Configurare il client SSTP su Debian

11

Dovrei collegare il mio server Debian (stabile) a un server Windows Server 2008R2, che funge da server VPN SSTP. Sono riuscito a installare sstp-client sul mio server Debian, ma non so come configurare la connessione in modo da poterla eseguire in background. Inoltre, ci sono molte cose che non capisco sull'intero processo di configurazione.

Seguendo alcuni consigli che ho trovato su Internet, ho disabilitato l'autenticazione del server remoto aggiungendo noautha /etc/ppp/options. Inoltre, ho aggiunto lì la scelta refuse-pap, refuse-eap, refuse-chap, refuse-mschape require mppealla forza di autenticazione MS-CHAP v2-(il server di Windows è configurato per accettare questo e non gli altri).

Se corro dal terminale

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

la connessione funziona e, aprendo un altro terminale, posso accedere a una pagina Web a cui è possibile accedere solo tramite VPN.

Ho provato a creare il file etc/ppp/peers/sstp-1con il contenuto

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

e quindi in esecuzione dalla riga di comando sudo pon sstp-1. La connessione fallisce e sudo plogmostra

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

Ho un paio di domande su tutto questo:

  1. Come impostare in /etc/ppp/peers/sstp-1modo che io possa connettermi / disconnettermi alla VPN in background (da usare in uno script)?
  2. Il server Windows crittografa il traffico VPN utilizzando un certificato autofirmato. Perché, utilizzando la configurazione di connessione sopra, non è necessario installare il certificato sul computer client? Il traffico è crittografato?

Grazie già in anticipo, Joel Lehikoinen

debian  vpn 
Joel Lehikoinen
fonte

Risposte:

4

  1. Ciò che ha rotto la configurazione stava fornendo --usere --passwordcome opzioni della riga di comando sulla riga che inizia con pty. Il nome utente è già indicato nella riga successiva e la password deve essere fornita in /etc/ppp/chap-secrets. Il problema è stato risolto cambiando quella linea in

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"

    inoltre, non è necessario modificarlo /etc/ppp/options, poiché i parametri di configurazione sono già indicati nel file di configurazione SSTP/etc/ppp/peers/sstp-1

  2. Sembrerebbe che, almeno con l' noauthopzione, che pensavo potesse disabilitare solo l'autenticazione del server in PPP, sstp-client accetta anche un certificato server SSL autofirmato senza alcuna lamentela.

    Come --ca-cert /path/to/snakeoil-ca.pemsoluzione alternativa , una possibilità sembra essere la creazione di un certificato CA autofirmato, firmando il certificato del server con quello e fornendo come opzioni della riga di comando a sstp-client (ovvero, sulla riga "pty" del file ), che vincola il certificato SSL del server a un valore noto.

oseiskar
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.