I am writing this document on how to build a Linux Point to Point Tunneling Protocol (PPTP) server using Poptop. This allows roaming users to connect to their corporate network from anywhere on the Internet securely and inexpensively. It supports Windows 95/98/Me/NT/2000/XP PPTP clients and Linux PPTP clients. The requirements are: -

CentOS 5
kernel-2.6.18-8.el5
ppp-2.4.4-1.el5

Kernel version 2.6.15 or above has MPPE built-in which is required for MSCHAPv2. CentOS 5 kernel version is 2.6.18 that means you do not need to install the MPPE module. CentOS 5 comes with ppp-2.4.4-1.el5 and it is MPPE support enabled.

1. Run the command below to test if your kernel supports MPPE and you should get a return an “ok”: -

modprobe ppp-compress-18 && echo ok

2. Download the RPM file pptpd-1.3.4-1.rhel5.1.i386.rpm from: -

http://poptop.sourceforge.net/yum/stable/packages/

3. Install the RPM by running this command: -

rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm

4. Change the following file /etc/ppp/options.pptpd as below: -

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd

5. Change the following file /etc/pptpd.conf as below: -

option /etc/ppp/options.pptpd
logwtmp
localip 192.168.2.1
remoteip 192.168.2.11-15

6. Add the following username (johndie) and password (passwrd) in /etc/ppp/chap-secrets as below: -

# Secrets for authentication using CHAP
# client server secret IP addresses
johndoe pptpd passwrd *

7. Run the following command to enable the pptpd to start automatically in runlevel 3 and 5 as below: -

chkconfig --level 35 pptpd on

8. Now, you can start the pptpd service as below: -

service pptpd start

9. For pptpd to work, the packet forwarding must be enabled. Edit /etc/sysctl.conf and change the line to below: -

net.ipv4.ip_forward = 1

10. To enable it immediately, run the following command below: -

sysctl -p

# yum install ppp

# vim /etc/yum.repos.d/Doylenet.repo

[doylenet]
name=Doylenet custom repository for CentOS
baseurl=http://files.doylenet.net/linux/yum/centos/5/i386/doylenet/
gpgcheck=1
gpgkey=http://files.doylenet.net/linux/yum/centos/RPM-GPG-KEY-rdoyle
enabled=1

# yum update
# yum install pptpd
# vim /etc/pptpd.conf
localip 10.0.0.2
remoteip 10.0.0.200-220

# vim /etc/ppp/chap-secrets
username * password *

# /etc/init.d/pptpd start

在windows上拨号，搞定

按以下的操作
复制内容到剪贴板
代码:
cd /tmp
wget http://poptop.sourceforge.net/yum/stabl ... noarch.rpm
wget http://poptop.sourceforge.net/yum/stabl ... noarch.rpm
如果是centos 4版本的
复制内容到剪贴板
代码:
wget http://poptop.sourceforge.net/yum/stabl ... 4.i386.rpm
wget http://poptop.sourceforge.net/yum/stabl ... 4.i386.rpm
CentOS 5的
复制内容到剪贴板
代码:
wget http://poptop.sourceforge.net/yum/stabl ... 5.i386.rpm
wget http://poptop.sourceforge.net/yum/stabl ... 1.i386.rpm
下载回来这4个文件后安装 [按顺序]
复制内容到剪贴板
代码:
rpm -ivh dkms-2.0.17.5-1.noarch.rpm
rpm -ivh kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
以上二个是为CENTOS加载MPPE[MICROSOFT的加密协议] ..不安装的话就不能使用加密连接
复制内容到剪贴板
代码:
rpm -Uvh ppp-2.4.3-7.rhel4.i386.rpm
rpm -Uvh ppp-2.4.4-3.1.rhel5.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel4.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm
为懒人写的...四个都打上去...如果你只下载其中二个的话..其它二个就不存在..没所谓了.给那些懒人方便而已..

安装完毕后..编辑配置文件
复制内容到剪贴板
代码:
vi /etc/pptpd.conf
找到最下面
localip 后面要改为你服务的IP
remoteip 后面改为你分配给VPN用户的IP段....比如192.168.0.1-100
这时已经可以启动VPN服务器了.启动方法就用
service pptpd start
停止
service pptpd stop

这时你编辑VPN用户的密码资料等[实时生效]
复制内容到剪贴板
代码:
vi /etc/ppp/chap-secrets
在最下面插入新行..
它的写法是
用户名 服务名 密码 IP

比如我新增加的一个用户..
im286 pptpd bendy 192.168.10.20

那这个用户就可以登陆VPN服务器了...分配的IP只有一个就是192.168.10.20了.也就是说只能一个人同时使用.
如果你想多人同时使用...可以将192.168.10.20改为*
这样就不限制这个帐户的使用人数了[同时登陆的人数.还要取决于PPTPD服务器的设置,默认40个
我好似没有发现哪里可以设置说可以让多少人使用同一个帐户登陆的.
如果加上RADIUS认证就可以.[这个东西我也做过.不难的]

至此.VPN可以连接了.
[Bendy 始发于落伍www.im286.com,转载者MJJ]
但连接之后.我们还需要设置NAT IP转发.否则用户连接上服务器后.是不能访问外网的内容的.
设置方法也很简单的.
复制内容到剪贴板
代码:
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to 999.999.999.999
上面的192.168.10.0替换成你要分配给客户用的VPN 内网IP段
999.999.999.999 替换成你的VPN服务器IP [与上面PPTPD.CONF的LOCALIP一样]
最后我们打开LINUX服务器的IP转发功能就大功告成了
复制内容到剪贴板
代码:
echo 1 >/proc/sys/net/ipv4/ip_forward

以上是临时打开的.重启服务器后无效..
长期调整的话..可以编辑
/etc/sysctl.conf这个文件中的net.ipv4.ip_forward = ???
就这样了...全文完

对于VPN接通后，客户端不能正常上网了，这是客户端主机由于使用了VPN服务器的网
关，所以不能上网。
处理方法如下：
在VPN连接中，打开“属性”，打开“网络”，打开“TCP/IP协议”，打开“属性”，打开“高
级”，在“常规”中可以看到“在远程网络上使用默认网关”已经被勾选，我们只要把这个
勾去掉，确定以后就可以了。
问题都已经解决了，嘿嘿，现在把这个设置弄到ADSL猫上，懒得一次一次的拨号了，
麻烦。

來源：
http://doc.linuxpk.com/80688.html (主要來源)
http://www.pconline.com.cn/pcedu/soft/l ... 7099_.html
http://rsc.anu.edu.au/General/linux_ppp ... WTO-3.html
http://www.andowson.com/posts/list/11.page #2

PS: 本文章是收集網路上的教學，再加上自己的安裝經驗再行整理。

1. 下載VPN程序

cd /tmp
wget http://poptop.sourceforge.net/yum/stabl ... noarch.rpm
wget http://poptop.sourceforge.net/yum/stabl ... noarch.rpm

如果是centos 4版本的
wget http://poptop.sourceforge.net/yum/stabl ... 4.i386.rpm
wget http://poptop.sourceforge.net/yum/stabl ... 4.i386.rpm

如果是CentOS 5版本的
wget http://poptop.sourceforge.net/yum/stabl ... 5.i386.rpm
wget http://poptop.sourceforge.net/yum/stabl ... 1.i386.rpm

2. 安裝VPN程序

rpm -ivh dkms-2.0.17.5-1.noarch.rpm
rpm -ivh kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
注: 以上二個是為CENTOS加載MPPE[MICROSOFT的加密協議] ..不安裝的話就不能使用加密連接

如果是centos 4版本的
rpm -Uvh ppp-2.4.3-7.rhel4.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel4.i386.rpm

如果是CentOS 5版本的
rpm -Uvh ppp-2.4.4-3.1.rhel5.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm

3. 設定文件
安裝完畢後..編輯配置文件
vi /etc/pptpd.conf

找到最下面
localip 後面要改為你服務的IP
remoteip 後面改為你分配給VPN用戶的IP段....比如192.168.10.1-100

這時已經可以啟動VPN服務器了.啟動方法就用
service pptpd start
停止
service pptpd stop

PS:
如mppe 不能開啟，因此把mppe關閉
vi /etc/ppp/options.pptpd
#require-mppe-128

4. 增加戶口
這時你編輯VPN用戶的密碼資料等[實時生效]
vi /etc/ppp/chap-secrets

在最下面插入新行..
它的寫法是
用戶名 服務名 密碼 IP

比如我新增加的一個用戶..
test@test.com pptpd testpw 192.168.10.20

那這個用戶就可以登陸VPN服務器了...分配的IP只有一個就是192.168.10.20了.也就是說只能一個人同時使用.
如果你想多人同時使用...可以將192.168.10.20改為*
這樣就不限制這個帳戶的使用人數了[同時登陸的人數.還要取決於PPTPD服務器的設置,默認40個
我好似沒有發現哪裡可以設置說可以讓多少人使用同一個帳戶登陸的.
如果加上RADIUS認證就可以.[這個東西我也做過.不難的]

5. 設定iptables
至此.VPN可以連接了.
但連接之後.我們還需要設置NAT IP轉發.否則用戶連接上服務器後.是不能訪問外網的內容的.
設置方法也很簡單的.
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to 999.999.999.999

上面的192.168.10.0替換成你要分配給客戶用的VPN 內網IP段
999.999.999.999 替換成你的VPN服務器IP [與上面PPTPD.CONF的LOCALIP一樣]
最後我們打開LINUX服務器的IP轉發功能就大功告成了
複製內容到剪貼板
代碼:
echo 1 >/proc/sys/net/ipv4/ip_forward

以上是臨時打開的.重啟服務器後無效..
長期調整的話..可以編輯
/etc/sysctl.conf這個文件中的net.ipv4.ip_forward = ???

將Linux服務器的1723端口和47端口打開，並打開GRE協議。

/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 47 -j ACCEPT
/sbin/iptables -A INPUT -p gre -j ACCEPT

6. 在Windows 開啟一個vpn 連接
在Properties --> Security Tab 不要選擇Require data encryption

7. 這樣應該完成了

PS: 後記
安裝了之後，發現更新iptables的時間會出現問題，最後問一下朋友說可以跟iptables nat ftp有關，所以最後找了這一段
=========================================================================
今天發現如果在Linux上面有啟動iptables，而且您的Linux有兩個IP，例如一個是 eth0的192.168.1.2，另一個是ADSL ppp0的IP，則有些Client端的Windows XP不管有沒有啟動Firewall都會連不到，直接用別部Linux的ftp指令來連，成功登入後，下dir指令時會出現
ftp: connect: No route to host
經過搜尋後，找到這篇文章iptables 下的 vsftp ftp: connect: No route to host，將/etc/sysconfig/iptables-config裡面的IPTABLES_MODULES=""改為 IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"，重新啟動iptables後，重新再連，咦 ，就可以連上了！

結論：CentOS4.4安裝的iptables預設值沒有載入處理NAT的部分，對只有一個IP且是public IP的主機應該是沒問題的，但是對用家裡的ADSL來架站的人可是個問題，希望以後大家都可以快樂在家架站囉！
=========================================================================