Product SiteDocumentation Site

10.2. شبکه خصوصی مجازی

یک Virtual Private Network یا به اختصار VPN روشی برای پیوند زدن دو شبکه محلی از طریق ایجاد تونل در اینترنت است؛ تونل معمولا برای محرمانگی اطلاعات رمزنگاری می‌شود. از VPN معمولا برای برقراری ارتباط با یک رایانه در شبکه داخلی یک شرکت استفاده می‌شود.
ابزارهای بسیاری این قابلیت را فراهم می‌کنند. OpenVPN یک راهکار موثر، ساده برای راه‌اندازی و نگهداری و امن بر اساس SSL/TLS است. امکان دیگر استفاده از IPsec برای رمزگذاری ترافیک بین دو رایانه است؛ این رمزنگاری به صورت شفاف است، یعنی برنامه‌هایی که روی این رایانه‌ها اجرا می‌شوند برای استفاده از VPN نیاز به تغییر ندارند. SSH نیز علاوه بر کاربرد اصلی خود، برای فراهم‌کردن VPN مورد استفاده قرار می‌گیرد. در نهایت، یک VPN می‌تواند توسط پروتکل PPTP از مایکروسافت برقرار شود. گزینه‌های دیگری نیز وجود دارند اما خارج از تمرکز این کتاب هستند.

10.2.1. OpenVPN

OpenVPN نرم‌افزاری است که برای ایجاد شبکه‌های خصوصی مجازی استفاده می‌شود. راه‌اندازی آن شامل ایجاد رابط‌های شبکه خصوصی روی سرور VPN و کلاینت‌های آن است؛ هر دو رابط tun (برای تونل‌های سطح IP) و tap (برای تونل‌های سطح Ethernet) پشتیبانی می‌شوند. در عمل، رابط‌های tun اغلب مورد استفاده قرار می‌گیرند زمانی که کلاینت‌های VPN قرار باشد درون شبکه محلی سرور با استفاده از پل Ethernet تنظیم گردند.
OpenVPN برای عملیات رمزنگاری SSL/TLS و سایر قابلیت‌ها (محرمانگی، احرازهویت، جامعیت، انکارناپذیری) به OpenSSL وابسته است. امکان پیکربندی آن با استفاده از یک کلید خصوصی اشتراکی یا گواهینامه‌های X.509 مبتنی بر زیرساخت کلید عمومی وجود دارد. شیوه دوم پیکربندی به شدت ارجحیت دارد، چرا که در زمان درخواست سایر کاربران برای دسترسی به VPN، انعطاف‌پذیری بیشتری دارد.

فرهنگ SSL و TLS

پروتکل SSL یا Secure Socket Layer توسط Netscape برای برقراری ارتباطات امن با وب سرورها اختراع شد. اندکی بعد توسط کارگروه مهندسی اینترنت یا IETF تحت عنوان TLS یا Transport Layer Security استانداردسازی شد. از آن زمان به بعد TLS به پیشرفت خود ادامه داد و SSL بر اساس چندین آسیب‌پذیری در طراحی اولیه متوقف شد.

10.2.1.1. زیرساخت کلید عمومی: easy-rsa

الگوریتم RSA در رمزنگاری کلید-عمومی کاربرد بسیاری دارد. این الگوریتم شامل یک “زوج کلید” است که از یک کلید عمومی و خصوصی تشکیل شده است. این دو کلید بسیار عملکرد نزدیکی دارند و خصوصیات ریاضی آن‌ها به گونه‌ای است که پیام رمزگذاری شده با کلید عمومی تنها می‌تواند با کلید خصوصی مرتبط با آن رمزگشایی شود، که این امر به محرمانگی اطلاعات کمک می‌کند. از طرف دیگر، پیامی که با کلید خصوصی رمزگذاری شده باشد توسط هر کسی که کلید عمومی را بداند قابل رمزگشایی است، که این امر به احرازهویت فرستنده کمک می‌کند چرا که تنها یک نفر به کلید خصوصی دسترسی دارد. زمانی که با یک تابع مخلوط‌سازی دیجیتال (MD5، SHA1 یا یک گزینه مشابه) این امر به یک مکانیزم امضا منجر می‌شود که می‌تواند برای هر پیام بکار رود.
با این وجود، هر فردی می‌تواند زوج کلید خود را به نام فرد دیگری بوجود آورد. یک راه شامل مفهوم CA یا Certification Authority است که توسط X.509 استانداردسازی شده است. این عبارت شامل یک موجودیت دارای زوج کلید به نام root certificate است. از این گواهینامه تنها برای امضای سایر گواهینامه‌ها (زوج کلیدها) استفاده می‌شود، پس از اینکه گام‌های مورد نیاز برای شناسایی هویت را انجام دهد. برنامه‌هایی که از X.509 استفاده می‌کنند می‌توانند در صورت دانستن گواهینامه‌های ریشه، به بررسی گواهینامه‌های خود بپردازند.
OpenVPN از این قانون استفاده می‌کند. از آنجا که CAهای عمومی در ازای مبلغ (سنگینی) حاضر به تبادل گواهینامه‌ها هستند، امکان ایجاد یک CA خصوصی در شرکت وجود دارد. بسته easy-rsa شامل ابزاری است که امکان ایجاد زیرساخت گواهینامه X.509 را فراهم می‌کند، که به صورت چند اسکریپت با استفاده از دستور openssl پیاده‌سازی شده است.

یادداشت easy-rsa قبل از Jessie

در نسخه‌های دبیان تا Wheezy، بسته easy-rsa به عنوان قسمتی از openvpn توزیع می‌شد و اسکریپت‌های آن در مسیر /usr/share/doc/openvpn/examples/easy-rsa/2.0/ قرار داشتند. راه‌اندازی یک CA شامل رونوشت گرفتن از آن دایرکتوری، بجای استفاده از دستور make-cadir بود که در اینجا به آن می‌پردازیم.
مدیرسیستم‌های شرکت فالکوت از این ابزار برای ایجاد گواهینامه‌های مورد نظر در هر دو سمت کلاینت و سرور استفاده می‌کنند. این کار امکان پیکربندی تمام کلاینت‌ها را به صورت مشابهی فراهم می‌آورد چرا که آن‌ها تنها باید به گواهینامه‌های خصوصی در محل شرکت فالکوت اعتماد کنند. این CA اولین گواهینامه موجود است؛ به این منظور، مدیرسیستم‌ها اقدام به ایجاد یک دایرکتوری با فایل‌های مورد نیاز CA می‌کنند، احتمالا روی رایانه‌ای که به شبکه متصل نباشد تا با اینکار امکان لو رفتن کلید خصوصی CA را کاهش دهند. 
$ make-cadir pki-falcot
$ cd pki-falcot
آنگاه اقدام به ذخیره‌سازی پارامترهای مورد نیاز در فایل vars می‌کنند، به خصوص آن‌هایی که پیشوند KEY_ دارند؛ این متغیرها در ادامه به محیط اجرایی اضافه خواهند شد: 
$ vim vars
$ grep KEY_ vars
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export KEY_SIZE=2048
export KEY_EXPIRE=3650
export KEY_COUNTRY="FR"
export KEY_PROVINCE="Loire"
export KEY_CITY="Saint-Étienne"
export KEY_ORG="Falcot Corp"
export KEY_EMAIL="admin@falcot.com"
export KEY_OU="Certificate authority"
export KEY_NAME="Certificate authority for Falcot Corp"
# If you'd like to sign all keys with the same Common Name, uncomment the KEY_CN export below
# export KEY_CN="CommonName"
$ . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/roland/pki-falcot/keys
$ ./clean-all
گام بعد ایجاد زوج کلید خود CA است (این دو قسمت از زوج کلید در فایل‌های keys/ca.crt و keys/ca.key ذخیره می‌شوند): 
$ ./build-ca
Generating a 2048 bit RSA private key
...................................................................+++
...+++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:
Common Name (eg, your name or your server's hostname) [Falcot Corp CA]:
Name [Certificate authority for Falcot Corp]:
Email Address [admin@falcot.com]:
اکنون گواهینامه مربوط به سرور VPN می‌تواند ایجاد گردد، همین طور پارامترهای Diffie-Hellman مورد نیاز برای بخش سمت-سرور یک ارتباط SSL/TLS. سرور VPN توسط نام دامنه vpn.falcot.com شناخته می‌شود؛ این نام برای فایل‌های دیگری نیز استفاده شده است (keys/vpn.falcot.com.crt برای گواهینامه عمومی و keys/vpn.falcot.com.key برای کلید خصوصی آن): 
$ ./build-key-server vpn.falcot.com
Generating a 2048 bit RSA private key
.....................................................................................................................+++
...........+++
writing new private key to 'vpn.falcot.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:
Common Name (eg, your name or your server's hostname) [vpn.falcot.com]:
Name [Certificate authority for Falcot Corp]:
Email Address [admin@falcot.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /home/roland/pki-falcot/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'FR'
stateOrProvinceName   :PRINTABLE:'Loire'
localityName          :T61STRING:'Saint-\0xFFFFFFC3\0xFFFFFF89tienne'
organizationName      :PRINTABLE:'Falcot Corp'
organizationalUnitName:PRINTABLE:'Certificate authority'
commonName            :PRINTABLE:'vpn.falcot.com'
name                  :PRINTABLE:'Certificate authority for Falcot Corp'
emailAddress          :IA5STRING:'admin@falcot.com'
Certificate is to be certified until Mar  6 14:54:56 2025 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$ ./build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
[…]
گام بعدی گواهینامه‌های مورد نیاز کلاینت‌های VPN را ایجاد می‌کند؛ برای هر رایانه یا فردی که قصد استفاده از VPN را دارد، یک گواهینامه مورد نیاز است: 
$ ./build-key JoeSmith
Generating a 2048 bit RSA private key
................................+++
..............................................+++
writing new private key to 'JoeSmith.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Loire]:
Locality Name (eg, city) [Saint-Étienne]:
Organization Name (eg, company) [Falcot Corp]:
Organizational Unit Name (eg, section) [Certificate authority]:Development unit
Common Name (eg, your name or your server's hostname) [JoeSmith]:Joe Smith
[…]
اکنون تمام گواهینامه‌ها ایجاد شده‌اند و باید به مکان مناسبی منتقل شوند: کلید عمومی گواهینامه ریشه (keys/ca.crt) در تمام رایانه‌ها (کلاینت و سرور) به نام /etc/ssl/certs/Falcot_CA.crt ذخیره می‌شود. گواهینامه سرور تنها در سرور ذخیره می‌شود (keys/vpn.falcot.com.crt به /etc/ssl/vpn.falcot.com.crt و keys/vpn.falcot.com.key به /etc/ssl/vpn.falcot.com.key تغییر نام می‌یابند همراه با مجوزهای محدودشده به طوری که تنها مدیرسیستم قابلیت خواندن داشته باشد) و پارامترهای Diffie-Hellman نیز (keys/dh2048.pem) در فایل /etc/openvpn/dh2048.pem نصب می‌گردند. گواهینامه‌های کلاینت هم به شیوه‌ای مشابه روی هر کلاینت VPN ذخیره می‌شوند.

10.2.1.2. پیکربندی سرور OpenVPN

به صورت پیش‌فرض، اسکریپت راه‌انداز OpenVPN اقدام به راه‌اندازی تمام شبکه‌های خصوصی مجازی تعریف شده در فایل /etc/openvpn/*.conf می‌کند. تنظیم یک سرور VPN به سادگی ذخیره‌سازی یک فایل پیکربندی در این دایرکتوری است. یک نقطه شروع مناسب عبارت است از /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz، که یک سرور استاندارد را تنظیم می‌کند. البته، برخی پارامترها باید تغییر کنند: ca، cert، key و dh نیاز به تعریف مکان‌های انتخابی دارند (به ترتیب، /etc/ssl/certs/Falcot_CA.crt، /etc/ssl/vpn.falcot.com.crt، /etc/ssl/private/vpn.falcot.com.key و /etc/openvpn/dh2048.pem). عبارت server 10.8.0.0 255.255.255.0 subnet مورد استفاده VPN را تعریف می‌کند؛ سرور از اولین نشانی IP در محدوده 10.8.0.1 استفاده می‌کند و سایر نشانی‌ها به کلاینت‌ها تخصیص داده می‌شوند.
با این پیکربندی، اجرای OpenVPN رابط شبکه مجازی را ایجاد می‌کند، معمولا تحت عنوان tun0. اگرچه، فایروال‌ها اغلب به شیوه مشابه رابط‌های واقعی شبکه پیکربندی می‌شوند، که درست قبل از آغاز OpenVPN اتفاق می‌افتند. البته توصیه می‌شود که ابتدا یک رابط شبکه مجازی پایدار ایجاد گردد، سپس OpenVPN را مبتنی با آن تنظیم کرد. این کار امکان نامگذاری برای رابط را فراهم می‌آورد. برای اینکار، دستور openvpn --mktun --dev vpn --dev-type tun یک رابط شبکه مجازی به نام vpn از نوع tun ایجاد می‌کند؛ این دستور به سادگی می‌تواند در یک اسکریپت پیکربندی فایروال یا یک دستور up در فایل /etc/network/interfaces قرار گیرد. فایل پیکربندی OpenVPN نیز مطابق آن باید بروزرسانی گردد، با استفاده از عبارت‌های dev vpn و dev-type tun.
بدون اقدام دیگری، کلاینت‌های VPN تنها از طریق نشانی 10.8.0.1 می‌توانند به سرور متصل گردند. برای صادر کردن مجوز دسترسی کلاینت‌ها به شبکه محلی (192.168.0.0/24)، نیاز است که عبارت push route 192.168.0.0 255.255.255.0 به فایل پیکربندی OpenVPN اضافه گردد تا کلاینت‌ها به صورت خودکار به شبکه VPN موجود متصل گردند. علاوه بر این، رایانه‌های شبکه محلی نیاز دارند در رابطه با مسیریابی از طریق سرور VPN به آن‌ها اطلاع‌رسانی گردد (زمانی که سرور VPN به gateway متصل باشد این اتفاق می‌افتد). همین طور، سرور VPN می‌تواند به منظور ماسک‌گذاری IP پیکربندی گردد ( قسمت 10.1, “Gateway” را مشاهده کنید).

10.2.1.3. پیکربندی کلاینت OpenVPN

تنظیم یک کلاینت OpenVPN نیز نیازمند ایجاد یک فایل پیکربندی در /etc/openvpn/ است. یک پیکربندی ساده می‌تواند مانند /usr/share/doc/openvpn/examples/sample-config-files/client.conf باشد. عبارت remote vpn.falcot.com 1194 نشانی و درگاه سرور OpenVPN را مشخص می‌کند؛ ca، cert و key برای مشخص‌کردن محل فایل‌های کلید باید تعریف شوند.
اگر نیاز به آغاز VPN هنگام راه‌اندازی اولیه نباشد، عبارت AUTOSTART را به none در فایل /etc/default/openvpn تنظیم کنید. شروع و پایان یک ارتباط VPN همیشه با استفاده از دستورات service openvpn@name start و service openvpn@name stop ممکن است (به صورتی که name ارتباط با نام موجود در فایل /etc/openvpn/name.conf منطبق است).
بسته network-manager-openvpn-gnome شامل یک افزونه برای مدیر شبکه است ( قسمت 8.2.5, “پیکربندی خودکار شبکه برای کاربران” را مشاهده کنید) که امکان مدیریت شبکه‌های خصوصی مجازی را فراهم می‌کند. این ابزار به هر کاربر امکان پیکربندی OpenVPN را از یک رابط گرافیکی می‌دهد.

10.2.2. VPN به همراه SSH

دو راه برای ایجاد شبکه خصوصی مجازی با استفاده از SSH وجود دارد. شیوه قدیمی‌تر شامل برقراری یک لایه PPP برفزار پیوند SSH است. این روش در یک سند جداگانه بررسی شده است:
→ http://www.tldp.org/HOWTO/ppp-ssh/
روش دوم جدیدتر است و با انتشار نسخه ۴.۳ از OpenSSH معرفی شد؛ اکنون برای OpenSSH امکان ایجاد رابط‌های مجازی شبکه (tun*) در هر دو سمت ارتباط SSH وجود دارد و این رابط‌های مجازی می‌توانند همانند رابط‌های فیزیکی پیکربندی گردند. سیستم تونل‌‌کشی ابتدا باید با تنظیم PermitTunnel به “yes” در فایل پیکربندی سرور SSH (/etc/ssh/sshd_config) فعال گردد. هنگام برقراری ارتباط SSH، ایجاد یک تونل باید به صورت اختصاصی و با گزینه -w any:any بیان شود (any می‌تواند با شماره دستگاه tun مورد نظر جایگزین گردد). این امر نیازمند داشتن دسترسی مدیریتی برای کاربر در هر دو سمت است، همان‌طور که برای ایجاد دستگاه شبکه مورد نیاز است (به عبارت دیگر، ارتباط باید از طریق root برقرار شود).
هر دو روش ایجاد یک شبکه خصوصی مجازی از طریق SSH بسیار سرراست هستند. اگرچه، VPN که فراهم می‌کنند عملکرد بهینه‌ای نخواهد داشت؛ به طور مشخص، به خوبی نمی‌تواند ترافیک بالا را مدیریت کند.
توضیح اینکه هنگام قراردادن یک پشته TCP/IP در یک ارتباط TCP/IP (برای SSH)، پروتکل TCP دو بار استفاده می‌شود، یکبار برای ارتباط SSH و بار دیگر برای تونل. این کار به مشکل بر می‌خورد، به خصوص از آنجا که TCP با تغییر در زمان تاخیر بسته‌ها، خود را با شبکه منطبق می‌سازد. سایت
→ http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
به جزئیات بیشتری از این مشکل می‌پردازد. VPN از طریق SSH تنها باید برای تونل‌های یک-طرفه بدون محدودیت عملکرد در نظر گرفته شود.

10.2.3. IPsec

IPsec، بر خلاف استاندارد بودن در IP ٰVPN، بیشتر در پیاده‌سازی آن نقش دارد. موتور IPsec در کرنل لینوکس قرار دارد؛ قسمت‌های مورد نظر فضای-کاربر، ابزارهای پیکربندی و کنترل توسط بسته ipsec-tools فراهم شده‌اند. در حقیقت، هر فایل /etc/ipsec-tools.conf شامل پارامترهای IPsec tunnels (یا Security Associations در واژگان IPsec) است که میزبان با آن ارتباط دارد؛ اسکریپت /etc/init.d/setkey روشی برای آغاز و پایان یک تونل فراهم می‌کند (هر تونل یک پیوند امن به میزبان دیگری است که به شبکه خصوصی مجازی متصل است). این فایل می‌تواند به صورت دستی از مستندات موجود در صفحه راهنمای setkey(8) ساخته شود. البته، نوشتن پارامترهای تمام میزبان‌ها در یک مجموعه بزرگ از رایانه‌ها به آرامی به فرآیندی دشوار تبدیل می‌شود، چرا که تعداد تونل‌ها به سرعت افزایش می‌یابند. نصب یک فرآیند پس‌زمینه IKE (که مخفف IPsec Key Exchange است) مانند racoon یا strongswan به ساده‌تر شدن کار مدیریت آن‌ها به صورت مرکزی و امن‌تر شدن آن‌ها با بایگانی‌های متعدد منجز می‌شود.
علی رغم وضعیت IPsec به عنوان یک راه حل جامع، پیچیدگی تنظیم آن در واقع منجر به کاهش استفاده‌اش می‌گردد. راه‌حل‌های مبتنی بر OpenVPN زمانی که تعداد تونل‌ها زیاد یا پویا نباشند ترجیخ داده می‌شوند.

احتیاط IPsec و NAT

NATکردن فایروال و IPsec به خوبی با یکدیگر کار نمی‌کنند: از آنجا که IPsec بسته‌ها را امضا کرده، هر تغییری احتمالی روی این بسته‌ها توسط فایروال منجر به باطل‌شدن امضا می‌گردد و بسته‌ها در مقصد تحویل داده نمی‌شوند. بسیاری از پیاده‌سازی‌های IPsec اکنون با شامل شدن تکنیک NAT-T (به معنی NAT Traversal) با قراردادن بسته IPsec در یک بسته استاندارد UDP به این مشکل رسیدگی می‌کنند.

امنیت IPsec و فایروال‌ها

حالت استاندارد عملیات IPsec شامل تبادل داده روی درگاه ۵۰۰ UDP برای تبادل کلید (یا درگاه ۴۵۰۰ UDP در صورت استفاده از NAT-T) است. علاوه بر این، بسته‌های IPsec از دو پروتکل اختصاصی IP استفاده می‌کنند که فایروال باید اجازه عبور آن‌ها را صادر کند؛ دریافت این بسته‌ها بر اساس شماره پروتکل آن‌ها است یعنی ۵۰ برای ESP و ۵۱ برای AH.

10.2.4. PPTP

PPTP که مخفف Point-to-Point Tunneling Protocol است از دو کانال ارتباطی استفاده می‌کند، یکی برای کنترل داده و دیگری برای تبادل آن؛ کانال دوم از پروتکل GRE یا Generic Routing Encapsulation استفاده می‌کند. سپس یک پیوند استاندارد PPP از طریق کانال اول صورت می‌گیرد.

10.2.4.1. پیکربندی کلاینت

بسته pptp-linux شامل یک کلاینت PPTP است که به راحتی برای کلاینت تنظیم می‌گردد. دستورالعمل پیش رو بر اساس مستندات رسمی آن الهام گرفته شده است:
→ http://pptpclient.sourceforge.net/howto-debian.phtml
مدیرسیستم‌های فالکوت فایل‌های متعددی ایجاد کرده‌اند: /etc/ppp/options.pptp، /etc/ppp/peers/falcot، /etc/ppp/ip-up.d/falcot و /etc/ppp/ip-down.d/falcot.

مثال 10.2. فایل /etc/ppp/options.pptp

# PPP options used for a PPTP connection
lock
noauth
nobsdcomp
nodeflate

مثال 10.3. فایل /etc/ppp/peers/falcot

# vpn.falcot.com is the PPTP server
pty "pptp vpn.falcot.com --nolaunchpppd"
# the connection will identify as the "vpn" user
user vpn
remotename pptp
# encryption is needed
require-mppe-128
file /etc/ppp/options.pptp
ipparam falcot

مثال 10.4. فایل /etc/ppp/ip-up.d/falcot

# Create the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  route add -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi

مثال 10.5. فایل /etc/ppp/ip-down.d/falcot

# Delete the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  route del -net 192.168.0.0 netmask 255.255.255.0 dev $1
fi

امنیت MPPE

امن‌کردن PPTP مستلزم استفاده از ویژگی MPPE یا Microsoft Point-to-Point Encryption است، که در کرنل‌های رسمی دبیان به عنوان یک ماژول موجود است.

10.2.4.2. پیکربندی سرور

احتیاط PPTP و فایروال‌ها

فایروال‌های میانی باید طوری پیکربندی شوند که اجازه عبور بسته‌های IP با استفاده از پروتکل ۴۷ GRE را داشته باشند. علاوه بر این، درگاه ۱۷۲۳ از سرور PPTP به منظور برقراری کانال ارتباطی باید باز باشند.
pptpd سرور PPTP برای لینوکس است. فایل اصلی پیکربندی آن، /etc/pptpd.conf، نیاز به تغییرات اندکی دارد: localip (نشانی محلی) و remoteip (نشانی راه‌دور). در نمونه زیر، سرور PPTP همیشه از نشانی 192.168.0.199 استفاده می‌کند و کلاینت‌ها نیز نشانی خود را بین بازه 192.168.0.200 تا 192.168.0.250 دریافت می‌کنند.

مثال 10.6. فایل /etc/pptpd.conf

# TAG: speed
#
#       Specifies the speed for the PPP daemon to talk at.
#
speed 115200

# TAG: option
#
#       Specifies the location of the PPP options file.
#       By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/pptpd-options

# TAG: debug
#
#       Turns on (more) debugging to syslog
#
# debug

# TAG: localip
# TAG: remoteip
#
#       Specifies the local and remote IP address ranges.
#
#       You can specify single IP addresses separated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#
#       2. If you give more IP addresses than MAX_CONNECTIONS, it will
#          start at the beginning of the list and go until it gets
#          MAX_CONNECTIONS IPs. Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.
#
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
#localip 10.0.1.1
#remoteip 10.0.1.2-100
localip 192.168.0.199
remoteip 192.168.0.200-250
پیکربندی PPP مورد استفاده سرور PPTP نیازمند برخی تغییرات در /etc/ppp/pptpd-options است. پارامترهای مهم عبارتند از نام سرور (pptp)، نام دامنه (بشمزخف.زخپ) و نشانی‌های IP برای سرورهای DNS و WINS.

مثال 10.7. فایل /etc/ppp/pptpd-options

## turn pppd syslog debugging on
#debug

## change 'servername' to whatever you specify as your server name in chap-secrets
name pptp
## change the domainname to your local domain
domain falcot.com

## these are reasonable defaults for WinXXXX clients
## for the security related settings
# The Debian pppd package now supports both MSCHAP and MPPE, so enable them
# here. Please note that the kernel support for MPPE must also be present!
auth
require-chap
require-mschap
require-mschap-v2
require-mppe-128

## Fill in your addresses
ms-dns 192.168.0.1
ms-wins 192.168.0.1

## Fill in your netmask
netmask 255.255.255.0

## some defaults
nodefaultroute
proxyarp
lock
آخرین گام ثبت کاربر vpn و گذرواژه مربوط به آن در فایل /etc/ppp/chap-secrets است. بر خلاف مواقعی که کاراکتر ستاره (*) کار می‌کرد، نام سرور مشخصا باید در این قسمت درج شود. علاوه بر این، کلاینت‌های PPTP در ویندوز خود را به صورت DOMAIN\\USER معرفی می‌کنند به جای اینکه تنها نام کاربری را نشان دهند. به همین دلیل است که فایل به کاربر FALCOT\\vpn اشاره کرده است. همچنین امکان اختصاص نشانی‌های IP انفرادی برای هر کاربر وجود دارد؛ یک کاراکتر ستاره در این قسمت به معنای استفاده از نشانی‌های پویا است.

مثال 10.8. فایل /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret      IP addresses
vpn             pptp    f@Lc3au     *
FALCOT\\vpn     pptp    f@Lc3au     *

امنیت آسیب‌پذیری‌های PPTP

اولین پیاده‌سازی PPTP از مایکروسافت باعث انتقادات بسیاری شد چرا که آسیب‌پذیری‌های امنیتی زیادی را شامل می‌شد؛ اکثر آن‌ها با انتشارهای بعدی برطرف شدند. پیکربندی که در این قسمت توضیح داده شد از آخرین نسخه این پروتکل استفاده می‌کند. آگاه باشید که حذف کردن برخی گزینه‌ها (مانند require-mppe-128 و require-mschap-v2) به آسیب‌پذیری مجدد سروس منجر می‌شوند.