티스토리 뷰

VPN

PPTP VPN 옵션 설정 정리 (pptpd.conf)

초보의 CHOMAN 2015.06.12 11:54

설정파일은 man 페이지를 봐도 되지만 아래 사이트에도 잘 나옴


http://www.tldp.org/HOWTO/PPP-HOWTO/index.html 


pptp VPN 설정파일 3가지가 존재한다


PPTP 옵션에 대한것은 국내에는 별로 존재 하지 않으며 테스팅을 통해서 검증을 한 자료들을 많지 않다.


PPTP 옵션 (기본적인 pptp 설정파일)

/etc/pptpd.conf


PPP 옵션 (pptp 는 ppp 프로토콜을 이용하기 때문에 ppp 옵션 설정이 필요)

/etc/ppp/options.pptpd


인증옵션 (pptp VPN을 지정된 사용자만 사용하기 위한 인증 설정)

/etc/ppp/chap-secrets



/etc/pptpd.conf 옵션 파일 정리


option : ppp 옵션파일의 경로를 지정

Specifies the location of the PPP options file.


debug : syslog 에 디버깅로그를 활성화 (좀더 세부적으로 로그를 남길때 사용할듯 함)

Turns on (more) debugging to syslog


stimeout : 연결된 이후에 대한 시간 설정은 아닌듯 하며 최초 접속시도시 연결이 되지 않으면 몇초후에는 접속을 종료시킨다는 설정인거 같음

Specifies timeout (in seconds) on starting ctrl connection

: 디폴트는 10초라는데 연결수립이나 연결해제시 클라이언트와의 시간 협상인듯 함. (10초정도는 대기하겠다는 의미인듯 함)


logwtmp : wtmp 파일에 클라이언트 연결과 종료에 대한 로그를 기록한다 (lastlog, who 명령어로 간단하게 확인하고자 할때)

Use wtmp(5) to record client connections and disconnections


noipparam : PPP까지의 클라이언트의 아이피 주소할당을 억제한다? 

Suppress the passing of the client's IP address to PPP, which is one by default otherwise


vrf : vrf 소켓 통신 지원

Switches PPTP & GRE sockets to the specified VRF, which must exist Only available if VRF support was compiled into pptpd


bcrelay : 클라이언트가 해당 인터페이스를 통해 브로드캐스트 패킷을 보낼수 있게 한다 (아무래도 같은 VPN 서버에 가상으로 연결된 서버들끼리의 의미인듯 함)

Turns on broadcast relay to clients from interface


connections : 클라이언트접속에 대한 허용할 최대 연결수

Limits the number of client connections that may be accepted.

If pptpd is allocating IP addresses (e.g. delegate is not used) then the number of connections is also limited by the remoteip option


localip : VPN 서버의 아이피


remoteip : 클라이언트들이 할당 받을 아이피



/etc/ppp/chap-secrets 


client                    server                   secret           IP addresses

클라이언트 ID        서버(서비스이름)     패스워드       클라이언트에게 할당할 remote IP


위 파일이 평문으로 저장되어 아래와 같이 패스워드 부분만 암호화 해보았는데 파일은 생성되지만 정상인증이 이루어지지 않았다.


htpasswd -m -b -c /etc/ppp/chap-secrets smileman smile1234 


/etc/ppp/options.pptpd


auth : /etc/ppp/chap-secrets 파일을 참조하여 등록된 계정만 접근을 허용한다


name : 인증을 위한 로컬 시스템의 이름 (/etc/ppp/chap-secrets 파일의 2번째 필드와 동일)


chapms-strip-domain : 인증하기전에 사용자이름으로 부터 도메인부분을 제거한다 

(클라이언트 사용자 부분에 ID@도메인이라는 정보가 들어오면 @도메인 이하부분을 제거한다는 의미인것 같음)

Strip the domain prefix from the username before authentication


암호화에 대한 설정들 (접속하는 클라이언트에 체크옵션과 연관되어 있음) : 클라이언트 접속 옵션과 PPTP VPN 서버와 옵션 설정이 동일해야함

refuse-pap

refuse-chap

refuse-mschap

require-mppe-128  ※.활성화시 특정사URL에 접속이 되지 않는 현상


ms-dns : 마이크로소프트 윈도우 계열의 클라이언트들을 위한 네임서버 설정 (1차 2차) 지정


ms-wins : 마이크로소프트 윈도우 계열 혹은 삼바 설정을 위한 WINS (WINDOWS INTERNET NAME SERVICE) 아이피 지정


proxyarp : VPN 서버에 arp table (mac / ip) 로컬이더넷으로 다른 시스템인것 처럼 보일수 있는 효과 / 서버가 클라이언트의 패킷을 라우팅하는 경우 필요하지 않음


delegate 옵션

기본적으로 pptpd 가 IP주소를 PPPD에 전달하는 방식이지만  pptpd 가 pptpd.conf 옵션이나 --delegate 커맨드 라인을 통해서 pppd 에게 해당 기능을 위임 가능

기본적으로 VPN의 local IP주소는 서버의 아이피 주소와 동일하다

이것을 무시하려면 해당 아이피를 입력한다

Normally pptpd passes the IP address to pppd, but if pptpd has been given the delegate option in pptpd.conf or the --delegate command line option, 

then pppd will use chap-secrets or radius to allocate the client IP address.  

The default local IP address used at the server end is often the same as the address of the server.  

To override this, specify the local IP address here. (you must not use this unless you have used the delegate option)


debug : 연결에 대한 디버깅 기능 활성화 (pppd 가 보내는 로그는 syslog에 남음)

Enable connection debugging facilities


lock : 단독 액세스를 보장하기 위해 pseudo-tty 대한 UUCP 스타일의 잠금 파일을 만듬

Create a UUCP-style lock file for the pseudo-tty to ensure exclusive access.


nobsdcomp : BSD-압축을 해제

Disable BSD-Compress compression


novj / novjccomp : 윈도우 2000 이하 클라이언트를 위해 필요한 옵션

Disable Van Jacobson compression

(needed on some networks with Windows 9x/ME/XP clients, see posting to poptop-server on 14th April 2005 by Pawel Pokrywka and followups,

http://marc.theaimsgroup.com/?t=111343175400006&r=1&w=2 )

novj / novjccomp


nologfd : stderr 로 로그인 해제 / 루프백으로 pptp가 리다이렉트 될수 있기 때문에?

turn off logging to stderr, since this may be redirected to pptpd, which may trigger a loopback


댓글
댓글쓰기 폼