防火长城

PPTP+FreeRADIUS+MySQL搭建VPN认证和流量控制 最近帮论坛上朋友建了个OpenVPN+PPTP的VPN服务器，记下来过程以备不时之需。 系统环境是CentOS 5.6 xen，所有过程中软件均从源码编译。 需要软件： PopTop: http://poptop.sourceforge.net/ PPPd: http://ppp.samba.org/ FreeRADIUS: http://freeradius.org/ RADIUSClient: http://wiki.freeradius.org/Radiusclient MySQL: http://www.mysql.com/ 同时为了方便管理数据库，最好再装个php，使用phpmyadmin来管理。 编译过程很简单，pptpd、pppd和freeradius都是 1 ./configure && make && make install 就可以了。 完成之后freeradius的启动脚本在redhat/里面，pptpd需要自己写一个，很简单： 1 #!/bin/sh 2 # 3 # Startup script for pptpd 4 # 5 # chkconfig: 345 40 70 6 # description: PPTP server 7 # processname: pptpd 8 # config: /etc/pptpd.conf 9 10 # Source function library. 11 . /etc/rc.d/init.d/functions 12 # See how we were called. 13 case “$1” in 14    start) 15          echo -n “Starting pptpd: ” 16          if [ -f /var/lock/subsys/pptpd ] ; then 17                  echo 18                  exit 1 19          fi 20 21          /usr/ local /sbin/pptpd -d 22          echo 23          touch /var/lock/subsys/pptpd 24          ;; 25    stop) 26          echo -n “Shutting down pptpd: ” 27          killproc pptpd 28          echo 29          rm -f /var/lock/subsys/pptpd 30          ;; 31    status) 32          status pptpd 33          ;; 34    restart) 35          $0 stop 36          $0 start 37          ;; 38    *) 39          echo “Usage: $0 {start|stop|restart|status}” 40          exit 1 41 esac 42 43 exit 0 ——————————————————————————– 然后修改一些FreeRADIUS的配置文件，位于/usr/local/etc/raddb/ sites-enabled/default 在所有的unix和files前面加上注释，并去掉所有sql前面的注释。 radiusd.conf 去掉include sql.conf前面的注释。 clients.conf 这个文件控制连接的客户端的地址以及secret code。 secret要记下来，测试和写配置文件的时候要用。默认是testing123 sql.conf 这个文件控制连接到sql的参数。 改成实际数据库的用户名和密码。 sql/mysql/dialup.conf 取消 1 sql_user_name = “%{%{Stripped-User-Name}:-%{%{User-Name}:-none}}” 前面的注释，把下一行注释掉。 同时如果需要打开simultanoues-use（控制同时在线用户数）的话需要把simul_query_check取消注释。 ——————————————————————————– 然后建立基本数据库： 1 /usr/ local /mysql/bin/mysql -uroot -p 1 create database radius; 2 grant all privileges on radius.* to radius@localhost identified by “radiuspassword” ; 3 flush privileges ; 4 exit; 1 /usr/ local /mysql/bin/mysql -uradius -p radius < /usr/ local /etc/raddb/sql/mysql/schema.sql 建立表格： 1 INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Auth-Type' , ':=' , 'Local' ); 2 INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Service-Type' , ':=' , 'Framed-User' ); 3 INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Framed-IP-Address' , ':=' , '255.255.255.255' ); 4 INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Framed-IP-Netmask' , ':=' , '255.255.255.0' ); 5 INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Acct-Interim-Interval' , ':=' , '600' ); 6 INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Max-Monthly-Traffic' , ':=' , '5368709120' ); 7 INSERT INTO radgroupcheck (groupname,attribute,op,VALUE) VALUES ( 'user' , 'Simultaneous-Use' , ':=' , '1' ); 以上前四行不用改动，acct-interim-interval是计算流量的间隔（600秒），意味着每隔10分钟记录当前流量。倒数第二行是每月最大流量，这里是5G（单位是字节）。最后一行是允许同时连接数目。 ——————————————————————————– 输入测试用户信息： view source print ? 1 INSERT INTO radcheck (username,attribute,op,VALUE) VALUES ( 'test' , 'Cleartext-Password' , ':=' , 'test' ); 2 INSERT INTO radusergroup (username,groupname) VALUES ( 'test' , 'user' ); 用户名与密码必须以明文/NTLM Crypt形式保存，因为MS-CHAPv2不支持MD5保存的密码。 ——————————————————————————– 由于上步中有非内置的attribute Max-Monthly-Traffic，所以需要在/usr/local/etc/raddb/dictionary里面定义： ATTRIBUTE Max-Monthly-Traffic 3003 integer ——————————————————————————– 初步测试： 1 /etc/init.d/freeradius stop 2 radiusd -X & 3 radtest test test localhost 1649 testing123 如果结果中有Access-Accept就代表成功了，否则退回去检查设置。 测试成功的话添加在认证时检测流量的语句，打开/usr/local/etc/raddb/sites-enabled/default，找到authorize一节插入： 1 update request { 2 Group-Name := "%{sql:SELECT groupname FROM radusergroup WHERE username='%{User-Name}' ORDER BY priority}" 3 } 4 if ( "%{sql: SELECT SUM(acctinputoctets+acctoutputoctets) FROM radacct WHERE username='%{User-Name}' AND date_format(acctstarttime, '%Y-%m-%d') > = date_format(now(),'%Y-%m-01') AND date_format(acctstoptime, '%Y-%m-%d') < = last_day(now());}" > = “%{sql: SELECT value FROM radgroupreply WHERE groupname=’%{Group-Name}’ AND attribute=’Max-Monthly-Traffic’;}” ) { 5 reject 6 } ——————————————————————————– 设置radiusclient： 打开/usr/local/etc/radiusclient/radiusclient.conf，修改 authserver localhost:1812 acctserver localhost:1813 修改server： 最后加上localhost secret（就是FreeRadius的client.conf里面定义的secret） 修改dictionary： 最后加上 INCLUDE /usr/local/etc/radiusclient/dictionary.merit INCLUDE /usr/local/etc/radiusclient/dictionary.microsoft 如果没有dicitionary.microsoft的话看这里： http://wiki.freeradius.org/PopTop ——————————————————————————– 一切正常后设置pptp： 把源码包里面的options.pptpd和pptpd.conf拷到/etc/ 修改options.pptpd： 取消ms-dns前面的注释，后面的ip改为8.8.8.8 加入一行noaccomp，以提供对iOS 4.3+的支持（否则连上就断）。 最后加上插件： plugin /usr/local/lib/pppd/2.4.5/radius.so plugin /usr/local/lib/pppd/2.4.5/radattr.so radius-config-file /usr/local/etc/radiusclient/radiusclient.conf 修改pptpd.conf： ppp路径改为/usr/local/sbin/pppd option路径为/etc/options.pptpd 注释掉logwtmp避免619错误 最后的localip根据需要设置 示例：localip 192.168.100.1 remoteip 192.168.100.100-150 重要的一点：一定要注释掉delegate，之前没有注释结果连接的时候log显示LCP terminated by peer跟着一堆乱码直接掉线，客户端则显示720，注释掉就好了。（虽然个人认为不应该注释，因为delegate的作用是让radius来处理ip分 配） 启动服务测试下是否能连接，多用radiusd -X看输出信息。 ——————————————————————————– 最后是相应的iptables设置：/etc/sysconfig/iptables nat里面加入： -A POSTROUTING -s 192.168.100.0/255.255.255.0 -o eth0 -j MASQUERADE filter里面加入： -A INPUT -i lo -j ACCEPT -A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -j ACCEPT -A INPUT -p gre -j ACCEPT -A INPUT -p tcp -m state –state NEW –dport 1723 -j ACCEPT -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT -A INPUT -j REJECT -A FORWARD -i ppp+ -p tcp -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS –set-mss 1356 设置mss以防止过大的包被丢弃，从而造成无法载入。 大功告成！ 本文参考： http://wiki.freeradius.org/PopTop http://freeradius.1045715.n5.nabble.com/group-variable-td2776238.html http://hi.baidu.com/ox188/blog/item/4ae1373f33d90fe455e723a4.html http://www.accountingenhancements.com/filetree/pptp-HOWTO-linux-2.6.9.txt http://discussions.apple.com/thread.jspa?threadID=2778039&start=60&tstart=0 原文 ： http://tomem.info/blog/2011/04/562 ========== 架设L2TP/IPSec + MySQL + FreeRADIUS认证VPN 接上次那篇PPTP的文( https://tomem.info/blog/2011/04/562 )，这篇讲下如何搭建L2TP VPN。平台依然是CentOS 5.6 x86，源码方式安装。 说实在的搭建L2TP over IPSec VPN让人头痛不少，主要是因为需要好几个内核模块支持。因而如果你使用的是OpenVZ的VM的话基本上可以忽略这篇文章-2.6.32以下的内核不支持IPSec虚拟化。 如果是Xen的话，在确定能用PPTP的基础上（包括IP转发，etc），执行以下命令确认必需的模块都存在（xfrm_user可能编入了内核，所以没有检测）：   1 modprobe af_key && modprobe ah4 && modprobe esp4 && modprobe ipcomp && modprobe xfrm4_tunnel && echo “All IPSec modules are loaded” 如果出现All IPSec modules are loaded则该VM有所有需要的内核模块，否则不能建L2TP over IPSec。 6月21日更新：最近搞了个日本的VPS，执行上面命令发现模块都存在但是都没加载，而且连ppp的也没有（lsmod | grep -w ‘af_key|ah4|esp4|ipcomp|xfrm4_tunnel|ppp_generic|ppp_mppe |ppp_deflate’） 结果在/etc/sysconfig/modules里面手工添加了。 ———————————————————————————————————- 成功之后下载需要的软件包： 首先安装一些编译需要的软件包： yum install bison flex lsof gmp gmp-devel libpcap libpcap-devel 然后下载OpenSwan、xl2tpd和rp-l2tp。 OpenSwan: http://www.openswan.org/code/ xl2tpd: http://www.xelerance.com/services/software/xl2tpd/ rp-l2tp: http://sourceforge.net/projects/rp-l2tp OpenSwan编译安装：make programs && make install xl2tpd：make && make install rp-l2tp我们只需要其中的l2tp-control，执行以下命令： 1 make 2 cp handlers/l2tp-control /usr/ local /sbin/ 3 mkdir /var/run/xl2tpd 4 ln -s /usr/ local /sbin/l2tp-control /var/run/xl2tpd/l2tp-control ———————————————————————————————————- 写IPSec的配置文件： 需要修改的地方： protostack=auto改成protostack=netkey 最后加上 1 # sample VPN connections, see /etc/ipsec.d/examples/ 2 include /etc/ipsec.d/l2tp-psk.conf #添加l2tp配置 3 4 #Disable Opportunistic Encryption 5 include /etc/ipsec.d/no_oe.conf #添加oe配置 注意缩进！上面添加的几行必须是紧靠左边（左边不能有空格）。 然后新建l2tp-psk.conf和no_oe.conf（来自https://suoluo.org/2010/04/4/）   1 nano /etc/ipsec.d/no_oe.conf 1 conn block 2 auto=ignore 3 4 conn private 5 auto=ignore 6 7 conn private-or- clear 8 auto=ignore 9 10 conn clear -or-private 11 auto=ignore 12 13 conn clear 14 auto=ignore 15 16 conn packetdefault 17 auto=ignore 1 nano /etc/ipsec.d/l2tp-psk.conf 1 conn L2TP-PSK-NAT 2 rightsubnet=vhost:%no,%priv 3 #forceencaps=yes #这个参数默认是启用的，但如果连接失败抓包分析看到不停的循环在和500端口交换PSK的话就去掉它 4 also=L2TP-PSK-noNAT 5 6 conn L2TP-PSK-noNAT 7 # 8 # Configuration for one user with any type of IPsec/L2TP client 9 # including the updated Windows 2000/XP (MS KB Q818043), but 10 # excluding the non-updated Windows 2000/XP. 11 # 12 # 13 # Use a Preshared Key.