71367

Побудова VPN сервера

Лабораторная работа

Информатика, кибернетика и программирование

Коли з на реальній машині підключається VPN з’єднання доступ до Інтернету за замовченням йде через нього, так як віртуальна машина отримує Інтернет через NAT з реальної машини, перевірити працездатність роздачі Інтернету неможливо, бо відбувається замкнуте коло.

Украинкский

2014-11-05

1.42 MB

0 чел.

Лабораторна робота 15 

Построение VPN сервера

Налаштувати VPN PPTP сервер, для роздачі Інтернету через прозорий проксі сервер Squid. Варіанти завдань:

№ вар.

Віртуальні користувачі

Діапазон адрес на видачу сервером

1

omega

192.168.85.81-192.168.85.104

fralewan

nydendash

biralath

2

black

192.168.85.49-192.168.85.115

blue

ferrari

french

3

rhili

192.168.85.44-192.168.85.201

alpha

mercury

venus

4

earth

192.168.85.56-192.168.85.124

mars

fralewan

tiger

5

lion

192.168.85.14-192.168.85.123

lynx

leopard

mercury

6

rose

192.168.85.14-192.168.85.180

tulip

narcissus

aster

7

tiger

192.168.85.147-192.168.85.222

london

paris

rome

8

berlin

192.168.85.19-192.168.85.140

rose

apple

orange

9

grape

192.168.85.18-192.168.85.23

lemon

london

africa

10

asia

192.168.85.13-192.168.85.88

europe

america

apple

11

gold

192.168.85.11-192.168.85.39

silver

platinum

palladium

12

africa

192.168.85.46-192.168.85.222

dollar

euro

dinar

13

lira

192.168.85.29-192.168.85.39

gold

spain

brazil

14

china

192.168.85.22-192.168.85.72

tunisia

dollar

ferrari

15

lexus

192.168.85.24-192.168.85.85

porsche

bentley

spain

16

red

192.168.85.21-192.168.85.29

green

black

blue

17

ferrari

192.168.85.41-192.168.85.100

french

english

italian

18

spanish

192.168.85.71-192.168.85.77

red

tennis

cycling

19

golf

192.168.85.88-192.168.85.101

football

french

nile

20

amazon

192.168.85.99-192.168.85.120

congo

amur

tennis

21

domamar

192.168.85.8-192.168.85.60

adulath

alendatrem

etaun

22

nile

192.168.85.5-192.168.85.51

oniach

cadus

thelannor

23

nydareg

192.168.85.11-192.168.85.54

domamar

jerelali

gwendalin

24

firatha

192.168.85.33-192.168.85.210

agrardoldan

oniach

thoali

25

adirebwyn

192.168.85.4-192.168.85.101

nydalenad

nynad

jerelali

26

ethidus

192.168.85.5-192.168.85.222

ocoha

abaedan

wiciranydd

27

thoali

192.168.85.88-192.168.85.223

afaenydd

hoav

laro

28

erealoth

192.168.85.4-192.168.85.25

ethidus

gweand

deikin

29

miraem

192.168.85.4-192.168.85.33

eowalidric

afaenydd

unay

30

adwerranyth

192.168.85.2-192.168.85.37

groebard

chaligord

gweand

Приклад виконання 30-го варіанту завдань

  1.  Для початку встановимо всі необхідні пакети:

#cd /home/asd/packages

#pkg_add mpd-5.6.tbz

#pkg_add squid-2.7.9_1.tbz

  1.  Налаштуємо MPD5

Створюємо конфігураційні файли:

#touch /usr/local/etc/mpd5/mpd.conf

#touch /usr/local/etc/mpd5/mpd.secret

Заповнимо mpd.conf:

#ee /usr/local/etc/mpd5/mpd.conf

startup:

       # Юзер з правами адміна Логін: foo, Пароль: bar

       set user foo bar admin

       set user foo1 bar1

       # Потрібно щоб підключиться по Телнет через 5005 порт

       set console self 127.0.0.1 5005

       set console open

       # Потрібно щоб підключиться по http через 5006 порт

       set web self 127.0.0.1 5006

       set web open

default:

       load pptp_server

pptp_server:

# Діапазон IP адреса,

# Який прісвоется VPN девайсу.

       set ippool add pool1 192.168.85.2 192.168.85.37

# Створення шаблонів клонованої розшарування ім'ям B.

       create bundle template B

       set iface enable proxy-arp

       set iface idle 1800

       set iface enable tcpmssfix

       set ipcp yes vjcomp

# Вкажіть IP-адрес для динамічного призначення.

       set ipcp ranges 192.168.85.1/32 ippool pool1

       set ipcp dns 10.18.51.1

# П'ять рядків нижче дозволяють Microsoft Точка-Точка шифрування

# (MPPE) за допомогою ng_mppc (8) Netgraph тип вузла.

       set bundle enable compression

       set ccp yes mppc

       set mppc yes e40

       set mppc yes e128

       set mppc yes stateless

# Створення інтерактивних шаблонів посилання з ім'ям L.

       create link template L pptp

# Встановити комплект шаблону, щоб використовувати.

       set link action bundle B

# Multilink додає деякі накладні витрати, але дає повний 1500 MTU.

       set link enable multilink

       set link yes acfcomp protocomp

       set link no pap chap

       set link enable chap

       set link keep-alive 10 60

# Ми скорочення посилання MTU, щоб уникнути фрагментації пакетів GRE

       set link mtu 1460

# Configure PPTP

# Зовнішній IP на якому буде прослуховуватися з'єднання

       set pptp self 10.18.51.1

# Дозволити приймати дзвінки.

       set link enable incoming

Заповнимо mpd.secret задавши користувачів відповідно варіанту, а також придумаємо паролі для них:

#ee /usr/local/etc/mpd5/mpd.secret

adwerranyth     123123

groebard     321321

chaligord     123123

gweand     321321

Дозволимо запуск пакету:

#echo 'mpd_enable="YES"' >> /etc/rc.conf

#echo 'mpd_flags="-b"' >> /etc/rc.conf

На ee /etc/syslog.conf лаштуємо правильне логування в окремий файл:

#ee /etc/syslog.conf

додамо вкінці:

!mpd

*.*     /var/log/mpd.log

Створимо заданий файл:

#touch /var/log/mpd.log

#chmod 600 /var/log/mpd.log

Перезавантажимо syslog щоб застосувати нові налаштування:

#/etc/rc.d/syslogd reload

Запустим сервер:

#/usr/local/etc/rc.d/mpd5 start

Щоб переглянути логи виконаємо команду:

#tail -f /var/log/mpd.log

  1.  Налаштуємо Squid

Редагуємо файл squid.conf, додамо лише один параметр який дозволяє використовувати проксі сервер як прозорий:

#echo 'http_port 127.0.0.1:3129 transparent' >> /usr/local/etc/squid/squid.conf

Створимо директорію для кешування:

#squid –z

Дозволимо запуск пакету:

#echo 'squid_enable="YES"' >> /etc/rc.conf

Запустим сервер:

#/usr/local/etc/rc.d/squid start

  1.  Налаштування IPFW:

Для того щоб по VPN можна було отримувати Інтернет необхідно використати функцію пере направлення (forwarding) або технологію трансляції адрес (NAT, з цією технологією було детально ознайомлено в лабораторній роботі 7). Для себе використаємо дві технології одночасно, веб-сторінки будуть працювати через прозорий проксі а всі інші порти будуть передаватись через NAT. Для налаштування IPFW відредагуємо скрипт ланцюга правил rc.firewoll.

#ee /etc/rc.firewall

Приведемо до такого вигляду:

#!/bin/sh

FwCMD="/sbin/ipfw" # власне де лежить бінарники ipfw

# Скидаємо всі правила:

${FwCMD} -f flush

# Перевіряємо - чи відповідає пакет динамічним правилами:

${FwCMD} add check-state

# Виконання завдання

${FwCMD} add 100 fwd 127.0.0.1,3129 tcp from 192.168.85.0/24 to any dst-port 80

${FwCMD} nat 1 config log if em0 reset same_ports deny_in

${FwCMD} add 101 nat 1 ip from any to any via em0

${FwCMD} add 10000 allow all from any to any

Застосуємо зміни:

#sh /etc/rc.firewall

  1.  Складність налаштування:

Якщо джерелом Інтернету являється сторонній проксі-сервер (як в університеті), то необхідно виконати такі команди для перенаправлення запросів локально проксі-сервера на віддалений:

#echo 'cache_peer proxy.lan parent 3128 0 no-query default' >> /usr/local/etc/squid/squid.conf

Замість proxy.lan і 3128 повинна стояти реальна адреса і порт віддаленого проксі-сервера, з якого система отримуватиме Інтернет. А також додамо допоміжний параметр для вирішення проблеми роботи з захищеним з’єднанням (хоча воно не використовується в даній лабораторній роботі, але це є досить проблематичним параметрам при налаштуванні ріальних серверів):

#echo 'never_direct allow all' >> /usr/local/etc/squid/squid.conf

  1.  Пряме підключення фізичної мережі до віртуальної машини:

Коли з на реальній машині підключається VPN з’єднання доступ до Інтернету за замовченням йде через нього, так як віртуальна машина отримує Інтернет через NAT з реальної машини, перевірити працездатність роздачі Інтернету неможливо, бо відбувається замкнуте коло. Щоб вийти з цієї ситуації необхідно фізично підключити інтерфейс (може бути і Wi-Fi адаптер) з якого реальний комп’ютер отримує Інтернет (можливо навіть мережу в якій знаходиться проксі-сервер, як в університеті) до віртуальної машини, і провести первинні налаштування IP-адреси/DHCP. Для цього необхідно обрати фізичний інтерфейс в налаштуваннях мережі віртуальної машини, як показано на рисунку:

5

4

3

2

1

  1.  Перевірка роботи сервера:

Для початку створимо нове VPN підключення (Windows 8):

2

1

1

2

1

1

Задамо адресу сервера

2

1

3

2

1

1

                          

На рисунку видно, що є доступ до Інтернету по VPN з’єднанню.

1

Інтернет на 80 TCP порт працює через прозорий Proxy Server Squid, що підтверджує сайт 2ip.ru

1

Література

  1.  http://www.lissyara.su/articles/freebsd/tuning/mpd5_vpn/
  2.  http://www.lissyara.su/articles/freebsd/programms/squid+ad/

 

А также другие работы, которые могут Вас заинтересовать

52550. Усі уроки української мови у 9 класі 12.02 MB
  Автори пропонованого посібника в основу розроблених уроків поклали основні чотири змістові лінії: мовленнєву, мовну, діяльнісну й соціокультурну. У зв’язку з цим дібрані методи, прийоми й засоби навчання української мови спрямовані, по-перше, на формування мовних і мовленнєво-комунікативних умінь і навичок, збагачення мовлення лексико-фразеологічними, граматичними і стилістичними засобами; по-друге, на вдосконалення загальнопізнавальних, організаційних і творчих умінь, ціннісних орієнтацій тощо; по-третє, на формування національних і загальнолюдських культурних цінностей за допомогою мовленнєво-ко мунікативного дидактичного матеріалу
52551. Усі уроки фізики 10 клас. Рівень стандарту 72.22 MB
  Мета навчального посібника - надати методичну допомогу вчителям у розподілі навчального матеріалу по уроках та його систематизації. Для кожного уроку визначено мету уроку, тип уроку, демонстрації, план викладу нового матеріалу, а також наведено запитання, які ставляться учням під час викладу нового матеріалу. Викад нового матеріалу може бути сценарієм уроку в діалоговому режимі.
52553. Літературно-музичний вечір «Реве та стогне Дніпр широкий» (до 70-річчя визволення Дніпропетровської області від фашистських загарбників) 1.84 MB
  За героїзм та відвагу при обороні Дніпропетровська командирові 8ої танкової дивізії було присвоєне звання Героя Радянського Союзу. Леніна на виблискуючому крилі літака в металі шаленого полум’я стоїть пам’ятник мужнім льотчикам Героям Радянського Союзу Гомоненку і Вдовенку. На проспекті Правди в затишній алеї встановлено бюст відважному льотчику двічі Герою Радянського Союзу Анатолію Яковичу Брандису. Двічі Герой Радянського Союзу.
52554. Впровадження інтерактивних технологій в освітній процес з метою розвитку мовленнєвої компетентності у дошкільників 56 KB
  План проведення майстер класу для вихователів: п п Зміст роботи Відповідальний Джерела І Вправа Очікування Вихователь методист Базова програма Я у Світі Майстер класи для вихователів ДНЗ випуск№2 упоряд. Настільна гра На гостину до казки III Вправа Очікування підсумок Вихователь методист Матеріал: магнітофон з записами дитячих мелодій стікери кораблики плакат з намальованою річкою маркери конверти з завданнями ілюстрації до різних казок предметні картинки гуашева фарба аркуші А 4 пензлики тампончики...
52555. Ігрова вправа «Народно-поетичні символи України» 95 KB
  У чужій сторонці не так світить і сонце Хочеш собі добра не роби нікому зла За гроші честі не купиш Гра Чи вірите ви що Чи вірите ви що гімн – це колискова пісня Чи вірите ви що вінок – символ молодості і дівоцтва Чи вірите ви що калина державний символ України Чи вірите ви що Павло Чубинський – автор тексту гімну Чи вірите ви що оранжевий і синій – кольори Державного Прапора України Чи вірите ви що лелека – символ працьовитості Чи вірите ви що у тризубі відображено триєдність життя Чи...
52556. Воспитательный час «Если добрый ты…» 54 KB
  Участники и действующие лица: ведущая учительница Незнайка школьный класс поделенный на три команды из числа которых назначаются чтецы и исполнители инсценировок. Входит Незнайка. Незнайка. Скажи пожалуйста как тебя зовут Незнайка.
52557. Інтегроване заняття на тему: Людина починається з добра (з використанням казок В. Сухомлинського) 57 KB
  Діти до кого я привіталася Так я привітала новий день все що оточує нас наших гостей. Добрий день Стук у двері відчинили і внесли лист Діти до нас листоноша приніс листа від Казкаря. Давайте пригадаємо разом ці прислів’я діти пригадують прислів’я. Молодці діти.
52558. Хто людям добра бажає, той сам його здобуває 36.5 KB
  Донести до дитини важливість слова людяний. Удосконалювати вміння добирати слова близькі за значенням. Мовленева вправа Добери слова з протилежним значенням Злий жорстокий співчутливий добрий милосердний. Малюючи кожну пелюсточку промовляйте такі слова щоб довести що кожен із вас – справжній друг.