Создание VPN с использованием протоколов PPP и SSH

Require-pap На PPP -хосте требуется аутентификация PAP. Как мы опишем позже, pppd требует наличия tty, через который осуществляется связь. Изменять статус маршрутизации IP можно, изменяя соответствующий параметр ядра. Однако PPP не ограничивается только физическими соединениями, соединения по протоколу PPP могут быть установлены между любыми хостами, имеющими сетевую связь.

Поэтому нам надо запустить ssh от имени sshvpn с помощью команды sudo -u sshvpn ssh. Таким образом, модель, использующая идентификатор SSH, позволит пользователю VPN на машине-клиенте соединиться с сервером без пароля, и при этом никакие другие соединения с сервером дозволяться не будут. Заключение В этой главе мы обсудили все, что необходимо для успешного создания безопасной VPN с помощью протоколов PPP и SSH. Однако сейчас нам нужно убрать эту возможность и позволить выполнять аутентификацию протоколу SSH.

Мы будем использовать его для создания «псевдонимов» (Alias) наших соединений. Pub # для SSH2 На сервере создадим каталог.ssh, принадлежащий sshvpn таким образом: root@bears-server# su - sshvpn sshvpn@bears-server mkdir.ssh sshvpn@bears-server chmod 700.ssh Теперь нужно скопировать публичный ключ на сервер.

Этот файл содержит аргументы команды ssh, используемые при установлении соединения, это предотвращает ошибки при ручном вводе аргументов. Это может привести к замедлению работы VPN. Однако, поскольку срок действия этого патента уже истек, это больше не проблема. Require-chap На PPP -хосте требуется аутентификация chap. Debug Используется для получения дополнительной отладочной информации.

Pid в добавление к стандартному / var / run / ppp - device. Накладывание ограничений на идентификаторы SSH Путем модификации файла.ssh/authorized_keys2 можно наложить ограничения на принимаемые идентификаторы SSH.

Создание файла sshd_config для VPN и запуск демона ssh (если нужно). Этот адрес не должен находится в сети, доступной любой машине. Предположим, что по какой-то причине пользователь sshvpn на сервере в действительности имеет имя pppme. Необязательный параметр, но полезный, если аутентификация присутствует. Так что, мы опишем несколько методов, используя которые вы сможете указать скрипту ip-up на наши программы.