点对点隧道协议(PPTP)是一种古老但依然因其配置简单、客户端兼容性好而被部分用户使用的VPN技术,在CentOS系统上搭建PPTP VPN服务,可以满足远程访问网络资源的基本需求,需要注意的是,PPTP协议的安全性已无法满足现代高标准需求,仅建议在测试或对安全要求不高的环境中使用,以下是在CentOS 7/8上搭建PPTP VPN的详细步骤。
准备工作
在开始之前,请确保您拥有一台具有root权限的CentOS服务器,并且系统已更新至最新,需要检查系统内核是否支持PPP模块,这是PPTP运行的基础,执行以下命令:
modprobe ppp-compress-18 && echo "PPP support is OK"
如果输出“PPP support is OK”,则表示内核支持,可以继续,确保服务器的防火墙策略允许后续配置的端口和协议通过。
安装PPTP服务
CentOS的默认源中不包含PPTP的安装包,因此需要先安装EPEL(Extra Packages for Enterprise Linux)扩展源。
yum install epel-release -y
安装完成后,即可通过yum命令直接安装pptpd服务包。
yum install pptpd -y
配置PPTP服务
PPTP的配置主要涉及三个核心文件:pptpd.conf、options.pptpd和chap-secrets。
配置主文件 /etc/pptpd.conf
此文件用于定义VPN服务器的本地IP地址和分配给客户端的IP地址池,打开文件并进行如下编辑:
vi /etc/pptpd.conf
取消或添加以下两行内容:
| 配置项 | 值 | 说明 |
|---|---|---|
| localip | 168.0.1 | VPN服务器在虚拟网络中的IP地址 |
| remoteip | 168.0.100-200 | 分配给VPN客户端的IP地址范围 |
配置选项文件 /etc/ppp/options.pptpd
此文件定义了VPN连接的详细参数,如DNS服务器、日志文件等,建议添加或修改以下配置:
vi /etc/ppp/options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
logfile /var/log/pptpd.log这里,ms-dns指定了VPN客户端使用的DNS服务器,可以替换为更快的公共DNS或内网DNS。
配置用户账户文件 /etc/ppp/chap-secrets
此文件用于存储VPN用户的账户和密码,格式为:用户名 服务 密码 IP地址。
vi /etc/ppp/chap-secrets
添加一行示例用户信息:
vpnuser pptpd vpnuserpass *vpnuser:VPN登录用户名pptpd:服务名,需与options.pptpd中的name一致vpnuserpass:登录密码- 表示允许从任何IP地址连接
配置系统转发与防火墙
为了让VPN客户端能够通过服务器访问互联网,需要开启内核的IP转发功能,并正确配置防火墙。
开启IP转发
编辑/etc/sysctl.conf文件,添加或修改以下行:
net.ipv4.ip_forward = 1保存后,执行 sysctl -p 使配置立即生效。
配置防火墙
如果使用firewalld,需要开放PPTP使用的TCP 1723端口和GRE协议(协议号47),并设置地址伪装(MASQUERADE)。
firewall-cmd --permanent --add-port=1723/tcp firewall-cmd --permanent --add-protocol=gre firewall-cmd --permanent --add-masquerade firewall-cmd --reload
启动服务并设置开机自启
所有配置完成后,启动pptpd服务,并设置为开机自启动。
systemctl start pptpd systemctl enable pptpd
至此,CentOS上的PPTP VPN服务已搭建完成,您可以在Windows、macOS或移动设备上使用之前创建的vpnuser账户进行连接测试。
相关问答FAQs
Q1:为什么连接VPN后无法访问互联网?
A:这个问题通常由两个原因导致,首先是内核IP转发未开启,请检查/etc/sysctl.conf中的net.ipv4.ip_forward值是否为1并已执行sysctl -p,其次是防火墙配置不正确,请确保firewalld已经放行了TCP 1723端口、GRE协议,并且最重要的,已经添加了--add-masquerade规则以允许NAT地址转换。
Q2:PPTP VPN安全吗?有什么替代方案?
A:PPTP协议存在已知的安全漏洞,特别是其使用的MS-CHAPv2认证协议容易被破解,因此它被认为是不安全的,不适合传输敏感数据,对于现代应用,强烈推荐使用更安全的替代方案,如OpenVPN或WireGuard,它们提供了更强的加密算法和更安全的认证机制,能够更好地保护您的通信隐私和数据安全。
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复