Configurando o cliente SSTP no Debian

Navegue suas respostas
10

Eu precisaria conectar meu servidor Debian (estável) a um servidor Windows Server 2008 R2, que está agindo como um servidor VPN SSTP. Eu consegui instalar o sstp-client no meu servidor Debian, mas eu não sei como configurar a conexão para que Eu posso executá-lo no fundo. Além disso, há muitas coisas que eu não entendo sobre todo o processo de configuração.

Seguindo alguns conselhos que encontrei na Internet, desativei a autenticação do servidor remoto adicionando noauth a /etc/ppp/options . Além disso, adicionei as opções refuse-pap , refuse-eap , refuse-chap , refuse-mschap e require mppe para forçar a autenticação MS-CHAP-v2 (o servidor Windows está configurado para aceitar isso e não os outros).

Se eu correr do terminal

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

a conexão funciona, e abrindo outro terminal, posso acessar uma página da web que só pode ser acessada pela VPN.

Eu tentei criar o arquivo etc/ppp/peers/sstp-1 com o conteúdo 

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

e, em seguida, executando a partir da linha de comando sudo pon sstp-1 . A conexão falha e sudo plog mostra 

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

Eu tenho algumas perguntas sobre isso:

  1. Como configurar o /etc/ppp/peers/sstp-1 para que eu possa conectar / desconectar a VPN em segundo plano (para ser usado em um script)?
  2. O servidor do Windows criptografa o tráfego da VPN usando um certificado autoassinado. Por que, usando a configuração de conexão acima, não preciso instalar o certificado na máquina cliente? O tráfego é criptografado?

Obrigado desde já, Joel Lehikoinen

    
por Joel Lehikoinen 04.08.2014 / 16:31

1 resposta

3

  1. O que quebrou a configuração foi fornecer --user e --password como opções de linha de comando na linha que começa com pty . O nome de usuário já é fornecido na próxima linha e a senha deve ser fornecida em /etc/ppp/chap-secrets . O problema foi corrigido alterando essa linha para 

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"

    Além disso, não há necessidade de editar /etc/ppp/options , já que os parâmetros de configuração já estão no arquivo de configuração do SSTP /etc/ppp/peers/sstp-1

  2. Parece que, pelo menos com a opção noauth , que eu achava que apenas desabilitaria a autenticação do servidor no PPP, sstp-client também aceitaria um certificado de servidor SSL auto-assinado sem qualquer reclamações.

    Como solução alternativa, uma possibilidade parece estar criando um certificado de CA autoassinado, assinando o certificado do servidor com isso e fornecendo --ca-cert /path/to/snakeoil-ca.pem como opções de linha de comando para o sstp-client (ou seja, no diretório " pty "linha do arquivo), que limita o certificado SSL do servidor a um valor conhecido.

por 14.08.2014 / 12:18

Tags

Como mostrar números de linha no vim no lado direito do buffer? Como posso executar um comando no bash após qualquer alteração no $ PWD?