LINUX-сервер пошаговые инструкции инсталляции и настройки - Бруй В. В. , Карлов С. В

echo 0 > /proc/sys/net/ipv4/conf/IPSEC0/rp_filter echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter

В противном случае в файл /var/log/messagess будут выданы следующие сообщения:

Мар 10 17:24:40 moscow ipsec: ipsec_setup: WARNING: eth0 has route filtering turned on, KLIPS may not work

Мар 10 17:24:40 moscow ipsec_setup: (/proc/sys/net/ipv4/conf/eth0/rp_filter = `1', should be 0)

Тестирование FreeS/WAN

Шаг 1

Перезагрузите оба шлюза, чтобы запустить FreeS/WAN.

Шаг 2 Проверьте отсутствие ошибок в файлах регистрации на каждом из шлюзов. В файлах

/var/log/messages должны быть строки примерно следующего содержания:

Интерфейсы IPSec должны быть описаны ранее физических интерфейсов:

[root@yubileyny /]# cat /proc/net/ipsec_tncfg ipsec0 -> eth0 mtu=16260 -> 1500

ipsec1 -> NULL mtu=0 -> 0 ipsec2 -> NULL mtu=0 -> 0 ipsec3 -> NULL mtu=0 -> 0

Шаг 3 Тестирование работоспособности созданного туннеля и виртуальной частной сети может быть осу-

ществлено путем проверки связи между системами, находящимися в разных локальных сетях. В нашем случае, система drwalbr.und (192.168.1.105) находилась в локальной сети офиса в г. Юбилейном, а система karlnext.und (192.168.1.35) – в локальной сети офиса в г. Москве. Для проверки связи наберите:

[karlnext@karlnext /]$ ping –c 3 192.168.1.105

PING 192.168.1.105 (192.168.1.105) from 192.168.1.35: 56(84) bytes of data.

64 bytes from 192.168.1.105 (192.168.1.105): icmp_seq=1 ttl=249 time=4.17 ms

64 bytes from 192.168.1.105 (192.168.1.105): icmp_seq=2 ttl=249 time=4.73 ms

64 bytes from 192.168.1.105 (192.168.1.105): icmp_seq=3 ttl=249 time=4.56 ms

--- 192.168.1.105 ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 2021ms rtt min/avg/max/mdev = 4.170/4.490/4.731/0.235 ms

и:

[drwalbr@drwalbr /]$ ping –c 3 karlnext.und

PING karlnext.und (192.168.1.35) from 192.168.1.105: 56(84) bytes of data.

64 bytes from karlnext.und (192.168.1.105): icmp_seq=1 ttl=249 time=4.17 ms

64 bytes from karlnext.und (192.168.1.105): icmp_seq=2 ttl=249 time=4.73 ms

64 bytes from karlnext.und (192.168.1.105): icmp_seq=3 ttl=249 time=4.56 ms

--- karlnext.und ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 2021ms rtt min/avg/max/mdev = 4.170/4.490/4.731/0.235 ms

Шаг 4 Протестируйте предназначенные для работы в локальной сети приложения, обращающиеся к систе-

мам, расположенным в локальной сети другого офиса.

Выше рассмотрен тривиальный вариант использования и настройки FreeS/WAN. Более сложные случаи рассмотрены в файлах документации, содержащихся в каталоге /doc исходных кодов FreeS/WAN и страницах документации.

Подключение к MS WINDOWS NT VPN-серверу c помощью PPTP-клиента

PPTP-клиент реализует PPTP (Point-to-Point Tunneling Protocol) протокол, предназначенный для под-

ключения систем с Linux, FreeBSD и NetBSD к виртуальным частным сетям через MS Windows NT VPNсервер. PPTP позволяет шифровать передаваемую информацию с ключом длиной 128 бит. Кроме того, этот протокол, не смотря на известные проблемы с безопасностью, используется некоторыми провайдерами для реализации доступа в Интернет через локальные сети общего пользования, и в некоторых случаях является единственной возможностью подключения Linux-системы к Интернет. В такой ситуации оказались жители г. Юбилейного Московской области. В этом городе ЗАО «Инфолайн» имеет сеть и шлюз в Интернет, реализованный на базе Windows NT VPN-сервера. С их помощью и предоставляются услуги доступа в Интернет.

Укрупненная схема сопряжения компьютеров клиентов ЗАО «Инфолайн» с Интернет представлена на рис. 26.2.

ЗАМЕЧАНИЕ К сожалению, информация представленная на рис. 26.2 получена не от ЗАО «Инфолайн» (авторы являются клиентами компании, но в течение двух лет не получили ни одного ответа из службы поддержки на свои вопросы), а путем анализа сообщений стандартных утилит, используемых для тестирования работоспособности сетей. Схема не претендует на полноту и полную достоверность и может содержать ошибки из-за неверного использования утилит, неверной интерпретации выводов результатов их работы и др. причин. Тем не менее, полученные авторами данные позволили настроить доступ в Интернет с Linuxсистем. Вопросы, касающиеся некоторых особенностей использования адресного пространства в локальной сети ЗАО «Инфолайн» просьба адресовать службе сервисной поддержки, а не авторам этой книги.

Учитывая, что подключение Linux-системы к MS Windows NT VPN-серверу c помощью PPTPклиента представляет интерес, в основном, для начинающих пользователей, ниже описывается процедура установки необходимого программного обеспечения из rpm-пакетов с некоторыми подробностями, которые могут показаться излишними для опытных пользователей.

Ограничения и допущения

rpm-пакеты находятся в каталоге /usr/src.

Все операции выполняются пользователем с учетной записью root. Используется дистрибутив ASPLinux 7.3 (Vostok).

Используется ядро версии 2.4.18-5asp, или 2.4.18 или 2.4.19, собранные из исходных кодов в соответствии с рекомендациями главы 6. Работоспособность приведенных ниже рекомендаций протестирована для ядер версии 2.4.18 или 2.4.19, собранных из исходных кодов, модифицированных соответствующим патчем

Grsecurity.

Для ядра версии 2.4.18-5asp, входящего в комплект поставки ASPLinux 7.3 (Vostok) перекомпиляция не требуется.

По данным, полученным клиентами ЗАО «Инфолайн», процедура, описанная в этой главе, применима без внесения изменений к Red Hat Linux 7.3, а с незначительными изменениями – и для последних версий

Linux Slackware и AltLinux.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта PPTP Client по состоянию на 01.02.2003. Регулярно посещайте домашнюю страницу проекта http://pptpclient.sourceforge.net и отслеживайте обновления. Для организации подключения системы c ASPLinux 7.3 к MS Windows NT VPN-серверу необходимы пакет ppp-mppe-2.4.0- 4.i386.rpm, реализующий протокол MPPE (Microsoft Point-To-Point Encryption) и pptp-linux-1.1.0- 1.i386.rpm, содержащий клиент PPTP.

Инсталляция MPPE и PPTP-клиента

Шаг 1

Проверьте параметры настройки ядра. Если вы используете ядро версии 2.4.18-5asp, поставляемое в составе ASPLinux 7.3, то можете пропустить этот шаг. В противном случае проверьте, что в вашей конфигурации ядра установлены следующие опции:

IP: tunneling (CONFIG_NET_IPIP) [N/y/?] <y>

IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/?] <y> Dummy net driver support (CONFIG_DUMMY) [Y/n/?] <y>

PPP (point-to-point protocol) support (CONFIG_PPP) [N/y/?] <y>

Если опции не были установлены, то перекомпилируйте и проинсталлируйте новое ядро.

Шаг 2

Скачайте ppp-mppe-2.4.0-4.i386.rpm, pptp-linux-1.1.0-1.i386.rpm в каталог

/var/tmp, осуществите проверку подлинности и целостности пакетов с использованием процедур, описанных в шаге 1 радела «Компиляция, оптимизация и инсталляция OpenSSL» главы 12.

Шаг 3

Создайте и установите модуль поддержки MPPE. Для этого установите пакет ppp-mppe-2.4.0- 4.i386.rpm, игнорируя зависимости:

[root@drwalbr /]# cd /var/tmp

[root@drwalbr tmp]# rpm -Uhv --nodeps ppp-mppe-2.4.0-4.i386.rpm.

В результате получите сообщение о том, что модуль ядра нужно собрать самостоятельно.

Шаг 4 Для создания модуля нужны исходные коды ядра. Если вы используете стандартное ядро версии

2.4.18-5asp, установите пакет kernel-source-2.4.18-5asp.rpm. Для этого вставьте третий диск дистрибутива ASPLinux 7.3 в привод CD-ROM и выполните:

[root@drwalbr /]# mount /mnt/cdrom

[root@drwalbr /]# cd /mnt/cdrom/ASPLinux/RPMS/ [root@drwalbr RPMS]# rpm -ihv kernel-source-2.4.18-5asp.rpm

[root@drwalbr RPMS]# cd / [root@drwalbr /]# umount /mnt/cdrom

Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в каталог /home/distrib, то вместо выше перечисленных команд, выполните:

[root@drwalbr /]# cd /home/distrib

[root@drwalbr distrib]# rpm -ihv kernel-source-2.4.18-5asp.rpm

Далее выполните:

[root@drwalbr distrib]# cd /usr/src/linux-2.4.18-5asp/

[root@drwalbr linux-2.4.18-5asp]# cp /boot/config-2.4.18-5asp ./config

Если вы используете ядро, созданное из исходных кодов, и придерживались рекомендаций главы 6, то исходные коды содержатся в каталоге /usr/src/linux-2.4.x. Если вы уже удалили исходные коды, то выполните:

[root@drwalbr /]# cp linux-2.4.x.tar.gz /usr/src/ [root@drwalbr /]# tar xzpf linux-2.4.x.tar.gz [root@drwalbr /]# cd /usr/src/linux-2.4.x/

Шаг 5 Соберите модуль ядра:

[root@drwalbr linux-2.4.x]# make dep

[root@drwalbr linux-2.4.x]# cd /usr/lib/ppp-mppe-2.4.0/linux/ [root@drwalbr linux-2.4.x]# ./kmodbuild.sh /usr/src/linux-2.4.x

После выполнения этой команды могут появиться различные предупреждения, которые следует проигнорировать.

Шаг 6 Проинсталлируйте модуль ядра:

[root@drwalbr linux-2.4.x]# kernel-modules/kmodinst.sh kernel- modules/new-2.4.x

Откорректируйте ссылки в файле /etc/modules.conf. Для этого строку:

alias char-major-108 ppp

замените на:

alias char-major-108 ppp_generic

и добавьте строку:

alias ppp-compress-18 mppe

Шаг 7

Установите PPTP-клиента:

[root@drwalbr linux-2.4.x]# cd /var/tmp

[root@drwalbr tmp]# rpm -Uhv pptp-linux-1.1.0-1.i386.rpm

should be your Windows NT username including domain. For example:

domain\\username

Введите имя вашей системы:

Local Name: sv_bambr <Enter>

Установите предлагаемое по умолчанию имя удаленной системы:

This is the 'remote' identifier for CHAP authentication. In most cases, this can be left as the default. If must be

set if you have multiple CHAP secrets with the same local name and different passwords. Just press ENTER to keep the default. Remote Name [PPTP]: <Enter>

This is the password or CHAP secret for the account specified. The password will not be echoed.

Password: sEcReTnOe_Sl0v0 <Enter>

Adding sv_bambr PPTP *****

Шаг 3 Добавьте новый туннель:

1.) Manage CHAP secrets

2.) Manage PAP secrets

3.) List PPTP Tunnels

4.) Add a NEW PPTP Tunnel

5.) Delete a PPTP Tunnel

6.) Configure resolv.conf

7.) Select a default tunnel

8.) Quit

Выберите пункт 4:

?: 4 <Enter>

Add a NEW PPTP Tunnel.

1.) Other

Выберите пункт 1:

Which configuration would you like to use?: 1 <Enter>

Введите имя туннеля (любая строка):

Tunnel Name: drwalbr_internet <Enter>

Введите IP-адрес шлюза в локальной сети:

Server IP: 192.168.2.1 <Enter>

Добавьте, в случае необходимости, опции команды route, обеспечивающие прохождение пакетов с вашей системы в Интернет:

What route(s) would you like to add when the tunnel comes up?

This is usually a route to your internal network behind the PPTP server. You can use TUNNEL_DEV and DEF_GW as in /etc/pptp.d/ config file TUNNEL_DEV is replaced by the device of the tunnel interface.

DEF_GW is replaced by the existing default gateway. The syntax to use is the same as the route( command. Enter a blank line to stop.

route: del default <Enter>

route: add default gw 212.111.80.10 <Enter> route: <Enter>

Шаг 4

Задайте IP-адреса DNS-серверов:

1.) Manage CHAP secrets

2.) Manage PAP secrets

3.) List PPTP Tunnels

4.) Add a NEW PPTP Tunnel

5.) Delete a PPTP Tunnel

6.) Configure resolv.conf

7.) Select a default tunnel

8.) Quit

Выберите пункт 6:

?: 6 <Enter>

Если вы для всех соединений используйте одни и те же сервера:

Use a PPTP-specific resolv.conf during tunnel connections? [Y/n]: n <Enter>

Выберите один из файлов, содержащих IP-адреса DNS-серверов (у вас не выбран ни один из файлов):

1.) Other

Which configuration do you want to use?: 1 <Enter>

Введите IP-адреса DNS-серверов:

What domain names do you want to search for partially specified names? Enter all of them on one line, seperated by spaces.

Domain Names: inf <Enter>

Enter the IP addresses of your nameservers Enter a blank IP address to stop. Nameserver IP Address:212.111.78.3 <Enter> Nameserver IP Address:212.111.80.3 <Enter>

Copying /etc/resolv.conf to /etc/resolv.conf.real...

Creating link from /etc/resolv.conf.real to /etc/resolv.conf

ЗАМЕЧАНИЕ Если вы не являетесь клиентом ЗАО «Инфолайн», не используйте приведенные выше IP-адреса DNS-серверов. Использование DNS-серверов без разрешения их владельцев – признак плохого тона.

Выберите туннель, используемый по умолчанию:

1.) Manage CHAP secrets

2.) Manage PAP secrets

3.) List PPTP Tunnels

4.) Add a NEW PPTP Tunnel

5.) Delete a PPTP Tunnel

6.) Configure resolv.conf

7.) Select a default tunnel

8.) Quit

Выберите пункт 7:

?: 7 <Enter>

1.) drwalbr_internet

2.) cancel

Выберите пункт 1:

Which tunnel do you want to be the default?: 1 <Enter>

Завершите конфигурирование PPTP:

1.) Manage CHAP secrets

2.) Manage PAP secrets

3.) List PPTP Tunnels

4.) Add a NEW PPTP Tunnel

5.) Delete a PPTP Tunnel

6.) Configure resolv.conf

7.) Select a default tunnel

8.) Quit

Выберите пункт 8:

?: 8 <Enter>

Тестирование подключения к MS WINDOWS NT VPN-серверу c помощью PPTPклиента

Шаг 1

Снова запустите pptp-command от имени пользователя root:

[drwalbr@drwalbr drwalbr]$ sudo /usr/sbin/pptp-command Password:drwalbr_$e(retnoe_(l0vo

1.) start

2.) stop

3.) setup

4.) quit

What task would you like to do?: 1 <Enter> 1.)VPN

Установите соединение с VPN-сервером, выбрав пункт 1:

Start a tunnel to which server?: 1 <Enter>

Через несколько секунд должно появиться сообщение на экране:

Route: del default added

Route: add default gw 212.111.80.10 added All routes added.

Tunnel VPN is active on ppp0. IP Address: 212.111.80.221

и в файле /var/log/messages:

Mar 15 22:21:00 drwalbr pptp[22863]: log[pptp_dispatch_ctrl_packet:pptp_ctrl.c:580]: Client connection established.

Mar 15 22:21:01 drwalbr pptp[22863]: log[pptp_dispatch_ctrl_packet:pptp_ctrl.c:708]: Outgoing call established (call ID 0, peer's call ID 17326).

Mar 15 22:21:01 drwalbr kernel: CSLIP: code copyright 1989 Regents of the University of California

Mar 15 22:21:01 drwalbr kernel: PPP generic driver version 2.4.2

Mar 15 22:21:01 drwalbr pppd[8100]: pppd 2.4.0 started by root, uid 0 Mar 15 22:21:01 drwalbr pppd[8100]: Using interface ppp0

Mar 15 22:21:01 drwalbr pppd[8100]: Connect: ppp0 <--> /dev/pts/0 Mar 15 22:21:03 drwalbr pptp[22863]:

log[pptp_dispatch_ctrl_packet:pptp_ctrl.c:757]: PPTP_SET_LINK_INFO recieved from peer_callid 0

Mar 15 22:21:03 drwalbr pptp[22863]: log[pptp_dispatch_ctrl_packet:pptp_ctrl.c:760]: send_accm is 00000000, recv_accm is FFFFFFFF

Mar 15 22:21:03 drwalbr pppd[8100]: Remote message: S=7FECC7F871AD80E87A2B7F1048D9FE915BC917DA

Mar 15 22:21:03 drwalbr kernel: PPP MPPE compression module registered Mar 15 22:21:03 drwalbr insmod: Warning: loading /lib/modules/2.4.19grsec/misc/mppe.o will taint the kernel: no license

Mar 15 22:21:03 drwalbr insmod: See http://www.tux.org/lkml/#s1-18 for information about tainted modules

Mar 15 22:21:03 drwalbr insmod: Module mppe loaded, with warnings

Mar 15 22:21:03 drwalbr pppd[8100]: MPPE 128 bit, stateless compression enabled

Mar 15 22:21:03 drwalbr pppd[8100]: local IP address 212.111.80.221 Mar 15 22:21:03 drwalbr pppd[8100]: remote IP address 212.111.80.10

Шаг 2 Проверьте наличие доступа в Интернет:

[root@drwalbr drwalbr]# ping –c 3 omega2.infline.ru

Если получены сообщения, подобные этим:

PING (212.111.78.6) from 212.111.80.221: 56(84) bytes of data.

64 bytes from omega2.infline.ru (212.111.78.6): icmp_seq=1 ttl=126 time=4.88 ms

rtt min/avg/max/mdev = 3.145/4.306/4.891/0.822 ms

то соединение установлено и работоспособно. В противном случае проверьте правильность сетевых настроек вашей системы и ознакомьтесь с документацией по диагностике PPTP-клиента, которая может быть по-

лучена с http://pptpclient.sourceforge.net/howto-diagnosis.phtml.

Проверьте наличие доступа к Web-ресурсам:

[root@drwalbr drwalbr]$ lynx www.infline.ru

Если вы увидите индексную страницу сервера:

Инфолайн» (p1 of 6)

left_part_logo center_part_logo right_part_logo

[naviarr.gif] [spacer.gif] Навигация [spacer.gif] [adrarr.gif]

[spacer.gif] www.infline.ru [spacer.gif] [adrarr.gif] [spacer.gif]

Новости О компании Интернет

Телефонная связь Кабельное ТВ Оборудование Вакансии Наши адреса

…

то процесс настройки подключения к MS WINDOWS NT VPN-серверу c помощью PPTP-клиента можно считать завершенным.

Шаг 3 Завершите соединение:

[root@drwalbr $]# sudo /usr/sbin/pptp-command

1.) start

2.) stop

3.) setup

4.) quit

Приведенные сообщения указывают на корректное завершение соединения и содержат информацию о времени соединения – 3,2 минуты, объеме исходящего и входящего трафика, соответственно – 4816 и 29486 Байт.