71367

Побудова VPN сервера

Лабораторная работа

Информатика, кибернетика и программирование

Коли з на реальній машині підключається VPN з’єднання доступ до Інтернету за замовченням йде через нього, так як віртуальна машина отримує Інтернет через NAT з реальної машини, перевірити працездатність роздачі Інтернету неможливо, бо відбувається замкнуте коло.

Украинкский

2014-11-05

1.42 MB

0 чел.

Лабораторна робота 15 

Построение VPN сервера

Налаштувати VPN PPTP сервер, для роздачі Інтернету через прозорий проксі сервер Squid. Варіанти завдань:

№ вар.

Віртуальні користувачі

Діапазон адрес на видачу сервером

1

omega

192.168.85.81-192.168.85.104

fralewan

nydendash

biralath

2

black

192.168.85.49-192.168.85.115

blue

ferrari

french

3

rhili

192.168.85.44-192.168.85.201

alpha

mercury

venus

4

earth

192.168.85.56-192.168.85.124

mars

fralewan

tiger

5

lion

192.168.85.14-192.168.85.123

lynx

leopard

mercury

6

rose

192.168.85.14-192.168.85.180

tulip

narcissus

aster

7

tiger

192.168.85.147-192.168.85.222

london

paris

rome

8

berlin

192.168.85.19-192.168.85.140

rose

apple

orange

9

grape

192.168.85.18-192.168.85.23

lemon

london

africa

10

asia

192.168.85.13-192.168.85.88

europe

america

apple

11

gold

192.168.85.11-192.168.85.39

silver

platinum

palladium

12

africa

192.168.85.46-192.168.85.222

dollar

euro

dinar

13

lira

192.168.85.29-192.168.85.39

gold

spain

brazil

14

china

192.168.85.22-192.168.85.72

tunisia

dollar

ferrari

15

lexus

192.168.85.24-192.168.85.85

porsche

bentley

spain

16

red

192.168.85.21-192.168.85.29

green

black

blue

17

ferrari

192.168.85.41-192.168.85.100

french

english

italian

18

spanish

192.168.85.71-192.168.85.77

red

tennis

cycling

19

golf

192.168.85.88-192.168.85.101

football

french

nile

20

amazon

192.168.85.99-192.168.85.120

congo

amur

tennis

21

domamar

192.168.85.8-192.168.85.60

adulath

alendatrem

etaun

22

nile

192.168.85.5-192.168.85.51

oniach

cadus

thelannor

23

nydareg

192.168.85.11-192.168.85.54

domamar

jerelali

gwendalin

24

firatha

192.168.85.33-192.168.85.210

agrardoldan

oniach

thoali

25

adirebwyn

192.168.85.4-192.168.85.101

nydalenad

nynad

jerelali

26

ethidus

192.168.85.5-192.168.85.222

ocoha

abaedan

wiciranydd

27

thoali

192.168.85.88-192.168.85.223

afaenydd

hoav

laro

28

erealoth

192.168.85.4-192.168.85.25

ethidus

gweand

deikin

29

miraem

192.168.85.4-192.168.85.33

eowalidric

afaenydd

unay

30

adwerranyth

192.168.85.2-192.168.85.37

groebard

chaligord

gweand

Приклад виконання 30-го варіанту завдань

  1.  Для початку встановимо всі необхідні пакети:

#cd /home/asd/packages

#pkg_add mpd-5.6.tbz

#pkg_add squid-2.7.9_1.tbz

  1.  Налаштуємо MPD5

Створюємо конфігураційні файли:

#touch /usr/local/etc/mpd5/mpd.conf

#touch /usr/local/etc/mpd5/mpd.secret

Заповнимо mpd.conf:

#ee /usr/local/etc/mpd5/mpd.conf

startup:

       # Юзер з правами адміна Логін: foo, Пароль: bar

       set user foo bar admin

       set user foo1 bar1

       # Потрібно щоб підключиться по Телнет через 5005 порт

       set console self 127.0.0.1 5005

       set console open

       # Потрібно щоб підключиться по http через 5006 порт

       set web self 127.0.0.1 5006

       set web open

default:

       load pptp_server

pptp_server:

# Діапазон IP адреса,

# Який прісвоется VPN девайсу.

       set ippool add pool1 192.168.85.2 192.168.85.37

# Створення шаблонів клонованої розшарування ім'ям B.

       create bundle template B

       set iface enable proxy-arp

       set iface idle 1800

       set iface enable tcpmssfix

       set ipcp yes vjcomp

# Вкажіть IP-адрес для динамічного призначення.

       set ipcp ranges 192.168.85.1/32 ippool pool1

       set ipcp dns 10.18.51.1

# П'ять рядків нижче дозволяють Microsoft Точка-Точка шифрування

# (MPPE) за допомогою ng_mppc (8) Netgraph тип вузла.

       set bundle enable compression

       set ccp yes mppc

       set mppc yes e40

       set mppc yes e128

       set mppc yes stateless

# Створення інтерактивних шаблонів посилання з ім'ям L.

       create link template L pptp

# Встановити комплект шаблону, щоб використовувати.

       set link action bundle B

# Multilink додає деякі накладні витрати, але дає повний 1500 MTU.

       set link enable multilink

       set link yes acfcomp protocomp

       set link no pap chap

       set link enable chap

       set link keep-alive 10 60

# Ми скорочення посилання MTU, щоб уникнути фрагментації пакетів GRE

       set link mtu 1460

# Configure PPTP

# Зовнішній IP на якому буде прослуховуватися з'єднання

       set pptp self 10.18.51.1

# Дозволити приймати дзвінки.

       set link enable incoming

Заповнимо mpd.secret задавши користувачів відповідно варіанту, а також придумаємо паролі для них:

#ee /usr/local/etc/mpd5/mpd.secret

adwerranyth     123123

groebard     321321

chaligord     123123

gweand     321321

Дозволимо запуск пакету:

#echo 'mpd_enable="YES"' >> /etc/rc.conf

#echo 'mpd_flags="-b"' >> /etc/rc.conf

На ee /etc/syslog.conf лаштуємо правильне логування в окремий файл:

#ee /etc/syslog.conf

додамо вкінці:

!mpd

*.*     /var/log/mpd.log

Створимо заданий файл:

#touch /var/log/mpd.log

#chmod 600 /var/log/mpd.log

Перезавантажимо syslog щоб застосувати нові налаштування:

#/etc/rc.d/syslogd reload

Запустим сервер:

#/usr/local/etc/rc.d/mpd5 start

Щоб переглянути логи виконаємо команду:

#tail -f /var/log/mpd.log

  1.  Налаштуємо Squid

Редагуємо файл squid.conf, додамо лише один параметр який дозволяє використовувати проксі сервер як прозорий:

#echo 'http_port 127.0.0.1:3129 transparent' >> /usr/local/etc/squid/squid.conf

Створимо директорію для кешування:

#squid –z

Дозволимо запуск пакету:

#echo 'squid_enable="YES"' >> /etc/rc.conf

Запустим сервер:

#/usr/local/etc/rc.d/squid start

  1.  Налаштування IPFW:

Для того щоб по VPN можна було отримувати Інтернет необхідно використати функцію пере направлення (forwarding) або технологію трансляції адрес (NAT, з цією технологією було детально ознайомлено в лабораторній роботі 7). Для себе використаємо дві технології одночасно, веб-сторінки будуть працювати через прозорий проксі а всі інші порти будуть передаватись через NAT. Для налаштування IPFW відредагуємо скрипт ланцюга правил rc.firewoll.

#ee /etc/rc.firewall

Приведемо до такого вигляду:

#!/bin/sh

FwCMD="/sbin/ipfw" # власне де лежить бінарники ipfw

# Скидаємо всі правила:

${FwCMD} -f flush

# Перевіряємо - чи відповідає пакет динамічним правилами:

${FwCMD} add check-state

# Виконання завдання

${FwCMD} add 100 fwd 127.0.0.1,3129 tcp from 192.168.85.0/24 to any dst-port 80

${FwCMD} nat 1 config log if em0 reset same_ports deny_in

${FwCMD} add 101 nat 1 ip from any to any via em0

${FwCMD} add 10000 allow all from any to any

Застосуємо зміни:

#sh /etc/rc.firewall

  1.  Складність налаштування:

Якщо джерелом Інтернету являється сторонній проксі-сервер (як в університеті), то необхідно виконати такі команди для перенаправлення запросів локально проксі-сервера на віддалений:

#echo 'cache_peer proxy.lan parent 3128 0 no-query default' >> /usr/local/etc/squid/squid.conf

Замість proxy.lan і 3128 повинна стояти реальна адреса і порт віддаленого проксі-сервера, з якого система отримуватиме Інтернет. А також додамо допоміжний параметр для вирішення проблеми роботи з захищеним з’єднанням (хоча воно не використовується в даній лабораторній роботі, але це є досить проблематичним параметрам при налаштуванні ріальних серверів):

#echo 'never_direct allow all' >> /usr/local/etc/squid/squid.conf

  1.  Пряме підключення фізичної мережі до віртуальної машини:

Коли з на реальній машині підключається VPN з’єднання доступ до Інтернету за замовченням йде через нього, так як віртуальна машина отримує Інтернет через NAT з реальної машини, перевірити працездатність роздачі Інтернету неможливо, бо відбувається замкнуте коло. Щоб вийти з цієї ситуації необхідно фізично підключити інтерфейс (може бути і Wi-Fi адаптер) з якого реальний комп’ютер отримує Інтернет (можливо навіть мережу в якій знаходиться проксі-сервер, як в університеті) до віртуальної машини, і провести первинні налаштування IP-адреси/DHCP. Для цього необхідно обрати фізичний інтерфейс в налаштуваннях мережі віртуальної машини, як показано на рисунку:

5

4

3

2

1

  1.  Перевірка роботи сервера:

Для початку створимо нове VPN підключення (Windows 8):

2

1

1

2

1

1

Задамо адресу сервера

2

1

3

2

1

1

                          

На рисунку видно, що є доступ до Інтернету по VPN з’єднанню.

1

Інтернет на 80 TCP порт працює через прозорий Proxy Server Squid, що підтверджує сайт 2ip.ru

1

Література

  1.  http://www.lissyara.su/articles/freebsd/tuning/mpd5_vpn/
  2.  http://www.lissyara.su/articles/freebsd/programms/squid+ad/

 

А также другие работы, которые могут Вас заинтересовать

79376. Основные причины вынужденного автономного существования 49 KB
  Нахождение человека в сложных условиях изолированности когда ограничена или исключена вероятность помощи и возможность использования технических и других достижений. Основные причины вынужденного автономного существования АС в природных условиях схему...
79377. Автономное существование человека в условиях природной среды 57 KB
  Способствующие: хорошее здоровье, высокие морально-волевые качества, психофизиологическая устойчивость организма, наличие средств для жизнедеятельности в экстремальных условиях (одежда, снаряжение водно-пищевой запас), подготовленность к действиям в экстремальных условиях.
79378. Комп’ютери бувають різні 66.5 KB
  Мета: сформувати уявлення про види комп’ютерів; розглянути види комп’ютерів та сфери їх застосування; повторити правила безпечної роботи та поведінки в комп’ютерному класі правила вибору переміщення об’єктів; вчити робити висновки узагальнення доводити власну думку...
79379. ПРАВИЛА БЕЗОПАСНОГО ПОВЕДЕНИЯ В СИТУАЦИЯХ КРИМИНОГЕННОГО ХАРАКТЕРА 36.5 KB
  Не держите деньги в карманах в которые легко проникнуть вору. Ключи и кошелек храните во внутренних карманах При выходе из дома в темное время суток избегайте малолюдных и плохо освещенных мест пустынных парков и скверов; на улице держитесь подальше от стен домов.
79380. Относительное позиционирование 85.5 KB
  Смещение в этом случае будет происходить не относительно «родительского» элемента (как при абсолютном позиционировании), а относительно самого блока в нормальном потоке. Это будет понятнее на примере. Пусть у нас есть html-страница с тремя div-ами...
79381. УГОЛОВНАЯ ОТВЕСТВЕННОСТЬ НЕСОВЕРШЕННОЛЕТНИХ. ПОНЯТИЕ ПРСТУПЛЕНИЯ. ОСОБЕННОСТИ УГОЛОВНОЙ ОТВЕТСТВЕННОСТИ НЕСОВЕРШЕННОЛЕТНИХ 16.78 KB
  Лишение свободы на определенный срок в возрасте до 16 лет на срок до 6 лет. Если за особо тяжкое преступления с санкцией до 10 лет несовершеннолетним назначается отбытие в воспитательных колониях. М.Б. наказание в виде лишения свободы и за небольшой и средней тяжести преступления, есл преступления совершены впервые.
79382. УГОЛОВНАЯ ОТВЕСТВЕННОСТЬ ЗА ХУЛИГАНСТВО, ВАНДАЛИЗМ, НАДРУГАТЕЛЬСТВО, ЗА ПРИВЕДЕНИЕ В НЕГОДНОСТЬ ТРАНСПОРТНЫХ СРЕДСТВ 19.16 KB
  Грубое нарушение общественного порядка: действия причинившие существенный ущерб личным или общественным интересам либо выразившееся в злостном нарушении общественной нравственности Примеры: срыв общественного мероприятия нарушение покоя и отдыха граждан в ночное время распитие спиртных...
79383. ПРАВИЛА ПОВЕДЕНИЯ В УСЛОВИЯХ ЧС ПРИРОДНОГО И ТЕХНОГЕННОГО ХАРАКТЕРА 55 KB
  Способы оповещения и управления эвакуацией людей при пожаре: подачей звуковых и или световых сигналов во все помещения здания с постоянным или временным пребыванием людей; трансляцией текстов директор школы зам. директора о необходимости эвакуации путях эвакуации направлении...