інтернету неможливо, бо відбувається замкнуте коло.

Украинкский

2014-11-05

1.42 MB

0 чел.

Лабораторна робота 15 

Построение VPN сервера

Налаштувати VPN PPTP сервер, для роздачі Інтернету через прозорий проксі сервер Squid. Варіанти завдань:

№ вар.

Віртуальні користувачі

Діапазон адрес на видачу сервером

1

omega

192.168.85.81-192.168.85.104

fralewan

nydendash

biralath

2

black

192.168.85.49-192.168.85.115

blue

ferrari

french

3

rhili

192.168.85.44-192.168.85.201

alpha

mercury

venus

4

earth

192.168.85.56-192.168.85.124

mars

fralewan

tiger

5

lion

192.168.85.14-192.168.85.123

lynx

leopard

mercury

6

rose

192.168.85.14-192.168.85.180

tulip

narcissus

aster

7

tiger

192.168.85.147-192.168.85.222

london

paris

rome

8

berlin

192.168.85.19-192.168.85.140

rose

apple

orange

9

grape

192.168.85.18-192.168.85.23

lemon

london

africa

10

asia

192.168.85.13-192.168.85.88

europe

america

apple

11

gold

192.168.85.11-192.168.85.39

silver

platinum

palladium

12

africa

192.168.85.46-192.168.85.222

dollar

euro

dinar

13

lira

192.168.85.29-192.168.85.39

gold

spain

brazil

14

china

192.168.85.22-192.168.85.72

tunisia

dollar

ferrari

15

lexus

192.168.85.24-192.168.85.85

porsche

bentley

spain

16

red

192.168.85.21-192.168.85.29

green

black

blue

17

ferrari

192.168.85.41-192.168.85.100

french

english

italian

18

spanish

192.168.85.71-192.168.85.77

red

tennis

cycling

19

golf

192.168.85.88-192.168.85.101

football

french

nile

20

amazon

192.168.85.99-192.168.85.120

congo

amur

tennis

21

domamar

192.168.85.8-192.168.85.60

adulath

alendatrem

etaun

22

nile

192.168.85.5-192.168.85.51

oniach

cadus

thelannor

23

nydareg

192.168.85.11-192.168.85.54

domamar

jerelali

gwendalin

24

firatha

192.168.85.33-192.168.85.210

agrardoldan

oniach

thoali

25

adirebwyn

192.168.85.4-192.168.85.101

nydalenad

nynad

jerelali

26

ethidus

192.168.85.5-192.168.85.222

ocoha

abaedan

wiciranydd

27

thoali

192.168.85.88-192.168.85.223

afaenydd

hoav

laro

28

erealoth

192.168.85.4-192.168.85.25

ethidus

gweand

deikin

29

miraem

192.168.85.4-192.168.85.33

eowalidric

afaenydd

unay

30

adwerranyth

192.168.85.2-192.168.85.37

groebard

chaligord

gweand

Приклад виконання 30-го варіанту завдань

  1.  Для початку встановимо всі необхідні пакети:

#cd /home/asd/packages

#pkg_add mpd-5.6.tbz

#pkg_add squid-2.7.9_1.tbz

  1.  Налаштуємо MPD5

Створюємо конфігураційні файли:

#touch /usr/local/etc/mpd5/mpd.conf

#touch /usr/local/etc/mpd5/mpd.secret

Заповнимо mpd.conf:

#ee /usr/local/etc/mpd5/mpd.conf

startup:

       # Юзер з правами адміна Логін: foo, Пароль: bar

       set user foo bar admin

       set user foo1 bar1

       # Потрібно щоб підключиться по Телнет через 5005 порт

       set console self 127.0.0.1 5005

       set console open

       # Потрібно щоб підключиться по http через 5006 порт

       set web self 127.0.0.1 5006

       set web open

default:

       load pptp_server

pptp_server:

# Діапазон IP адреса,

# Який прісвоется VPN девайсу.

       set ippool add pool1 192.168.85.2 192.168.85.37

# Створення шаблонів клонованої розшарування ім'ям B.

       create bundle template B

       set iface enable proxy-arp

       set iface idle 1800

       set iface enable tcpmssfix

       set ipcp yes vjcomp

# Вкажіть IP-адрес для динамічного призначення.

       set ipcp ranges 192.168.85.1/32 ippool pool1

       set ipcp dns 10.18.51.1

# П'ять рядків нижче дозволяють Microsoft Точка-Точка шифрування

# (MPPE) за допомогою ng_mppc (8) Netgraph тип вузла.

       set bundle enable compression

       set ccp yes mppc

       set mppc yes e40

       set mppc yes e128

       set mppc yes stateless

# Створення інтерактивних шаблонів посилання з ім'ям L.

       create link template L pptp

# Встановити комплект шаблону, щоб використовувати.

       set link action bundle B

# Multilink додає деякі накладні витрати, але дає повний 1500 MTU.

       set link enable multilink

       set link yes acfcomp protocomp

       set link no pap chap

       set link enable chap

       set link keep-alive 10 60

# Ми скорочення посилання MTU, щоб уникнути фрагментації пакетів GRE

       set link mtu 1460

# Configure PPTP

# Зовнішній IP на якому буде прослуховуватися з'єднання

       set pptp self 10.18.51.1

# Дозволити приймати дзвінки.

       set link enable incoming

Заповнимо mpd.secret задавши користувачів відповідно варіанту, а також придумаємо паролі для них:

#ee /usr/local/etc/mpd5/mpd.secret

adwerranyth     123123

groebard     321321

chaligord     123123

gweand     321321

Дозволимо запуск пакету:

#echo 'mpd_enable="YES"' >> /etc/rc.conf

#echo 'mpd_flags="-b"' >> /etc/rc.conf

На ee /etc/syslog.conf лаштуємо правильне логування в окремий файл:

#ee /etc/syslog.conf

додамо вкінці:

!mpd

*.*     /var/log/mpd.log

Створимо заданий файл:

#touch /var/log/mpd.log

#chmod 600 /var/log/mpd.log

Перезавантажимо syslog щоб застосувати нові налаштування:

#/etc/rc.d/syslogd reload

Запустим сервер:

#/usr/local/etc/rc.d/mpd5 start

Щоб переглянути логи виконаємо команду:

#tail -f /var/log/mpd.log

  1.  Налаштуємо Squid

Редагуємо файл squid.conf, додамо лише один параметр який дозволяє використовувати проксі сервер як прозорий:

#echo 'http_port 127.0.0.1:3129 transparent' >> /usr/local/etc/squid/squid.conf

Створимо директорію для кешування:

#squid –z

Дозволимо запуск пакету:

#echo 'squid_enable="YES"' >> /etc/rc.conf

Запустим сервер:

#/usr/local/etc/rc.d/squid start

  1.  Налаштування IPFW:

Для того щоб по VPN можна було отримувати Інтернет необхідно використати функцію пере направлення (forwarding) або технологію трансляції адрес (NAT, з цією технологією було детально ознайомлено в лабораторній роботі 7). Для себе використаємо дві технології одночасно, веб-сторінки будуть працювати через прозорий проксі а всі інші порти будуть передаватись через NAT. Для налаштування IPFW відредагуємо скрипт ланцюга правил rc.firewoll.

#ee /etc/rc.firewall

Приведемо до такого вигляду:

#!/bin/sh

FwCMD="/sbin/ipfw" # власне де лежить бінарники ipfw

# Скидаємо всі правила:

${FwCMD} -f flush

# Перевіряємо - чи відповідає пакет динамічним правилами:

${FwCMD} add check-state

# Виконання завдання

${FwCMD} add 100 fwd 127.0.0.1,3129 tcp from 192.168.85.0/24 to any dst-port 80

${FwCMD} nat 1 config log if em0 reset same_ports deny_in

${FwCMD} add 101 nat 1 ip from any to any via em0

${FwCMD} add 10000 allow all from any to any

Застосуємо зміни:

#sh /etc/rc.firewall

  1.  Складність налаштування:

Якщо джерелом Інтернету являється сторонній проксі-сервер (як в університеті), то необхідно виконати такі команди для перенаправлення запросів локально проксі-сервера на віддалений:

#echo 'cache_peer proxy.lan parent 3128 0 no-query default' >> /usr/local/etc/squid/squid.conf

Замість proxy.lan і 3128 повинна стояти реальна адреса і порт віддаленого проксі-сервера, з якого система отримуватиме Інтернет. А також додамо допоміжний параметр для вирішення проблеми роботи з захищеним з’єднанням (хоча воно не використовується в даній лабораторній роботі, але це є досить проблематичним параметрам при налаштуванні ріальних серверів):

#echo 'never_direct allow all' >> /usr/local/etc/squid/squid.conf

  1.  Пряме підключення фізичної мережі до віртуальної машини:

Коли з на реальній машині підключається VPN з’єднання доступ до Інтернету за замовченням йде через нього, так як віртуальна машина отримує Інтернет через NAT з реальної машини, перевірити працездатність роздачі Інтернету неможливо, бо відбувається замкнуте коло. Щоб вийти з цієї ситуації необхідно фізично підключити інтерфейс (може бути і Wi-Fi адаптер) з якого реальний комп’ютер отримує Інтернет (можливо навіть мережу в якій знаходиться проксі-сервер, як в університеті) до віртуальної машини, і провести первинні налаштування IP-адреси/DHCP. Для цього необхідно обрати фізичний інтерфейс в налаштуваннях мережі віртуальної машини, як показано на рисунку:

5

4

3

2

1

  1.  Перевірка роботи сервера:

Для початку створимо нове VPN підключення (Windows 8):

2

1

1

2

1

1

Задамо адресу сервера

2

1

3

2

1

1

                          

На рисунку видно, що є доступ до Інтернету по VPN з’єднанню.

1

Інтернет на 80 TCP порт працює через прозорий Proxy Server Squid, що підтверджує сайт 2ip.ru

1

Література

  1.  http://www.lissyara.su/articles/freebsd/tuning/mpd5_vpn/
  2.  http://www.lissyara.su/articles/freebsd/programms/squid+ad/

 

А также другие работы, которые могут Вас заинтересовать

30803. Подача Б-смеси в конструкции. Способы подачи 13.91 KB
  Способы подачи бетонной смеси. Подача бет. – бетон. при бетонировании подземных сооружений бет.
30804. Способы укладки Б-смеси. Требования при укладке Б-смеси в конструкции с уплотнением 16.62 KB
  Способы укладки Бсмеси. Требования при укладке Бсмеси в конструкции с уплотнением. Основные требования к укладке бетонной смеси: Ограничение высоты падения бетонной смеси плиты до 1м колонны 5 м остальное 2м Послойная укладка с уплотнением каждого слоя; Для обеспечен. Задача процесса уплотнения бетонной смеси состоит в предельной упаковке различных по форме и величине частиц составляющих многокомпонентный конгломерат бетонной смеси.
30805. Уплотнение бетонной смеси вибрированием. Типы вибраторов. Признаки достаточности 16.61 KB
  По способу воздействия на уплотняемую бетонную смесь различают вибраторы глубинные поверхностные и наружные прикрепляемые тисками к опалубке Глубинные вибраторы выполняют с электро или пневмодвигателем встроенным в наконечник вибробулава с электродвигателем вынесенным к ручке и с вынесенным к ручке двигателем и гибким валом. При бетонировании мало и средне армированных конструкций применяют глубинные вибраторы с встроенным в корпус вибровозбудителем вибробулавы диаметром 76 114 и 133 мм с частотой от 5700 до 11000 мин....
30806. Устройство рабочих швов 13.91 KB
  В изгибаемых конструкциях рабочие швы располагают в местах с наименьшим влиянием на прочность конструкции. В колоннах швы устраивают на уровне верха фундамента у низа прогонов балок или подкрановых консолей; в колоннах безбалочных перекрытий у низа или верха вута в рамах между стойкой и ригелем. При подготовке к очередному бетонированию швы обрабатывают через 8.
30807. Уход за бетоном в процессе твердения. Распалубливание конструкций 16.32 KB
  Открытую поверхность бетона прежде всего предохраняют от вредного воздействия прямых солнечных лучей ветра и дождя. Если поверхность бетона предварительно была укрыта влагоемкими материалами брезентом матами песком и др. В жарком сухом климате если не обеспечить благоприятных температурновлажностных условий твердения прочность бетона снижается на 15. В начальный период ухода за бетоном не следует обильной поливкой сразу после укладки нарушать структуру твердеющего бетона.
30808. Бетонирование массивов и фундаментов 14.03 KB
  В фундаменты и массивы в зависимости от объема заглубления высоты и других особенностей бетонную смесь укладывают по следующим технологическим схемам: с разгрузкой смеси из транспортного прибора непосредственно в опалубку с передвижного моста или эстакады с помощью вибропитателей и виброжелобов бетоноукладчиков бетононасосов бадьями с помощью кранов. В ступенчатые фундаменты с общей высотой до 3 м и площадью нижней ступени до 6 м2 смесь подают через верхний край опалубки предусматривая меры против смещения анкерных болтов и закладных...
30809. Бетонирование полов 15.33 KB
  Для осуществления процесса укладки плиты разбивают на карты. Если толщина плит меньше 05 м то разбивку на карты и укладку бетона ведут в таком порядке: Площадь делят на картыполосы по 34м Устанавливают по краям полос маячные доски. При большей толщине плиты разбивают на параллельные карты шириной 5. Карты бетонируют подряд т.
30810. Сетевые и локальные СУБД 12.74 KB
  Существенной проблемой СУБД такого типа является синхронизация копий данных именно поэтому для решения задач требующих совместной работы нескольких пользователей локальные СУБД фактически не используются. К сетевым относятся файлсерверные клиентсерверные и распределенные СУБД. В файлсерверных СУБД все данные обычно размещаются в одном или нескольких каталогах достаточно мощной машины специально выделенной для этих целей и постоянно подключенной к сети.
30811. Процес нормализации баз данных 16.04 KB
  Например задано следующее отношение: ПРЕДМЕТ Код предмета. Переведем атрибут с повторяющимися значениями в новую сущность назначим ей первичный ключ Код преподавателя и свяжем с исходной сущностью ссылкой на ее первичный ключ Код предмета. В результате получим две сущности причем во вторую сущность добавятся характеризующие ее атрибуты: ПРЕДМЕТ Код предмета. Название Цикл Объем часов; ПРЕПОДАВАТЕЛЬ Код преподавателя ФИО Должность Оклад Адрес Код предмета.