pptp vpn搭建

admin

iptables -t nat -A POSTROUTING -o seth0 -s 192.168.10.0/24 -j SNAT --to 118.193.222.212   从某个网口出去

admin

6 [! n! p3 f* Siptables -t nat -A POSTROUTING -o seth0 -s 192.168.10.0/24 -j SNAT --to 118.193.222.212   从某个网口出去

admin

1. 查看系统是否支持PPP
& E1 o9 u9 f7 s/ S4 x1 P
一般自己的系统支持，VPS需要验证。
7 O8 T# A; g" |; [- I; }' g2 O4 j9 U
) v, Y1 A4 r4 R0 H: ?[root@oldboyedu ~]# cat /dev/ppp
; p0 ?$ C- ~; \2 h: E6 Lcat: /dev/ppp: No such device or address
) s; F3 Y4 Z  C4 v
8 U; M: i; D: @, P+ o" N; R5 j如果出现以上提示则说明ppp是开启的，可以正常架设pptp服务，若出现Permission denied等其他提示，你需要先去VPS面板里看看有没有enable ppp的功能开关，如果没有则需要发个消息给你的提供商，让他们帮你开通，否则就不必要看下去了，100%无法成功配置PPTP。

2. 设置内核转发

$ `4 x5 L$ m1 j% e; M: J" ][root@oldboyedu ~]# grep forw /etc/sysctl.conf
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
[root@oldboyedu ~]# sed -i 's#net.ipv4.ip_forward = 0#net.ipv4.ip_forward = 1#g'  /etc/sysctl.conf
/ r; q; s% D* M* ]. o[root@oldboyedu ~]# grep forw /etc/sysctl.conf                           
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
) J8 w( Q* S: f  R" E[root@oldboyedu ~]# sysctl -p
/ S: F" B% f- g, K3. 安装PPTP

# 需要安装epel源
' J) Z# X- B, V% Z+ H: Kwget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
yum -y install pptpd
4. 配置PPTP
6 |1 m: ~. H' N( h" Q
5 E4 W2 V' t1 l, a- h# N% N[root@oldboyedu ~]# vim /etc/pptpd.conf
localip 10.0.0.9
remoteip 192.168.0.234-238
# 添加本机公网IP（localip），分配VPN用户的内网网段（remoteip）。
, i4 X$ ]2 U5 Y" u! d2 G! ?% B: p5. 设置用户与密码

[root@oldboyedu ~]# vim /etc/ppp/chap-secrets
oldboy  * 123456 *
  f( s$ R8 {0 m+ @/ g! a6. 启动pptp
9 I  h* l+ H: T
[root@oldboyedu ~]# /etc/init.d/pptpd start
Starting pptpd:                                            [  OK  ]
[root@oldboyedu ~]# netstat -tunlp|grep 1723
# t, e! }" j, R! Itcp        0      0 0.0.0.0:1723                0.0.0.0:*                   LISTEN      26574/pptpd

admin

centos 6.8下搭建PPTP VPN服务器

/ b. ^2 h  i* i& B7 Y  Q( M1. 通过yum安装 ppp和pptpd
0 q) M& Z- ]2 Z1 |6 H0 ]5 y
9 g' F( B* Y( j1 w' w7 R, fyum -y install ppp pptpd
3 |% x' h: \( B$ o2. 配置pptpd相关参数
+ c5 g7 f; A4 L! V8 a
  w( \$ {( A$ ?1 T2 g) Y2.1 配置/etc/pptpd.conf

2 I4 p& y3 u# k' m& E  d/ wlocalip 192.168.0.1
remoteip 192.168.2.234-238,192.168.2.245
localip和remoteip的地址网段可以不一样。
localip和remoteip网段不要和VPN服务器的内网其他网段一样。

8 E8 ?  K: L# q0 @8 `7 r2.2 配置/etc/ppp/options.pptpd

内容可以采用默认配置，主要是要添加DNS
' o0 C& {1 M, _' O5 s
) Y5 t8 G6 R1 U& @1 h# z. q- oms-dns 8.8.8.8
* Z$ [) H# j8 l2 }- `, f3 d5 Yms-dns 8.8.4.4
! K. w0 o) s$ O* W! d* h* S3 n2.3 配置VPN账号和密码

; [5 |; b' B) n) y5 e" A2 t& u; e编辑/etc/ppp/chap-secrets文件
按照以下格式配置用户名和密码

0 C% _2 @( ^4 G2 V+ o* ausername1 pptpd passwd1 *
username2 pptpd passwd2 *
) U- }. f/ \2 e9 R- q3. 打开内核转发
6 \( s* e; v! S& y! S% A
; |' S- C$ b3 S& [vi /etc/sysctl.conf
& w- @: j3 Y; i$ {( ^修改以下内容开启ip转发：
, o6 E' Z$ ^5 E6 w
5 a, V, X- P" C4 G* ^* I0 e' gnet.ipv4.ip_forward = 1
5 m8 h" }9 f, F% Z保存、退出后执行：

# ?1 `. E2 _' r0 X" l8 m1 ~6 L" msysctl -p
检查配置是否生效

4. 启动pptpd服务
( j, v5 X# I) g8 Z( s
service pptpd start
5. 配置开机启动pptpd
8 Q" ^0 V: {; O9 }) u1 S
- B2 |) K% {, O% @5 wchkconfig pptpd on
: q0 m$ m# t6 L5 f+ x5 d1 E6. 设置Iptables规则
  m; x, q+ z" A# t
vi /etc/sysconfig/iptables

nat表里面添加:
6 ^/ u3 G6 m' t
#-s 后面是pptp客户端地址段，就是pptpd.conf里面remoteip那个网段
. D0 Z% \  t. L# Z. j8 A#-o 后面是外网网卡设备名
$ E" k' U" H7 A# \1 T#–to-source 后面是外网网卡地址
- b$ [! Z' X# Y4 Q  i$ q-A POSTROUTING -s 192.168.2.0/24 -o eth2 -j SNAT –to-source 192.168.1.42
filter表里面配置：

#pptpd的端口是1723
! p' _/ C6 E* @+ A# g$ }-A INPUT -p tcp -m state –state NEW -m tcp –dport 1723 -j ACCEPT
# pptp协议需要放开gre协议
- m! e0 T8 w/ I-A INPUT -p gre -j ACCEPT
5 w$ }* J. j: C* u#修改mss为1356，-s后面是pptp客户端地址段，以免有些网站上不去
0 Z# L* m2 L4 F* G* b# W$ s1 _-A FORWARD -p tcp –syn -s 192.168.2.0/24 -j TCPMSS –set-mss 1356
. j7 C5 l# \3 C#注释掉下面这个选项，vpn服务器就可以转发数据包，需要转发链默认规则是允许
0 K3 t* _: {' e  r) V6 e: y#-A FORWARD -j REJECT –reject-with icmp-host-prohibited
( I9 g+ R3 q" J3 e+ D" j保存后重启iptables
9 D& x0 L: X/ R( c$ n
/ Q9 n, k% u& `( |  h% J/ N. \service iptables restart
7. 设置iptables自动启动

- S2 y5 Q3 F' ^8 l$ a0 @4 |+ Echkconfig iptables on
8. 使用windows或者其他VPN拨号客户端新建VPN拨号即可。

( i+ Q, I+ c( Q" B如果VPN客户端是内网，拨号地址输入VPN服务器的内网IP，
如果VPN客户端是外网，拨号地址输入VPN服务器的外网IP。
7 q' r. u) l/ j$ l/ O* G. L
拨号成功后，vpn客户端即可访问VPN服务器的其他子网资源，而且可以通过VPN服务器的外网网卡访问外网资源。
* I+ `4 k* G( a$ h$ m

admin

服务端配置说明

安装软件

使用命令 yum install -y ppp pptpd 安装软件。

: f5 t7 D& q# l* i$ w; Binstallation
7 i8 R* T# x$ a  G5 E: m6 D
配置 pptpd

6 I* Z, G( ~- T# _% k& U1 a0 y" N8 R编辑配置文件 vi /etc/pptpd.conf，即删除下列两行命令符前面的#。保存后退出。
" v4 n6 N( z* ]" m, `% I' e
#localip 192.168.0.1
: L$ h: a4 h$ m6 m$ @+ a #remoteip 192.168.0.234-238
delete#

注意：IP 地址: localip 192.168.0.1 和 remoteip 192.168.0.2-200 分别是 vpn 的网关地址和 vpn 拨号获取地址段。您可以根据需要进行调整。
编辑文件 vi /etc/ppp/options.pptpd，即删除下列两行命令符前面的#。保存后退出。

2 H5 r9 x: E0 B, W6 _" e, U #ms-dns 10.0.0.1
#ms-dns 10.0.0.2
delete#
8 s3 I3 L, r+ ~
注意：IP 地址：223.5.5.5 和 223.6.6.6 是阿里云的公共 DNS 服务地址，您可以根据需要调整为其它公共 DNS 服务地址。
+ m: I( c0 B0 X7 C  j0 g. i+ }输入命令 vi /etc/ppp/chap-secrets 设置 pptpd 的用户名和密码，如下所示。

& f  Q  h# i7 S! i( \3 P # Secrets for authentication using CHAP
# client server secret IP addresses
根据需要添加账号，一行只添加一个用户账号。按照用户名 pptpd 密码 IP地址的格式输入，每一项用空格隔开。保存后退出。示例：test pptpd 123456 10.0.0.1。如下图所示：
* N/ `$ V# w, y4 D+ z/ W/ H
/ [, U1 m5 T  N, [6 ]newuser

2 r" K& T' s+ G/ s, A在下面的命令符后面添加 ifconfig ppp0 mtu 1472，设置最大传输单元 MTU。如下图所示。
$ f& j! x* D/ D+ e5 u* f
/etc/ppp/ip-up. ipv6to4 ${LOGDEVICE}
: e/ }% i/ C( F7 b1 l [ -x /etc/ppp/ip-up.local ] && /etc/ppp/ip-up.local "$@"
" m& N& O& I. B* ynewcoding
2 J, p$ ?# R1 F0 m0 }- o+ ^
修改内核设置
( N1 K  Z- c/ c# m, _
; R1 O" J% o1 {: O编辑配置文件 vi /etc/sysctl.conf，将 net.ipv4.ip_forward=0 改成 net.ipv4.ip_forward=1，保存后退出。然后执行命令 sysctl -p 使修改后的参数生效。
' }9 _: q# s- {2 `, Z
, p6 k) I. ?4 L" C9 M8 |: Y; S& n  ~changecoding
7 F$ H1 h* u$ e2 V' ]) H) z
添加 iptables 转发规则。

/ R3 ^2 l) h- y) \! M1 R3 F' L iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
使用如下命令保存设置，并重启防火墙。
4 Z) V7 x+ a" U: p1 {6 q
/etc/init.d/iptables save
  i5 N( p& O, d( d3 A /etc/init.d/iptables restart
performcoding

- H: G" z8 w) T9 m- k; J. B+ Q配置 PPTP 服务
% v  \( O! n& }$ H, g
使用命令：/etc/init.d/pptpd restart重启 PPTP 服务

注意：此时 PPTP 还未成功运行，所以当您使用 /etc/init.d/pptpd restart 命令重启 PPTP 服务时，系统会提示 Shutting down pptpd [FAILED]，并发出警告。您可以忽略提示和警告，再次使用以上命令重启 PPTP 服务，警告信息就会消失。
rebootPPTP

使用如下命令设置 pptpd 和 iptables 自启动：

chkconfig pptpd on
chkconfig iptables on
" q  O: {/ F" @  ]6 I( l, X至此，您的 PPTP VPN 服务端安装结束了。您可在本地计算机网络和共享中心设置新的连接或网络，即可通过 VPN 访问网络。

" J, Q. P1 w0 L# j5 @6 w配置 CentOS PPTP VPN 客户端

1 w$ R& B4 B3 ], F0 u使用命令：yum install -y ppp pptp pptp-setup 安装软件包。
3 l7 ?8 X. ^9 k2 [  n3 I5 X
" f* x+ Q1 G5 A8 j2 d0 z0 ainstallation

installation

使用命令连接 VPN 服务端。

, @5 W5 [( o9 `# o$ B, L6 Npptpsetup --create test --server IP--username 用户名 --password 密码 --encrypt --start

7 W) m  U! M1 O注意: 您需要填写实际配置 VPN 服务端的 IP 地址，用户名，密码的值。
connectVPN
2 r% b; s/ l# ?+ w* t0 f4 m3 ]# S) l
当系统提示已经被分配了 192.168.0.234 的客户端地址时，执行 ifconfig 可以看到 ppp0 网卡：
: z. |7 ~( M8 E* _  \$ o
performcoding
9 f8 q' c9 `2 P: B# A
0 O" l/ M- X9 D. t: L使用命令： ip route replace default dev ppp0 增加默认路由。

newdefaultroute

增加路由后，您就可以访问外网啦。

1 u5 \+ W* c! z2 @7 f常见问题
& J3 S! M7 b2 l. d, R7 M5 S0 C% f
4 o. }4 y0 h* p1 B2 e9 X; A浏览器无法打开网页

" Z: h2 g5 ~; r* K, x0 n现象：搭建 PPTP VPN 后，测试可以连接，可以 ping 通网站域名，但浏览器无法打开网页。
& c5 H  W( O, }  T- C7 x
1 b" v7 _% m) K- }unsbletoopenweb

分析：一般是 MTU 设置不正确导致的。
" g/ |" D4 R1 _3 `
方案A：在配置 VPN 的 Centos 服务器中执行 ifconfig ppp0 mtu 1472。

performcoding
5 m; B5 U7 F' P' \/ W
注意：上述解决方案可以临时生效，如果您需要长期生效的方案，参考方案B。
方案B：
6 r3 {. g4 [! ?1 \! T( Y
在 /etc/ppp/ip-up 文件中增加 ifconfig ppp0 mtu 1472，如下：
* _, e+ p* M: U$ U  g
$ vi /etc/ppp/ip-up
......
  t+ L+ V( w3 ~  ^ [ -x /etc/ppp/ip-up.local ] && /etc/ppp/ip-up.local "$@"
newcoding
3 x( ^; P+ Z- N
测试：

1 w4 [; A) P: E, c4 ]1 M" F' W5 Rtesting
, f  F6 a. Y: f& v* r; C0 h) C/ B
获取到错误的 IP 地址

现象：客户端成功连接上 VPN 后，获取到错误的地址。获取的地址不是 VPN 服务端分配的地址，而是云服务器 ECS 的内网网卡地址，如图：

problem
7 H% k# F4 a/ B
: b5 Z4 N) X* y" T8 M/ s5 G分析：如果出现这种情况，假设配置的 VPN 客户端配置名称是 testvpn，可以参照如下步骤尝试处理：

8 q/ ]; |4 @2 ~3 b% J方案：
3 K4 N$ _9 `! ?" B
在 ppp 客户端配置文件 /etc/ppp/peers/testvpn 中添加 noipdefault 参数。

- E& F7 K3 h  ireason

( S( C1 t% E! B- w! A/ A使用如下命令重启客户端。重新连接后通常可获取到正确的 IP 地址。

poff testvpn
pon testvpn
6 u# Z+ S% D0 a" C7 e: I注意：重启客户端时，noipdefault 参数可能会被服务端传递过来的参数覆盖掉。如果noipdefault 被覆盖，您需要检查服务端的配置。

https://help.aliyun.com/knowledge_detail/41345.html