使用Linux L2TP/IPsec VPN 服务器

默认情况下，Windows客户会使用MS-CHAP进行PPP认证。问题是大多数发行版包含的PPP服务不支持MS-CHAP，比如 Red Hat Linux 9或更早的版。一个解决方法是配置每个Windows客户使用CHAP。另一个解决方法是更新pppd到包含MS-CHAP (v2)的2.4.2或更高版本。如果你连接一个不支持MS-CHAP的服务器，客户端配置为使用MS-CHAP，pppd将会提示 “auth chap 81”和“peer will not authorize”。一但你安装一个支持MS-CHAP的pppd，你需要在 /etc/ppp/options.l2tpd增一行（根据你的pppd版本，参照man pppd）：
+mschap-v2
或者
require-chapms-v2
使用PAP或(MS-)CHAP最容易的方法是一个口令文件（secrets）。口令文件指定为/etc/ppp/chap-secrets或者 /etc/ppp/pap-secrets（分别对应于PAP还是CHAP/MS-CHAP）。当用户数量较多而更为复杂的情况下，你也许会寻找更为灵活的东西。这是来自文档（毕竟它是PPP出版）的一小部分，但是这有多种可能的解决方案：
在l2tpd.conf中使用“unix authentication”关键字。账户名和口令将依靠Linux用户数据库（/etc/passwd）来检查。为PPP选项增加“login”关键字后会它会做什么。记住，你最好使用PAP，因为(MS-)CHAP不能使用保存在/etc/pssswd文件中的预加密用户口令。账户名仍由/etc/ppp/pap-secrets指定，但是在这个文件中口令为空字符串（“”）时，pppd使用Unix口令。参见：man pppd。
pppd2.4.2以上版本包含了RADIUS插件（radius.so，radattr.so），允许你依靠RADIUS服务对用户进行认证。在http://poptop.sourceforge.net/dox/radius_mysql.html有利用RADIUS和MySQL的安装示范。他们使用pppd，同样也适用于L2TP。
pppd2.4.3及以上版本包含了一个由Samba小组的Andrew Bartlet提供的winbind插件(winbind.so)，它提供依靠Samba或Windows域控制器使用MS-CHAP或MS-CHAPv2对用户认证的能力。Andrew发布了安装文档：http: //hawkerc.net/staff/abartlet/comp3700/final-report.pdf。
多数ppp守护进程目前编译时都有PAM支持。这意味着你可以使用所有的认证机制来认证。例如：插入上面提到的winbind插件，你可以用像 pam smb（包含pam_smb_auth）、pam_winbind或pam_ntdom（已经停止）的模块依靠Samba或Windows服务器认证。还有，你可以用pam_ldap来依靠LDAP服务认证。
在/etc/ppp/options.l2tpd中指定noauth，你就可以完全忘记PPP认证。它可以在任何版本的pppd上工作，因为它不再要求客户进行PPP认证（当然客户仍然有IPsec认证）。但是，这还算是一个比较激烈的解决办法。你不应该简单地省去PPP认证，尽管它不会对整个安全增强多少。
微软也开发了MPPE，一种PPP加密协议。它基于RSA安全体系RC4加密算法，并且被用到了PPTP中。通常，你不要想使用MPPE与 L2TP/IPsec结合使用，因为它意味着IPsec和MPPE双重加密。有时Windows客户想强制使用MPPE。如果那样的话，在那些 Windows客户上禁用加密。这可能把用户搞混。他禁用MPPE加密，认为根本没有任何加密，IPsec已经提供了加密，但是用户大概不会知道这些。一些Windows客户也支持压缩。你注意，这是PPP压缩，不是IPsec压缩（IPCOMP）。微软使用的压缩协议(MPPC)是有专利限制的。如果你仍想使用MPPC，参考配置一个LINUX PPP服务器(http://www.poptop.org)。

 16.1 安装和配置PPP（LINUX）
一旦L2TP连接启用，它将控制权移交给PPP守护进程。明显地，你需要一个PPP服务。几乎每个发行版都有一个pppd。安装一个最新的版本，比如2.4.1或更高。另外，相同的PPP软件也可以用来做点别的事情（比如：用于拨号连接的模拟调制解调器）。幸运的是，你可以在l2tpd.conf 文件中用pppoptfile参数来为L2TP守护进程指定一个单独的PPP选项文件。
注意：PPP守护进程的口令共享给所有PPP进程，不仅仅是l2tpd启动的那个。可是，你可以限制用户名/口令的有效性到某些IP地址，就像这个chap-secrets示例文件那样。
# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
jacco           *       "mysecret"              192.168.1.128/25
*               jacco   "mysecret"              192.168.1.128/25
sam             *       "rumpelstiltskin"       192.168.1.5
*               sam     "rumpelstiltskin"       192.168.1.5
每个用户都有两个入口，两端的认证。在这种情况下，用户jacco将从像/etc/l2tpd/l2tpd.conf文件中指定的l2tpd的 IP地址池（在示范配置文件中是192.168.1.128——192.168.1.254符合192.168.1.128/25） 获得一个地址。用户 sam总是从PPP服务获得192.168.1.5。这是一种给用户在你的内部局域网上的固定虚拟地址的方法（它看起来能工作，但是不能100%确认在任何情况下都能工作）。如果你不想在IP地址作任何限制，你可以使用通配符“*”来代替IP地址（不推荐这样，因为它会允许用户自己确定自己的地址，有一定的风险）。
微软客户端有一个选项“登录到Windows”如果启用它，客户端尝试用“\\DOMAINNAME\username”验证。另外，你还可以在chap-secrets或者pap-secrets文件中指定这个用户名格式。
关于解决怎么样配置PPP服务器这个主题的资料很多，如PPP Howto（http://www.linux.org/docs/ldp/howto/PPP-HOWTO/）。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 5 6 78 9 10 11 12 13 下一页

上一篇：让Linux NAT服务器支持UPnP   下一篇：利用IP 别名托管多个SSL 站点

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】