Product SiteDocumentation Site

10.2. الشبكة الظاهرية الخاصة

الشبكة الظاهرية الخاصة Virtual Private Network (أو VPN اختصاراً) هي طريقة لربط شبكتين محليتين مختلفتين بوساطة نفق عبر الإنترنت؛ عادة ما يكون النفق مشفراً لضمان سرية البيانات. غالبًا ما تستخدم شبكات VPN لدمج جهاز بعيد مع الشبكة المحلية للشركة.
هناك عدة أدوات توفر هذا. OpenVPN هو حل فعال، وسهل النشر والصيانة (المتابعة)، ويعتمد على SSL/TLS. من الاحتمالات الأخرى استعمال IPsec لتشفير IP traffic بين جهازين، بأسلوب شفاف؛ أي لا توجد حاجة لتعديل التطبيقات التي تعمل على هذين الجهازين حتى تستفيد من وجود VPN. يمكن استخدام SSH أيضًا لتوفير شبكة خاصة ظاهرية، بالإضافة لمزاياه التقليدية الأخرى. أخيراً، يمكن إنشاء VPN باستخدام بروتوكول PPTP الخاص بشركة Microsoft. هناك حلول أخرى متاحة، لكنها تقع خارج مدى هذا الكتاب.

10.2.1. ‏OpenVPN

OpenVPN هو برنامج مخصص لإنشاء الشبكات الخاصة الظاهرية. يحتاج إعداد OpenVPN إلى إنشاء واجهات شبكية ظاهرية (بطاقات شبكة ظاهرية) على مخدم VPN وعلى العميل (أو العملاء)؛ يدعم البرنامج كلاً من واجهات tun (للأنفاق على مستوى IP) وواجهات tap (للأنفاق على مستوى Ethernet). عملياً، تستخدم واجهات tun في معظم الحالات إلا في حال الرغبة بدمج عملاء VPN مع شبكة المخدم المحلية عبر جسر Ethernet.
يعتمد OpenVPN على OpenSSL في جميع عمليات تشفير SSL/TLS والمزايا المرتبطة بها (السرية، المصادقة، سلامة البيانات، منع الإنكار non-repudiation). يمكن إعداد OpenVPN باستخدام مفتاح خاص مشترك أو باستخدام شهادات X.509 تعتمد على بنية تحتية للمفاتيح العامة (Public Key Infrastructure). الأسلوب الثاني في الإعداد مفضل دوماً لأنه يسمح بمرونة أكبر في حال وجود عدد متزايد من المستخدمين الرُحَّل الذين يتصلون بشبكة VPN.

ثقافة SSL وTLS

اخترعت Netscape بروتوكول SSL ‏(Secure Socket Layer) لتأمين الاتصالات مع مخدمات الوب. لاحقًا جعلت IETF هذا البروتوكول معياراً قياسيًا تحت اسم TLS‏ (Transport Layer Security). ومنذ ذلك الحين استمر TLS بالتطور والآن أصبح SSL مهجوراً نتيجة اكتشاف عيوب عديدة في التصميم.

10.2.1.1. البنية التحتية للمفاتيح العامة: easy-rsa

تستخدم خوارزمية RSA كثيراً في مجال التشفير بالمفتاح العام (التشفير غير المتناظر). تحتاج عملية التشفير إلى زوج من المفاتيح، يتألف من مفتاح خاص ومفتاح عام. المفتاحان متعلقان ببعضهما، ومن خصائصهما الرياضية أن الرسالة المشفرة بالمفتاح العام لا يمكن فك تشفيرها إلا بالمفتاح الخاص، وهذا يضمن سرية البيانات. من جهة أخرى، يستطيع أي شخص يملك المفتاح العام فك تشفير الرسائل المشفرة بالمفتاح الخاص، وهذا يسمح بالتحقق من أصالة مصدر الرسالة لأنه لا يستطيع أحد توليدها ما لم يملك المفتاح الخاص. وعند اقتران هذه الطريقة مع تابع تهشير رقمي digital hash function (مثل MD5 أو SHA1، أو بديل أحدث)، ينتج عنها آلية توقيع يمكن تطبيقها على أي رسالة.
على أي حال، يستطيع أي أحد أن يولد زوجاً من المفاتيح، ويخزن عليه أي هوية يريد، ثم ينتحل الهوية التي يختار. لحل هذه المشكلة قدم معيار X.509 مفهوم سلطة التصديق Certification Authority ‏(CA). هذه الهيئة تملك زوجاً موثوقاً من المفاتيح يعرف باسم الشهادة الجذر root certificate. تستخدم هذه الشهادة لتوقيع الشهادات (أزواج المفاتيح) الأخرى فقط، وذلك بعد اتخاذ الإجراءات المناسبة للتأكد من الهوية المخزنة في زوج المفاتيح. تستطيع بعدها التطبيقات التي تستفيد من X.509 أن تتحقق من الشهادات المقدمة لها، إذا كانت تعرف الشهادات الجذر الموثوقة من قبل.
يتبع OpenVPN هذه القاعدة. بما أن سلطات التصديق العامة لا توقع الشهادات إلا بمقابل رسوم مالية (كبيرة)، فإنه يمكن أيضًا إنشاء سلطة تصديق خاصة داخل الشركة. توفر الحزمة easy-rsa الأدوات التي تقدم بنية تحتية للتصديق وفق X.509، وهي عبارة عن مجموعة من السكربتات التي تستعمل الأمر openssl.

ملاحظة easy-rsa قبل جيسي

في إصدارات دبيان السابقة وصولاً إلى ويزي، كانت easy-rsa توزع كجزء من الحزمة openvpn، وكانت سكربتاتها توضع في المجلد /usr/share/doc/openvpn/examples/easy-rsa/2.0/. وكان يجب نسخ ذلك المجلد لإعداد سلطة تصديق بدلاً من استخدام الأمر make-cadir كما هو مشروح هنا.
قرر مديرو النظم في شركة فلكوت استخدام هذه الأداة لإنشاء الشهادات المطلوبة لكل من المخدم والعملاء. هذا يجعل إعدادات العملاء متشابهة لأنها تحتاج فقط لضبطها بحيث تثق بالشهادات الصادرة عن سلطة التصديق المحلية في فلكوت. أول شهادة يجب إنشاؤها هي سلطة التصديق هذه؛ لذلك سوف يجهز مديرو النظام مجلداً يحوي الملفات المطلوبة لسلطة التصديق في مكان مناسب، ويفضل أن يكون على جهاز غير متصل بالشبكة للحد من خطر سرقة المفتاح الخاص بسلطة التصديق (CA). 
$ make-cadir pki-falcot
$ cd pki-falcot
بعدها سوف يحفظون المتغيرات المطلوبة في ملف vars، خصوصًا تلك التي يبدأ اسمها بـKEY_؛ ثم تدمج هذه المتغيرات في البيئة: 
$ vim vars
$ grep KEY_ vars
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export KEY_SIZE=2048
export KEY_EXPIRE=3650
export KEY_COUNTRY="FR"
export KEY_PROVINCE="Loire"
export KEY_CITY="Saint-Étienne"
export KEY_ORG="Falcot Corp"
export KEY_EMAIL="admin@falcot.com"
export KEY_OU="Certificate authority"
export KEY_NAME="Certificate authority for Falcot Corp"
# If you'd like to sign all keys with the same Common Name, uncomment the KEY_CN export below
# export KEY_CN="CommonName"
$ . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/roland/pki-falcot/keys
$ ./clean-all
الخطوة التالية هي إنشاء زوج المفاتيح الخاص بسلطة التصديق نفسه (سيخزن جزئي الزوج في keys/ca.crt و keys/ca.key خلال هذه الخطوة): 
$ ./build-ca
Generating a 2048 bit RSA private key
...................................................................+++
...+++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:
Common Name (eg, your name or your server's hostname) [Falcot Corp CA]:
Name [Certificate authority for Falcot Corp]:
Email Address [admin@falcot.com]:
يمكن الآن إنشاء شهادة مخدم VPN، بالإضافة إلى متغيرات Diffie-Hellman التي يحتاجها الطرف المخدم في اتصالات SSL/TLS. يعرف مخدم VPN باسم DNS الخاص به: vpn.falcot.com؛ سيستخدم هذا الاسم في ملفات المفاتيح المولدة (keys/vpn.falcot.com.crt للشهادة العامة، وkeys/vpn.falcot.com.key للمفتاح الخاص): 
$ ./build-key-server vpn.falcot.com
Generating a 2048 bit RSA private key
.....................................................................................................................+++
...........+++
writing new private key to 'vpn.falcot.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:
Common Name (eg, your name or your server's hostname) [vpn.falcot.com]:
Name [Certificate authority for Falcot Corp]:
Email Address [admin@falcot.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /home/roland/pki-falcot/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'FR'
stateOrProvinceName   :PRINTABLE:'Loire'
localityName          :T61STRING:'Saint-\0xFFFFFFC3\0xFFFFFF89tienne'
organizationName      :PRINTABLE:'Falcot Corp'
organizationalUnitName:PRINTABLE:'Certificate authority'
commonName            :PRINTABLE:'vpn.falcot.com'
name                  :PRINTABLE:'Certificate authority for Falcot Corp'
emailAddress          :IA5STRING:'admin@falcot.com'
Certificate is to be certified until Mar  6 14:54:56 2025 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$ ./build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
[…]
تنشئ الخطوة التالية شهادات عملاء VPN؛ كل حاسوب أو شخص يسمح له باستخدام VPN يحتاج لشهادة: 
$ ./build-key JoeSmith
Generating a 2048 bit RSA private key
................................+++
..............................................+++
writing new private key to 'JoeSmith.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:Development unit
Common Name (eg, your name or your server's hostname) [JoeSmith]:Joe Smith
[…]
الآن بعد إنشاء جميع الشهادات، يجب نسخها إلى الأماكن المناسبة: يجب تخزين المفتاح العام للشهادة الجذر (keys/ca.crt) على جميع الأجهزة (المخدم والعملاء) في الملف /etc/ssl/certs/Falcot_CA.crt. تنصب شهادة المخدم على المخدم فقط (keys/vpn.falcot.com.crt يذهب إلى /etc/ssl/vpn.falcot.com.crt، و keys/vpn.falcot.com.key يذهب إلى /etc/ssl/private/vpn.falcot.com.key مع تقييد الصلاحيات بحيث لا يستطيع قراءتها أحد إلا مدير النظام)، مع تنصيب متغيرات Diffie-Hellman ‏(keys/dh2048.pem) في /etc/openvpn/dh2048.pem. تنصب شهادات العملاء على أجهزة العملاء الموافقة لها بأسلوب مشابه.

10.2.1.2. إعداد مخدم OpenVPN

افتراضيًا، يحاول سكربت تهيئة OpenVPN بدء جميع الشبكات الخاصة الظاهرية المعرفة في /etc/openvpn/*.conf. إذن لإعداد مخدم VPN يكفي تخزين ملف الضبط المناسب في هذا المجلد. يمكن الاستفادة من الملف /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz، الذي ينشئ مخدماً قياسيًا نسبيًا. طبعاً هناك بعض المتغيرات التي يجب تعديلها: حيث يجب أن تذكر المتغيرات ca، ‏cert، ‏key، و dh المواقع الموافقة (وهي على الترتيب: /etc/ssl/certs/Falcot_CA.crt، ‏/etc/ssl/vpn.falcot.com.crt،‏ /etc/ssl/private/vpn.falcot.com.key و/etc/openvpn/dh2048.pem). تُعرِّف التعليمة التوجيهية server 10.8.0.0 255.255.255.0 الشبكة الفرعية (subnet) المستخدمة في شبكة VPN؛ يستعمل المخدم عنوان IP الأول في ذلك المجال (وهو العنوان 10.8.0.1) أما بقية العناوين فمخصصة للعملاء.
في هذا الإعداد، لا تنشأ الواجهة الشبكية الظاهرية إلا عند تشغيل OpenVPN، وعادة ما تدعى tun0. لكن ضبط الجدران النارية يتم غالبًا في نفس وقت ضبط الواجهات الشبكية الحقيقية، وهو ما يحدث قبل بدء OpenVPN. لذلك كان من الأفضل إنشاء واجهة شبكية ظاهرية دائمة، وإعداد OpenVPN بحيث يستعمل هذه الواجهة الموجودة مسبقًا. كما أن هذا يسمح باختيار اسمٍ لهذه الواجهة. ينشئ الأمر openvpn --mktun --dev vpn --dev-type tun واجهة شبكية ظاهرية اسمها vpn من النوع tun؛ يمكن تضمين هذا الأمر بسهولة في سكربت إعداد الجدار الناري، أو في تعليمة up توجيهية في الملف /etc/network/interfaces. يجب تحديث ملف إعداد OpenVPN أيضًا بما يناسب ذلك، باستخدام التوجيهين dev vpn وdev-type tun.
إذا لم نضف أي إجراءات أخرى، لا يستطيع عملاء VPN الوصول إلا لمخدم VPN نفسه، وذلك عبر العنوان 10.8.0.1. للسماح للعملاء بالوصول إلى الشبكة المحلية (192.168.0.0/24)، يجب إضافة تعليمة push route 192.168.0.0 255.255.255.0 إلى إعدادات OpenVPN بحيث يحصل عملاء VPN تلقائياً على مسار توجيه شبكي يبين لهم أن الوصول لهذه الشبكة يتم عبر VPN. بالإضافة لهذا، يجب إعلام الأجهزة في الشبكة المحلية أيضًا أن الوصول إلى شبكة VPN يتم عبر مخدم VPN (هذه هي الحالة الافتراضية إذا كان مخدم VPN منصب على بوابة الشبكة المحلية). أو يمكن ضبط مخدم VPN لإجراء تنكر لعناوين IP بحيث تبدو الاتصالات الواردة من عملاء VPN كما لو كانت ترد من مخدم VPN (انظر قسم 10.1, “البوابات”).

10.2.1.3. إعداد عملاء OpenVPN

لإعداد عميل VPN يجب أيضاً إنشاء ملف إعداد في المجلد /etc/openvpn/. يمكن الاستعانة بالملف /usr/share/doc/openvpn/examples/sample-config-files/client.conf للحصول على إعداد قياسي. تُعرِّف التعلمية التوجيهية remote vpn.falcot.com 1194 عنوان مخدم OpenVPN ورقم المنفذ؛ يجب أيضًا تعديل ca، ‏cert، وkey بحيث تشير إلى مواقع ملفات المفاتيح.
إذا لم تكن هناك رغبة بتشغيل VPN تلقائياً عند الإقلاع، فيجب ضبط خيار AUTOSTART إلى none في الملف /etc/default/openvpn. يمكن دائماً بدء اتصال VPN أو قطعه باستخدام الأمر service openvpn@name start والأمر service openvpn@name stop (حيث يوافق المتغير name اسم الاتصال المعرف في /etc/openvpn/name.conf).
تحوي الحزمة network-manager-openvpn-gnome إضافة لبرنامج إدارة الشبكة (انظر قسم 8.2.5, “إعداد الشبكة الآلي للمستخدمين الرُّحَّل”) تسمح بإدارة شبكات OpenVPN الخاصة الظاهرية. هذا يسمح لكل مستخدم بإعداد اتصالات OpenVPN رسوميًا والتحكم بها عبر أيقونة إدارة الشبكة.

10.2.2. الشبكات الخاصة الظاهرية باستخدام SSH

في الواقع هناك طريقتين لإنشاء الشبكات الخاصة الظاهرية باستخدام SSH. الطريقة القديمة تتضمن إنشاء طبقة PPP عبر وصلة SSH. هذه الطريقة مشروحة في وثيقة HOWTO التالية:
→ http://www.tldp.org/HOWTO/ppp-ssh/
الطريقة الثانية أحدث من السابقة، وقد ظهرت في OpenSSH 4.3؛ حيث أصبح OpenSSH قادراً على إنشاء واجهات شبكية ظاهرية (tun*) على طرفي اتصال SSH، ويمكن إعداد هذه الواجهات الظاهرية تماماً كما لو كانت واجهات فيزيائية. يجب أولاً تفعيل نظام الأنفاق من خلال ضبط قيمة الخيار PermitTunnel على ”yes“ في ملف إعداد مخدم SSH ‏(/etc/ssh/sshd_config). عند إنشاء اتصال SSH، يجب طلب إنشاء النفق صراحة باستخدام الخيار -w any:any (يمكن استبدال any برقم جهاز tun المرغوب). هذا يتطلب من المستخدم تقديم صلاحيات مدير النظام على طرفي الاتصال، وذلك حتى يتمكن من إنشاء الجهاز الشبكي (بكلمات أخرى، يجب بدء الاتصال بصلاحيات root).
كل من هاتين الطريقتين لإنشاء الشبكات الخاصة الظاهرية عبر SSH بسيطة جداً. لكن شبكات VPN الناتجة ليست أكثر الخيارات المتاحة فعالية؛ خصوصًا أنها لا تتعامل مع الكميات الكبيرة من البيانات بشكل جيد.
السبب هو أنه عندما يتم تغليف طبقات البروتوكول TCP/IP ضمن اتصال TCP/IP (اتصال SSH)، سوف يستخدم بروتوكول TCP/IP مرتين، مرة لاتصال SSH ومرة داخل النفق. هذا يؤدي إلى مشاكل، خصوصاً نتيجة أسلوب TCP في التكيّف مع شروط الشبكة من خلال تعديل مهلة timeout. يشرح الموقع التالي المشكلة بتفصيل أكبر:
→ http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
إذن يجب عدم استخدام شبكات VPN عبر SSH إلا عند إنشاء الأنفاق المؤقتة التي لا يكون الأداء الضعيف فيها مهماً.

10.2.3. ‏IPsec

رغم أن IPsec هو المعيار القياسي لشبكات IP VPN، إلا أن استخدامه أصعب بكثير. إن IPsec نفسه مدمج في النواة لينكس؛ أما أدوات المستخدم المطلوبة –أدوات التحكم والإعداد– فهي متوفرة في الحزمة ipsec-tools. من الناحية العملية، لكل جهاز ملف /etc/ipsec-tools.conf يحوي متغيرات أنفاق IPsec (أو Security Associations، حسب مصطلحات IPsec) الخاصة بالجهاز؛ ويسمح السكربت /etc/init.d/setkey بفتح النفق وإغلاقه (كل نفق هو اتصال مؤمن مع جهاز آخر متصل بالشبكة الخاصة الظاهرية). يبنى هذا الملف يدويًا من التوثيق المتوفر في صفحة التعليمات setkey(8)‎. إلا أن كتابة المتغيرات صراحة لكل جهاز في مجموعة كبيرة من الأجهزة ستصبح مهمة شاقة سريعاً، لأن عدد الأنفاق سيكبر بسرعة. سوف يبسط تثبيت خدمة IKE (اختصاراً للعبارة IPsec Key Exchange) مثل racoon، أو strongswan العملية كثيراً بتجميع مهام الإدارة في موقع مركزي، وسيجعلها آمن من خلال تدوير (rotating) المفاتيح دورياً.
رغم أن IPsec هو المرجع في شبكات VPN، إلا أن تعقيد إعداده يحد من استخدامه عمليًا. الحلول التي تعتمد على OpenVPN مفضلة عموماً عندما لا تكون الأنفاق المطلوبة كثيرة العدد ولا كثيرة التغير مع الزمن.

تحذير IPsec وNAT

الجدران النارية التي تقدم خدمة NAT لا تعمل جيداً مع IPsec: بما أن IPsec يوقّع الحزم، فإن أي تغيير يجريه الجدار الناري عليها سوف يبطل التوقيع، وسوف ترفض الحزم عندما تصل إلى وجهتها. تتضمن العديد من تطبيقات IPsec اليوم تقنية NAT-T (اختصاراً للعبارة NAT Traversal)، التي تعمل أساساً على تغليف حزم IPsec بحزم UDP قياسية.

أمن IPsec والجدران النارية

الوضع القياسي لعمل IPsec يتضمن تبادل البيانات عبر منفذ UDP رقم 500 (وأيضاً على منفذ UDP رقم 4500 في حال استخدام NAT-T). بالإضافة لذلك، تستخدم حزم IPsec بروتوكولي IP مخصَّصَين يجب أن يسمح الجدار الناري بمرورهما؛ يعتمد استقبال هذه الحزم على أرقام بروتوكولاتها، 50 (ESP)، و51 (AH).

10.2.4. ‏PPTP

يستخدم PPTP (اختصاراً للعبارة Point-to-Point Tunneling Protocol) قناتي اتصال، واحدة لمعلومات التحكم، والأخرى لتبادل البيانات؛ تستخدم القناة الأخيرة بروتوكول GRE‏ (Generic Routing Encapsulation). بعدها يتم إعداد اتصال PPP قياسي عبر قناة تبادل البيانات.

10.2.4.1. إعداد العميل

تحوي الحزمة pptp-linux عميل PPTP سهل الإعداد لنظام لينكس. الخطوات التالية مستوحاة من التوثيق الرسمي:
→ http://pptpclient.sourceforge.net/howto-debian.phtml
لقد أنشأ مديرو النظم في شركة فلكوت عدة ملفات: /etc/ppp/options.pptp،‏ /etc/ppp/peers/falcot،‏ /etc/ppp/ip-up.d/falcot، و /etc/ppp/ip-down.d/falcot.

مثال 10.2. الملف /etc/ppp/options.pptp

# PPP options used for a PPTP connection
lock
noauth
nobsdcomp
nodeflate

مثال 10.3. الملف /etc/ppp/peers/falcot

# vpn.falcot.com is the PPTP server
pty "pptp vpn.falcot.com --nolaunchpppd"
# the connection will identify as the "vpn" user
user vpn
remotename pptp
# encryption is needed
require-mppe-128
file /etc/ppp/options.pptp
ipparam falcot

مثال 10.4. الملف /etc/ppp/ip-up.d/falcot

# Create the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  route add -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi

مثال 10.5. الملف /etc/ppp/ip-down.d/falcot

# Delete the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  route del -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi

أمن MPPE

لتأمين PPTP يجب استخدام ميزة MPPE ‏(Microsoft Point-to-Point Encryption)، وهي متوفرة في النوى القياسية لتوزيعة دبيان بشكل وحدة.

10.2.4.2. إعداد المخدم

تحذير PPTP والجدران النارية

يجب ضبط الجداران النارية الوسيطة للسماح بعبور حزم IP التي تستخدم البروتوكول 47 (GRE). بالإضافة لهذا، يجب فتح منفذ مخدم PPTP رقم 1723 حتى يسمح لقناة الاتصال بأن تفتح.
pptpd هو مخدم PPTP في لينكس. لا يحتاج ملف إعداداته الرئيسي، /etc/pptpd.conf، إلا لبعض التغييرات القليلة: localip (عنوان IP المحلي)، وremoteip (عنوان IP البعيد). في المثال التالي، يمتلك مخدم PPTP العنوان 192.168.0.199 دوماً، أما عملاء PPTP فيأخذون العناوين من 192.168.0.200 وحتى 192.168.0.250.

مثال 10.6. الملف /etc/pptpd.conf

# TAG: speed
#
#       Specifies the speed for the PPP daemon to talk at.
#
speed 115200

# TAG: option
#
#       Specifies the location of the PPP options file.
#       By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/pptpd-options

# TAG: debug
#
#       Turns on (more) debugging to syslog
#
# debug

# TAG: localip
# TAG: remoteip
#
#       Specifies the local and remote IP address ranges.
#
#       You can specify single IP addresses separated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#
#       2. If you give more IP addresses than MAX_CONNECTIONS, it will
#          start at the beginning of the list and go until it gets
#          MAX_CONNECTIONS IPs. Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.
#
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
#localip 10.0.1.1
#remoteip 10.0.1.2-100
localip 192.168.0.199
remoteip 192.168.0.200-250
كما أن إعدادات PPP التي يستخدمها مخدم PPTP تحتاج أيضاً بعض التعديلات على الملف /etc/ppp/pptpd-options. المتغيرات المهمة هي اسم المخدم (pptp)، واسم النطاق (falcot.com)، وعناوين IP لمخدمات DNS و WINS.

مثال 10.7. الملف /etc/ppp/pptpd-options

## turn pppd syslog debugging on
#debug

## change 'servername' to whatever you specify as your server name in chap-secrets
name pptp
## change the domainname to your local domain
domain falcot.com

## these are reasonable defaults for WinXXXX clients
## for the security related settings
# The Debian pppd package now supports both MSCHAP and MPPE, so enable them
# here. Please note that the kernel support for MPPE must also be present!
auth
require-chap
require-mschap
require-mschap-v2
require-mppe-128

## Fill in your addresses
ms-dns 192.168.0.1
ms-wins 192.168.0.1

## Fill in your netmask
netmask 255.255.255.0

## some defaults
nodefaultroute
proxyarp
lock
الخطوة الأخيرة هي تسجيل المستخدم vpn (وكلمة سره) في الملف /etc/ppp/chap-secrets. يجب تعبئة اسم المخدم بشكل صريح هنا، بخلاف الحالات الأخرى حيث يمكن استخدام النجمة (*) فيها. بالإضافة لذلك، تعرّف عملاء PPTP التي تعمل على ويندوز نفسها بالشكل DOMAIN\\USER، بدلاً من تقديم اسم المستخدم فقط. هذا يفسر وجود المستخدم FALCOT\\vpn في الملف. من الممكن أيضاً تحديد عناوين IP الخاصة بالمستخدمين؛ استخدام النجمة في هذا الحقل يدل على أننا نريد استخدام العنونة الديناميكية.

مثال 10.8. الملف /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret      IP addresses
vpn             pptp    f@Lc3au     *
FALCOT\\vpn     pptp    f@Lc3au     *

أمن ثغرات PPTP

التطبيقات الأولى لبروتوكول PPTP من مايكروسوفت تلقت نقداً حاداً لوجود العديد من الثغرات الأمنية فيها؛ لقد أصلحت معظمها منذ ذلك الوقت في الإصدارات الحديثة. الإعداد المقدم في هذا القسم يعتمد على أحدث إصدار من البروتوكول. لكن انتبه إلى أن إزالة بعض الخيارات (مثل require-mppe-128 وrequire-mschap-v2) سوف يجعل الخدمة ضعيفة ثانية.