Định cấu hình máy khách SSTP trên Debian


11

Tôi sẽ cần kết nối máy chủ Debian (ổn định) của mình với máy chủ Windows Server 2008R2, hoạt động như một máy chủ SSTP VPN. Tôi đã quản lý để cài đặt sstp-client trên máy chủ Debian của mình, nhưng tôi không biết cách định cấu hình kết nối để tôi có thể chạy nó trong nền. Hơn nữa, có khá nhiều điều mà tôi không hiểu về toàn bộ quá trình cấu hình.

Theo một số lời khuyên tôi tìm thấy trên Internet, tôi đã vô hiệu hóa xác thực máy chủ từ xa bằng cách thêm noauthvào /etc/ppp/options. Hơn nữa, tôi đã thêm có các tùy chọn refuse-pap, refuse-eap, refuse-chap, refuse-mschaprequire mppeđể lực lượng xác thực MS-CHAP-v2 (máy chủ Windows được cấu hình để chấp nhận điều đó và không phải là những người khác).

Nếu tôi chạy từ thiết bị đầu cuối

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

kết nối hoạt động và mở một thiết bị đầu cuối khác, tôi có thể truy cập một trang web chỉ có thể được truy cập qua VPN.

Tôi đã cố gắng tạo tập tin etc/ppp/peers/sstp-1với nội dung

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

và sau đó chạy từ dòng lệnh sudo pon sstp-1. Kết nối không thành công và sudo ploghiển thị

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

Tôi có một vài câu hỏi liên quan đến tất cả điều này:

  1. Làm cách nào để thiết lập /etc/ppp/peers/sstp-1để tôi có thể kết nối / ngắt kết nối với VPN ở chế độ nền (sẽ được sử dụng trong tập lệnh)?
  2. Máy chủ Windows mã hóa lưu lượng VPN bằng chứng chỉ tự ký. Tại sao, bằng cách sử dụng cấu hình kết nối ở trên, tôi không cần phải cài đặt chứng chỉ trên máy khách? Là lưu lượng được mã hóa ở tất cả?

Cảm ơn bạn đã có trước, Joel Lehikoinen

Câu trả lời:


4
  1. Những gì đã phá vỡ cấu hình được cung cấp --user--passwordnhư các tùy chọn dòng lệnh trên dòng bắt đầu bằng pty. Tên người dùng đã được cung cấp trên dòng tiếp theo và mật khẩu sẽ được cung cấp /etc/ppp/chap-secrets. Sự cố đã được khắc phục bằng cách thay đổi dòng đó thành

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
    

    Ngoài ra, không cần chỉnh sửa /etc/ppp/options, vì các tham số cấu hình đã được cung cấp trong tệp cấu hình SSTP/etc/ppp/peers/sstp-1

  2. Dường như, ít nhất là với noauthtùy chọn mà tôi nghĩ sẽ chỉ vô hiệu hóa xác thực máy chủ trong PPP, sstp-client cũng chấp nhận chứng chỉ máy chủ SSL tự ký mà không có bất kỳ khiếu nại nào.

    Như một cách giải quyết, một khả năng dường như là tạo chứng chỉ CA tự ký, ký chứng chỉ máy chủ với điều đó và cung cấp --ca-cert /path/to/snakeoil-ca.pemdưới dạng tùy chọn dòng lệnh cho sstp-client (nghĩa là trên dòng "pty" của tệp ), ràng buộc chứng chỉ SSL máy chủ thành một giá trị đã biết.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.