Linuxseite - RAS und mehr | ||
Home » PPTP VPN
|
www.ing-wendler.de |
|
VerfahrenDer Client2 will auf das lokale Netz zugreifen um z.B. auf den Sever1 Daten abzuholen, oder auf dem Client1 eine VNC Session aufzumachen. Dazu muss der Router1 mit dem Internet verbunden sein und der Client2 muss sich ins Internet einwählen. Dank der Volumentarif und T-DSL ist das kein Problem. Nun muss sich der Client2 eine pptp Verbindung zum Server1 aufmachen, da dort sein pptp Partner der pptpd läuft. Dazu verbindet er sich mit dem Router1, der auf Port 1723 eine TCP Weiterleitung auf den Server1 durchführt. Normalerweise kennt der Client die Dialin IP Adresse des Routers1 nicht, da sie nach jeder Einwahl neu vergeben wird. Zu diesem Zweck ist ein DynDns Dienst eingerichtet, oder der Server hinterlegt die Routerip auf der Homepage im Internet. Jetzt kann der Client2 mit Hilfe der Homepage1 die IP Adresse des Router1 ermitteln, sich dorthin verbinden. Am Ende wird er zum Server weitergeleitet. Damit kommt der rot eingezeichneten Tunnel zuStande. Der Client2 bekommt nun eine zusätzliche IP aus dem Zielnetz, mit der er alle Rechner erreicht. Zu installieren ist das Paket pptpd. und pppd Zu konfigurieren ist: /etc/pptpd.confDer Inhalt der Datei /etc/pptpd.conf ist fast selbsterklärend
option /etc/ppp/options.pptphier sind die weiteren Optionen abgelegt. Der Name findet sich in /etc/pptpd.conf Hier die Variante für Suse 8.2 mit dem 2.4 er Kernel.
Die Optionen +chapms bis mppe-stateless sind zu Verschlüsselung notwendig. Bei Problemen einfach mal rausnehmen und ohne Verschlüsselung probieren. Damit Verschlüsselung funktioniert muss in diesem Fall Module nachgeladen werden könne. Nun die Variante für SuSE 9.2 mit dem 2.6er Kernel. Das dis Variante kürzer ist, liegt nicht an der Software. Ich habe nur optimiert. Optionen, die in /etc/ppp/options vorhanden sind, brauchen man in /etc/ppp/options.pptp nicht noch mal angeben. Der ganze Zauber ist, das aus +chapms-v2 nun ein require-mschap-v2 wird, und die Verschlüsselung mit mpp mit require-mschap-v2 einzuschalten ist.
Bei Verschlüsselung braucht der Kernel noch einige Module. SuSE Nutzer brachen sich nicht darum zu kümmern, da alles vorbereitet ist. Andere User müssen je nach Kernel in die /etc/modules.con (Kernel 2.4) oder in die /etc/modprobe.conf (Kernel 2.6) schauen. /etc/modul.conf (2..4)
/etc/modprobe.conf (2.6)
Alles was mppe ist, ist Verschlüsselung. Verwendet man PAP Authentifizierung, bleiben diese Module ungenutzt. Eventuell ist der Kernel neu zu bauen, wenn die notwendigen Module nicht existieren. Suse User haben es da gut, Sie brauchen sich darum nicht zu kümmern. Das ist schon alles. Um die Verbindung aufzubauen, ist als Telefonnummer die WAN IP des Routers1 beim Client2 einzutragen. Automatisierung, wenn die IP Adresse auf der Homepage liegt.Die Sache ist nicht sehr komfortabel. IP Adresse aus dem Netz holen, VPN Verbindung Modifizieren, dann Einwählen sind zusammen weit mehr als ein Klick. Besser ist die Verwendung eines Perlscripts auf der Windowsdose. Das Script setzt voraus, dass es ein VPN Eintrag gibt, der Kunde heisst. Dort sind die pptp Einstellungen unter gebracht. Das Script holt sich die fehlende IP Adresse von der Homepage und startet die VPN-Verbindung
In dem File wanadr.txt steht nur die IP Adresse. Mit echo 217.217.217.27 >wanip.txt erhält man ein Beispielfile. Auf der Linuskiste läuft regelmässig ein Scrip. Es testet ob die WAN IP noch mit der Tatsächlichen IP übereinstimmt und macht im Bedarfsfall ein Update. Diese Scripte sind Routerabhängig. Ich habe für einige Rouetr Scripte geschrieben. Darunter ist eins für den SMCVBR, der eine Anmeldung braucht. Ein anderes Script ist für den SMCBR, der ohne Anmeldung die IP-Aadresse anzeigt. Zu finden sind die Scripte im Downloadbereich. Die Scripte für die Router IP sind natürlich über die Crontab regelmässig aufzurufen. Alternativ hört das ISDN Device auf eine bestimmte Telefonnummer. Wen diese Nummer angerufen wird, nimmt niemand ab, aber das Updatescript wird gestartet. Der Eintrag in /etc/isdn/callerid ist:
So hinterlegt man die IP Adrese auf der Homepage nur wenn man sie brauchtDiese Anleitung beschreibt die Einrichtung eines Dial-In Servers mit SuSE Linux. Ich habe es mit SuSE Version 8.2 und Version 9.3 durchgeführt. Es sollte sich aber, vom Yast abgesehen, aber leicht auf anderer Distribution übertragen lassen. Hat man das Prinzip verStanden, klappt es auch bei anderen Distributionen oder beim Versionswechsel. Die Adressenvergabe ist ein bisschen tricky durch proxyarp, und hat deshalb ein eigenen Kapitel. Das eigentliche Zusammenclicken geht ziemlich fix. Trotzdem sollen die Konfigurationsdateien im Vordergrund stehen. |
||||||||||||||||||||||||
|
© 2010 by Winfried Wendler mail: web01 at ing-wendler dot de |