centos 6.8从零搭建pptp vpn服务器的完整步骤是什么？

在CentOS 6.8系统上搭建PPTP VPN服务是一项相对经典且实用的技术，尤其适用于需要快速建立简单远程访问通道的场景，尽管PPTP协议在安全性上已不再是首选，但其配置简单、客户端兼容性好的特点，使其在特定内网环境或个人学习测试中仍有一席之地，本文将详细介绍在CentOS 6.8上从零开始搭建PPTP VPN的完整流程，涵盖环境检查、软件安装、核心配置、防火墙设置及客户端连接等关键环节。

环境准备与检查

在开始安装配置之前，确保您的服务器满足以下基本条件,并完成必要的准备工作。

您需要一台已安装CentOS 6.8操作系统的服务器，并拥有root权限，为了确保系统软件包为最新版本,建议执行系统更新：

yum -y update

PPTP VPN依赖于内核的TUN/TAP虚拟网络设备，我们需要检查该模块是否已被加载,执行以下命令：

cat /dev/net/tun

如果命令返回 cat: /dev/net/tun: File descriptor in bad state，这通常表示TUN模块已成功加载，可以正常使用，如果返回 No such file or directory，则可能需要联系VPS提供商开启TUN/TAP权限,或检查内核是否编译了该模块。

确认服务器的公网IP地址，这将在后续配置中用到，可以通过 ifconfig 或 ip addr 命令查看。

安装必要软件包

CentOS的官方源及EPEL（Extra Packages for Enterprise Linux）源中包含了搭建PPTP所需的软件，我们主要需要两个核心包：ppp（点对点协议协议库）和pptpd（PPTP守护进程）。

使用yum命令进行安装,过程非常简单：

yum -y install ppp pptpd

安装完成后，系统会自动创建好相关的配置文件目录，如 /etc/pptpd.conf 和 /etc/ppp/,接下来我们将对这些文件进行详细配置。

核心配置步骤

配置是整个搭建过程的核心，分为四个主要部分：开启IP转发、配置PPTP主程序、设置PPP选项以及添加VPN用户。

开启内核IP转发

要让VPN服务器能够转发客户端的数据包到外部网络，必须开启内核的IP转发功能，编辑 /etc/sysctl.conf 文件：

vi /etc/sysctl.conf

找到 net.ipv4.ip_forward 这一行，确保其值为 1，如果该行被注释或不存在,请添加或修改为：

net.ipv4.ip_forward = 1

保存并退出文件后,执行以下命令使配置立即生效：

sysctl -p

配置pptpd主文件

主配置文件 /etc/pptpd.conf 用于定义VPN服务器的本地IP地址和分配给客户端的IP地址池。

vi /etc/pptpd.conf

在文件末尾添加或修改以下两行：

localip 192.168.0.1
remoteip 192.168.0.100-200

这里的 localip 是PPTP VPN在服务器上的虚拟IP地址，remoteip 则是连接到VPN的客户端将会获取到的IP地址范围，这个地址池应是一个私有网段,且不要与服务器内网或客户端本地网络冲突。

配置PPP选项

PPP的选项文件 /etc/ppp/options.pptpd 定义了VPN连接的一些参数，如DNS服务器、加密方式等。

vi /etc/ppp/options.pptpd

找到或添加以下关键配置项：

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

ms-dns 指定了VPN客户端使用的DNS服务器，这里使用了Google的公共DNS，您也可以替换为其他可靠的DNS服务。require-mschap-v2 和 require-mppe-128 用于提升连接的安全性，尽管PPTP本身存在漏洞,但这些设置依然是必要的。

设置VPN用户账号

VPN用户的账户和密码存储在 /etc/ppp/chap-secrets 文件中,该文件的格式非常清晰。

vi /etc/ppp/chap-secrets

按照“用户名 服务 密码 分配IP地址”的格式添加用户。

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
testuser        pptpd   yourstrongpassword      *

• testuser：您要创建的VPN用户名。
• pptpd：服务名称，必须与 /etc/ppp/options.pptpd 中 name 指定的值一致。
• yourstrongpassword：为该用户设置的密码。
• 表示允许该用户从任何IP地址连接，也可以指定一个固定的IP（必须在remoteip池内）。

配置防火墙规则

CentOS 6.8默认使用iptables作为防火墙，为了让PPTP流量能够通过，我们需要开放特定的端口和协议,并设置NAT转发。

PPTP需要开放TCP 1723端口和GRE（协议号47）。

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

最关键的一步是设置NAT（网络地址转换），允许来自VPN网段（192.168.0.0/24）的数据包通过服务器的公网网卡（假设为eth0）出去，请将eth0替换为您的实际公网网卡名称。

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

配置完成后，保存iptables规则,以防服务器重启后失效：

service iptables save

启动服务并设置开机自启

所有配置完成后,就可以启动PPTP服务了。

service pptpd start

检查服务状态,确保其正常运行：

service pptpd status

为了使PPTP服务在服务器重启后能自动运行,需要将其添加到开机启动项：

chkconfig pptpd on

至此，CentOS 6.8上的PPTP VPN服务器已搭建完成，您可以在Windows、macOS、Android或iOS等设备的网络设置中，添加新的PPTP VPN连接，输入服务器的公网IP、用户名和密码即可进行连接。

---

相关问答 (FAQs)

问题1：我已经成功连接到PPTP VPN，但无法访问互联网，只能访问服务器内网，这是什么原因？

解答： 这是最常见的问题之一，根源通常在于NAT转发或IP转发配置有误,请按照以下步骤排查：

1. 检查IP转发： 确认 /etc/sysctl.conf 中的 net.ipv4.ip_forward 值确实为 1，并且已执行 sysctl -p 生效。
2. 检查iptables NAT规则： 这是最可能的原因，请确保您已正确添加了 MASQUERADE 规则，并且网卡名称（如 -o eth0）与您服务器的公网网卡一致，可以使用 iptables -t nat -L -n -v 命令查看NAT表中的规则是否存在且计数有增长。
3. 检查MTU设置： 有时，MTU（最大传输单元）值不匹配也会导致数据包被丢弃，可以尝试在 /etc/ppp/options.pptpd 中添加 mtu 1400 和 mru 1400 来降低MTU值,然后重启PPTP服务。

问题2：客户端连接时提示错误619或错误800，连接失败，该如何解决？

解答： 错误619通常指“到远程计算机的连接未建立”，而错误800则表示“无法建立VPN连接”,这两个错误大多指向防火墙或网络层面的问题。

1. 检查防火墙： 首先确认服务器的 iptables 防火墙是否已放行TCP 1723端口和GRE协议，可以使用 iptables -L -n -v 查看，如果您的服务器前端还有硬件防火墙或云平台的安全组,也必须在那里放行这两项。
2. 检查PPTP服务状态： 在服务器上执行 service pptpd status 和 netstat -anp | grep pptpd,确保服务正在监听1723端口。
3. 查看日志： 服务器端的日志是排错的关键，查看 /var/log/messages 或 /var/log/secure 文件，通常能找到连接失败的具体原因，如认证失败、配置错误等,根据日志信息进行针对性修复。