Mengkonfigurasi klien SSTP di Debian

11

Saya perlu menghubungkan server Debian (stabil) saya ke server Windows Server 2008R2, yang bertindak sebagai server VPN SSTP. Saya telah berhasil menginstal sstp-client di server Debian saya, tetapi saya tidak tahu cara mengkonfigurasi koneksi sehingga saya dapat menjalankannya di latar belakang. Selain itu, ada cukup banyak hal yang saya tidak mengerti tentang keseluruhan proses konfigurasi.

Berikut beberapa saran saya temukan di internet, saya dinonaktifkan otentikasi dari server jauh dengan menambahkan noauthke /etc/ppp/options. Selain itu, saya menambahkan ada pilihan refuse-pap, refuse-eap, refuse-chap, refuse-mschapdan require mppeuntuk memaksa MS-CHAP-v2 otentikasi (server Windows dikonfigurasi untuk menerima itu dan bukan yang lain).

Jika saya lari dari terminal

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

koneksi berfungsi, dan membuka terminal lain, saya dapat mengakses halaman web yang hanya dapat diakses melalui VPN.

Saya sudah mencoba membuat file etc/ppp/peers/sstp-1dengan konten

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

dan kemudian lari dari baris perintah sudo pon sstp-1. Koneksi gagal, dan sudo plogmuncul

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

Saya punya beberapa pertanyaan mengenai semua ini:

  1. Bagaimana cara mengatur /etc/ppp/peers/sstp-1agar saya dapat menghubungkan / memutuskan sambungan ke VPN di latar belakang (untuk digunakan dalam skrip)?
  2. Server Windows mengenkripsi lalu lintas VPN menggunakan sertifikat yang ditandatangani sendiri. Mengapa, menggunakan konfigurasi koneksi di atas, saya tidak perlu menginstal sertifikat pada mesin klien? Apakah lalu lintas dienkripsi sama sekali?

Terima kasih sebelumnya, Joel Lehikoinen

Joel Lehikoinen
sumber

Jawaban:

4
  1. Apa yang melanggar konfigurasi adalah menyediakan --userdan --passwordsebagai opsi baris perintah pada baris yang dimulai dengan pty. Nama pengguna sudah diberikan pada baris berikutnya dan kata sandi harus disediakan di /etc/ppp/chap-secrets. Masalah telah diperbaiki dengan mengubah baris itu menjadi

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
    

    selain itu, tidak perlu mengedit /etc/ppp/options, karena parameter konfigurasi sudah diberikan dalam file konfigurasi SSTP/etc/ppp/peers/sstp-1

  2. Tampaknya, setidaknya dengan noauthopsi, yang saya pikir hanya akan menonaktifkan otentikasi server dalam PPP, sstp-client juga menerima sertifikat server SSL yang ditandatangani sendiri tanpa keluhan.

    Sebagai solusi, satu kemungkinan tampaknya menciptakan sertifikat CA yang ditandatangani sendiri, menandatangani sertifikat server dengan itu, dan menyediakan --ca-cert /path/to/snakeoil-ca.pemsebagai opsi baris perintah untuk sstp-klien (yaitu, pada baris "pty" file ), yang membatasi sertifikat SSL server ke nilai yang diketahui.

oseiskar
sumber