Konfigurowanie klienta SSTP na Debianie


11

Musiałbym połączyć mój (stabilny) serwer Debian z serwerem Windows Server 2008R2, który działa jak serwer SSTP VPN. Udało mi się zainstalować klienta sstp na moim serwerze Debian, ale nie wiem, jak skonfigurować połączenie, aby móc uruchomić je w tle. Ponadto istnieje wiele rzeczy, których nie rozumiem na temat całego procesu konfiguracji.

Po kilku poradach, które znalazłem w Internecie, wyłączyłem uwierzytelnianie zdalnego serwera, dodając noauthdo /etc/ppp/options. Ponadto dodałem tam opcje refuse-pap, refuse-eap, refuse-chap, refuse-mschapi require mppena życie uwierzytelniania MS-CHAP-V2 (serwer Windows jest skonfigurowany tak, aby przyjąć, że a nie inne).

Jeśli ucieknę z terminala

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

połączenie działa, a otwierając inny terminal, mogę uzyskać dostęp do strony internetowej, do której można uzyskać dostęp tylko przez VPN.

Próbowałem utworzyć plik etc/ppp/peers/sstp-1z zawartością

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

a następnie uruchamiany z wiersza polecenia sudo pon sstp-1. Połączenie nie powiedzie się i sudo plogpokazuje się

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

Mam kilka pytań dotyczących tego wszystkiego:

  1. Jak skonfigurować, /etc/ppp/peers/sstp-1aby można było łączyć się z siecią VPN w tle (do użycia w skrypcie)?
  2. Serwer Windows szyfruje ruch VPN za pomocą certyfikatu z podpisem własnym. Dlaczego przy użyciu powyższej konfiguracji połączenia nie muszę instalować certyfikatu na komputerze klienckim? Czy ruch jest w ogóle szyfrowany?

Z góry dziękuję, Joel Lehikoinen

Odpowiedzi:


4
  1. To, co zepsuło konfigurację, zapewniało --useri --passwordjako opcje wiersza poleceń na linii zaczynającej się od pty. Nazwa użytkownika jest już podana w następnym wierszu i należy podać hasło w /etc/ppp/chap-secrets. Problem został rozwiązany przez zmianę tej linii na

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
    

    ponadto nie ma potrzeby edycji /etc/ppp/options, ponieważ parametry konfiguracyjne są już podane w pliku konfiguracyjnym SSTP/etc/ppp/peers/sstp-1

  2. Wydaje się, że przynajmniej z noauthopcją, która - jak myślałem - wyłączałaby jedynie uwierzytelnianie serwera w PPP, sstp-client akceptuje również samopodpisany certyfikat serwera SSL bez żadnych skarg.

    W --ca-cert /path/to/snakeoil-ca.pemcelu obejścia problemu jedną z możliwości wydaje się utworzenie samopodpisanego certyfikatu urzędu certyfikacji, podpisanie certyfikatu serwera tym samym i udostępnienie opcji sstp-client jako wiersza polecenia (tj. W wierszu „pty” pliku ), co ogranicza certyfikat SSL serwera do znanej wartości.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.