Андрей Смирнов
Время чтения: ~22 мин.
Просмотров: 1

Как установить и настроить безопасный pptp сервер на debian linux

Особенности

Технология PPPoE — беспроводная, передающая данные через радиоэфир. Выделенная линия слишком дорогая, а ее проведение не всегда возможно физически. Модемное подключение медленное и часто срывается. Радиосоединение более надежно.

Провайдеры не всегда готовы предоставить высокую скорость, которую сами же и урезают

Здесь важно отрегулировать антенну и направить ее на станцию, чтобы оптимизировать подачу сигнала. Есть еще такое понятие, как wan miniport PPPoE

Что это спросите вы? Если коротко, то это еще одна область, на которую может ссылаться сообщение об ошибке подключения. При ее возникновении свяжитесь с технической поддержкой.

Configure

To configure pptpclient you will need to collect the following information from your network administrator:

  • The IP address or hostname of the VPN server.
  • The username you will use to connect.
  • The password you will use to connect.
  • The authentication (Windows) domain name. This is not necessary for certain networks.

You must also decide what to name the tunnel.

Configure using pptpsetup

You can configure and delete tunnels by running the pptpsetup tool as root. For example:

pptpsetup --create my_tunnel --server vpn.example.com --username alice --password foo --encrypt
pptpsetup --delete my_tunnel

You can after a tunnel has been configured.

Edit The options File

The file sets security options for your VPN client. If you have trouble connecting to your network, you may need to relax the options. At a minimum, this file should contain the options , , and .

/etc/ppp/options
# Lock the port
lock
# We don't need the tunnel server to authenticate itself
noauth
# Turn off compression protocols we know won't be used
nobsdcomp
nodeflate
# We won't do PAP, EAP, CHAP, or MSCHAP, but we will accept MSCHAP-V2
# (you may need to remove these refusals if the server is not using MPPE)
refuse-pap
refuse-eap
refuse-chap
refuse-mschap

Edit The chap-secrets File

The file contains credentials for authenticating a tunnel. Make sure no one except root can read this file, as it contains sensitive information.

chmod 0600 /etc/ppp/chap-secrets

Edit the file. It has the following format:

/etc/ppp/chap-secrets
<DOMAIN>\\<USERNAME> PPTP <PASSWORD> *

Replace each bracketed term with an appropriate value. Omit if your connection does not require a domain.

Note: Place your password in double quotation marks () if it contains special characters such as .

Warning: This file contains passwords in plain text. Guard it well!

Name Your Tunnel

The file contains tunnel-specific configuration options. is the name you wish to use for your VPN connection. The file should look like this:

/etc/ppp/peers/<TUNNEL>
pty "pptp <SERVER> --nolaunchpppd"
name <DOMAIN>\\<USERNAME>
remotename PPTP
require-mppe-128
file /etc/ppp/options
ipparam <TUNNEL>

Again, omit if your connection does not require a domain. is the remote address of the VPN server, is the domain your user belongs to, is the name you will use to connect to the server, and is the name of the connection.

Note: is used to find in the File.

Note: If you do not need MPPE support, you should remove the option from this file and from

Examples

Add new profile

To add the profile ex that assigns the router itself the 10.0.0.1 address, and the addresses from the ex pool to the clients, filtering traffic coming from clients through mypppclients chain:

 ppp profile> add name=ex local-address=10.0.0.1 remote-address=ex incoming-filter=mypppclients
 ppp profile> print
Flags: * - default
 0 * name="default" use-compression=no use-vj-compression=no use-encryption=no only-one=no
     change-tcp-mss=yes
 1   name="ex" local-address=10.0.0.1 remote-address=ex use-compression=default
     use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=default
     incoming-filter=mypppclients
 2 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes
     only-one=default change-tcp-mss=default
 ppp profile>

Making A VPN Daemon and Connecting On Boot

This article or section is out of date.

You can create a simple daemon for your VPN connection by creating an appropriate script:

Note: As always, is the name of your tunnel. is the command you use to add the appropriate route to the routing table.

Note: The stop functionality of this script will not work if the and arguments are passed to when pon is started. The reason for this is that the script contains a bug when determining the PID of the specified process if arguments were passed to .

To resolve this issue, you can patch your file by making the following changes on line 93:

-PID=`ps axw | grep "pppd call $1 *\$" | awk '{print $1}'`
+PID=`ps axw | grep "pppd call $1" | awk '{print $1}'`
/etc/rc.d/name-of-your-vpn
#!/bin/bash

. /etc/rc.conf
. /etc/rc.d/functions

DAEMON=<TUNNEL>-vpn
ARGS=

[ -r /etc/conf.d/$DAEMON ] && . /etc/conf.d/$DAEMON


case "$1" in
 start)
   stat_busy "Starting $DAEMON"
   pon <TUNNEL> updetach persist &>/dev/null && <ROUTING COMMAND> &>/dev/null
   if ; then
     add_daemon $DAEMON
     stat_done
   else
     stat_fail
     exit 1
   fi
   ;;
 stop)
   stat_busy "Stopping $DAEMON"
   poff <TUNNEL> &>/dev/null
   if ; then
     rm_daemon $DAEMON
     stat_done
   else
     stat_fail
     exit 1
   fi
   ;;
 restart)
   $0 stop
   sleep 1
   $0 start
   ;;
 *)
   echo "usage: $0 {start|stop|restart}"  
esac

Note: We call in the script with two additional arguments: and . The argument makes pon block until the connection has been established. The other argument, , makes the network automatically reconnect in the event of a failure. To connect at boot add @<TUNNEL>-vpn to the end of your array in .

Протокол PPPoE: что это и какие ошибки может выдавать

При работе с протоколом PPPoE могут возникнуть различные технические ошибки, по каждой из которых уже разработаны алгоритмы решений. О них стоит поговорить подробнее. Рассмотрим типичные ошибки PPPoE.

Популярная неполадка имеет номер 633 и означает отсутствие модема или его некорректную настройку. Для исправления положения можно осуществить перезагрузку компьютера, попытаться выйти в Интернет и заново создать подключение.

Ошибка номер 676 означает, что линия занята. Требуется снова войти по локальной сети и подключиться, а после перезагрузки удалить и заново установить сетевой драйвер.

Если не отвечает удаленный компьютер то можно проверить работоспособность антивируса и настройку сетевого экрана, если он имеется. Следует заново включить проверить работу кабеля и присутствие контакта в разъемах. Кроме того, проверьте работу карты и переустановите драйверы. Допускается отсутствие связи с сервером, но это уже системная проблема.

В любом случае нужно понять причину неполадки и выделить все возможные источники проблем. Вы можете обратиться к провайдеру, где вас проконсультирует служба поддержки. Другие распространенные (запрещен доступ), 711 (проблема служб), 720 (рассогласование протоколов подключения), 52 (при совпадающих именах не удается подключение к сети).

Многочисленны номера внутренних ошибок системы Windows (600, 601, 603, 606, 607, 610, 613, 614, 616 и другие) устраняются путем перезагрузки и удаления вирусов. Лучше отменять изменения в настройках, которые недавно были произведены. Если имеется некорректная настройка внутренней конфигурации сети, то возникает ошибка 611. Необходимо проверить функционирование локального подключения.

Ошибка 617 может быть симптомом внутренней неполадки ОС. С большинством нарушений в работе помогут разобраться технические специалисты службы поддержки. В ОС есть информация о неисправностях, проводится их диагностика, при этом варианты решения проблем уже заложены в систему.

18.1 Я вкомпилировал поддержку PPP в ядро, но …

Самая общая проблема состоит в том, что люди компилируют поддержку PPP в ядро и
тем не менее, когда они пытаются выполнить pppd, ядро жалуется, что оно не
поддерживает ppp! Имеется ряд причин, посему это может происходить.

Хорошая проверка для ядра — команда uname -a, которая должна вывести

______________________________________________________________________

Linux archenland 2.0.28 #2 Thu Feb 13 12:31:37 EST 1997 i586
______________________________________________________________________

Выведены версия ядра и дата, когда это ядро компилировалось — этого должно быть
достаточно, чтобы разобраться с данным вопросом.

Вы вкомпилировали поддержку ppp в ядре как модуль?

Вы можете получить такую ошибку, если вы вкомпилировали поддержку ppp в ваше
ядро как модуль, но сам модуль не построили и не установили. Посмотрите
Kernel-HOWTO и файл README в /usr/src/linux!

Другая версия, относящаяся к проблеме с модулем, состоит в том, что вы ожидаете,
что требуемые модули будут автоматически загружены, но не запустили демон
kerneld (который на лету автоматически загружает и выгружает модули).

Проверьте kerneld mini-HOWTO для информации по настройке kerneld.

Вы используете правильную версию PPP для вашего ядра?

Вы должны использовать ppp-2.2 с ядром версии 2.0.x. Вы можете использовать
ppp-2.2 с ядром версии 1.2.x (если вы отпатчилиядро) иначе вы должны
использовать ppp-2.1.2.

Troubleshooting

Default route

If you have a preconfigured default route before the pppd is started, the default route is kept, so take a look in and if you have something like:

pppd: not replacing existing default route via xxx.xxx.xxx.xxx

and is not the correct route for you

Create a new script in /etc/ppp/ip-pre-up.d with this content:

/etc/ppp/ip-pre-up.d/10-route-del-default.sh
#!/bin/sh
/usr/bin/route del default

Note: Make sure you have a script named ‘ip-pre-up’ which launches *.sh in ‘ip-pre-up.d’ like other launch scripts do.

Restart the pppd service.

Masquerading seems to be working fine but some sites do not work

The MTU under pppoe is 1492 bytes. Most sites use an MTU of 1500. So your connection sends an ICMP 3:4 (fragmentation needed) packet, asking for a smaller MTU, but some sites have their firewall blocking that.

Enabling the PMTU clamping in iptables can solve that:

iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Now, for some reason, just trying to save the resulting iptables configuration with iptables-save and restoring it later, does not work. It has to be executed after the other iptables configuration had been loaded. So, here is a systemd unit to solve it:

pmtu-clamping.service
Description=PMTU clamping for pppoe
Requires=iptables.service
After=iptables.service


Type=oneshot
ExecStart=/usr/bin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


WantedBy=multi-user.target

And enable it.

pppd cannot load kernel module ppp_generic

When starting PPTP client, the pppd process cannot locate the appropriate module:

Couldn't open the /dev/ppp device: No such device or address
Please load the ppp_generic kernel module.

The solution is to edit the file and change

alias char-major-108 ppp

to

alias char-major-108 ppp_generic

or just add such alias if it does not exist.

18.2 Мой модем соединяется, но ppp не запускается

На это может иметься бесконечное множество причин (см. comp.os.linux…).

САМАЯ основная ошибка — вы имеете опечатки в ваших скриптах.
Единственое, что здесь можно сделать — это удостовериться, в правильной работе
сценария chat, пролистав ваш syslog (/var/log/messages) строчка за строчкой.

Можно попробовать попытаться соединиться с PPP сервером вручную, чтобы
проверить не изменились ли условия регистрации в системе.

Вы должны очень тщательно проверить лог-файл и посмотреть там реально
выдаваемые подсказки и имейте в виду, что мы — люди часто заменяем в своем
воображении фактически написанный текст на тот, который нам показался
написаным на этом месте!

Список кодов ошибок подключения с 600 по 800

К каждой из неполадок имеется пошаговый план по ее устранению. Если проделанные действия не помогли в доступе, следует обратиться за помощью в техподдержку.

Полный список ошибок с номерами 6ХХ:

  • 600, 601, 603, 606, 607, 610, 613, 614, 616, 618, 632, 637, 645 связаны с ошибкой ОС Windows. Решает проблему перезагрузка ПК. Если перезапуск системы не помог, необходимо просканировать устройство на вирусы, удалить новые программы или вернуть последние изменения в настройках на первоначальные значения;
  • 604, 605, 608, 609, 615, 620 связаны с несовместимостью файла телефонной книги подсистемы и текущей конфигурации. Следует перезапустить компьютер или удалить и заново создать соединение;
  • 611, 612: неправильно настроенная внутренняя конфигурация. Требуется перезапустить ПК, проверить, что локальная сеть корректно работает на устройстве. 612-я также связана с нехваткой памяти на ПК.
  • 617: ОС подсоединяется к сети, или произошла внутренняя ошибка при подключении к интернету. Надо подождать несколько минут. Если соединение не появилось, придется перезагрузить устройство;
  • 629: VPN разорвано из-за плохого качества связи или неудачного согласования. Ошибку исправит только служба техподдержки;
  • 633: модем используется или не настроен. Причина часто в зависании, поэтому надо сделать перезагрузку.
  • 635: неизвестная ошибка. Решить ее поможет переустановка VPN клиента или ОС. Возникает на старых операционных системах «Виндовс» 95/98;
  • 642: компьютеру присвоено имя NetBIOS, уже используемое. В свойствах «Мой компьютер» следует посмотреть и изменить имя в пункте «Идентификация»;
  • 650: нет ответа от сервера. Связана неполадка с некорректными настройками сетевой карты или физической неисправностью сети.

С кодом 7ХХ:

  1. 721: VPN не отвечает. Необходимо проверить параметры сетевого адаптера;
  2. 743: некорректно установлены параметры шифрования. Решается путем отключения «Шифрование данных»;
  3. 789: неверно выбран тип VPN. В настройках во вкладке «Сеть» в списке «Тип VPN» выбирается PPTP VPN.
  4. 718: истекло время ожидания отклика. Для исправления ошибки удалить и заново создать высокоскоростное подключение. Если это не помогло, стоит обратиться к интернет-провайдеру, так как неисправность бывает с его стороны;
  5. 733, 734: неполадки с РРР. Рекомендуется пересоздать высокоскоростное соединение или проверить установки доступа в интернет;
  6. 741, 742: не поддерживается тип шифрования данных. Нужно убрать флажок с пункта «Требуется шифрование данных».

18.3 Syslog говорит «serial line is not 8 bit clean…»

в этом случае также возможны варианты — например последовательная линия looped
обратно и т.д., и происходить это может по ряду причин.

Чтобы понять, что происходит, необходимо немного углубиться в процессы,
происходящие в pppd непосредственно.

Когда pppd запускается, он посылает LCP (протокол управления связи) пакеты
удаленной машине. Если он получает приемлемый ответ, то переходит в следующую
стадию (используя IPCP пакеты) и только когда эти переговоры завершаются —
начинает действовать IP уровень так, чтобы вы могли использовать связь PPP.

Если на удаленном конце линии нет ppp сервера, то когда ваш PC посылает lcp
пакеты, они возвращаются искаженными процессом login на удаленномй конце.
Поскольку эти пакеты используют 8 битов, а вернувшиеся пакеты приходят с
отрезанным 8-ым битом (вспомните, что ASCII — 7 разрядный код), то PPP видит
это и соответственно жалуется.

Имеется несколько причин такого отражения сигналов.

Вы неправильно регистрируетесь на сервере

Когда ваш сценарий chat завершается, на вашем PC запускается pppd. Однако,
если вы не завершили процесс входа в систему на сервере (включая посылку
команды, требуемой для запуска PPP на сервере), то PPP не запустится.

Так lcp пакеты отражаются, и вы получаете эту ошибку.

Вы должны тщательно проверить и исправить (в случае необходимости) ваш сценарий
chat (см. выше).

Вы не запустили PPP на сервере

Некоторые PPP серверы требуют, чтобы вы ввели команду и/или нажали return после
завершения процесса регистрации, чтобы на удаленном конце стартовал ppp.

Проверьте ваш сценарий chat (см. выше).

Если вы регистрируетесь вручную и обнаруживаете, что после этого вы должны
послать return, чтобы запустить PPP, то просто добавьте пустую пару «ожидаемое-
посылаемое» в конец вашего сценария chat (пустая «посылаемая» строка
фактически посылает return).

Удаленный PPP процесс медленно запускается

This one is a bit tricksy!

По умолчанию, ваш Linux pppd скомпилирован для посылки максимум 10 lcp запросов
конфигурации. Если сервер медленно отвечает, то все 10 таких запросов могут
передаться до того, как удаленный PPP будет готов получить их.

На вашей машине pppd видит, что все 10 запросов отражены обратно (с 8-ым
отрезанным битом) и завершается.

Имеются два способа обхода:

Добавьте lcp-max-configure 30 в ваши опции ppp. Таким образом увеличивается
максимальное число посылаемых lcp пакетов выбора конфигурации.
Для действительно медленных серверов вам может понадобиться указать
еще большее количество таких пакетов.

В качестве альтернативы вы можете get a bit tricksy in return. Вы, возможно,
заметили, что, когда вы регистрировались вручную на PPP сервере, и PPP там
запускался, то первый символ ppp мусора был всегда символ тильды ( ).

Это наблюдение можно использовать таким образом — мы можем добавить новую пару
«ожидаемое-посылаемое» в конец вашего сценария chat, которая будет ожидать
тильду и не посылать ничего. Это можно сделать, например, так:

______________________________________________________________________

\~      ''
______________________________________________________________________

Обратите внимание: поскольку символ тильды имеет специальное значение в
shell, то нужно его за’escape’ить (и, следовательно, перед ним поставить
наклонную черту влево).

Network Operators

The Network Operators tab provides you with the possibility to scan for and manually manage mobile network opertors to which the router’s SIM card can connect to. Operator selection is only available for the primary SIM card. In order to specify an operator for the other SIM card it must first be selected as the primary SIM in the section.

Scan For Network Operators

Scan For Network Operators is a function that initiates a scan for mobile network operators available in your area. To initiate a scan, press the ‘Scan for operators’ button. After you do, you will be prompted with a pop-up asking if you wish to proceed. This is because while the scan is in progress you will lose your data connection for approximately 2 minutes.

After the scan is complete you will be presented with a list of operators available in your area. The list provides such information as operator’s name, code and network access type. You can also choose to which operator you would like to connect provided that the operator’s status is not Forbidden.

Below the list you can select how to the router should connect to network operators:

The ‘Reconnect interval’ box specifies how often the device will attempt to reconnect to a network operator, while the ‘Connection mode’ specifies the logic of how the router will connect operators:

  • Auto — the router automatically connects to the network operator that provides the best connectivity.
  • Manual — prompts you to enter an operator’s code*. The router will then only attempt to connect to the operator whose code was specified (even if previous attempts have been unsuccessful).
  • Manual-Auto — prompts you to enter an operator’s code* but if the router can’t complete the connection, it will automatically connect to the next available operator.

* Most network operators’ codes can be found online or you can initiate a scan for operators — if the operator you’re looking for can be reached from your current area, the list of available network operators will contain the desired operator’s code.

Operators List

The Operators List section is used for creating a blacklist or whitelist for undesired or desired operators.
Settings

FieldValueDescription
Enableyes | no; default: noTurns operator list on or off.
ModeBlacklist | Whitelist; default: WhitelistDefines how operators will be filtered.
  • Blacklist — operators contained in the blacklist are considered forbidden and your router will not attempt to connect to them even if they are available.
  • Whitelist — operators contained in the whitelist will be the only operators that the router will be trying to connect to. Other operators that are not in the whitelist will be considered forbidden.

Operators List

FieldValueDescription
Namestring; default: noneOperator’s name. Used only for easier management purposes and not in the actual filtering process.
Operator codeinteger; default: noneOperator’s code used to identify a network operator. You can find network operator codes online or use the router’s scan for operators function described .

Important: be mindful when using the Operators List function as it very easy to block yourself from the right operators and lose your data connection.

Принципы надежной передачи данных

Надежная передача данных по совершенно надежному каналу

Простейший случай. Отправляющая сторона просто принимает данные от верхнего уровня, создает содержащий их пакет и отправляет его в канал.

Надежная передача данных по каналу с возможными ошибками

Следующим этап — это предположение, что все переданные пакеты получены в том порядке, в котором они были отправлены, но биты в них могут быть повреждены, в связи с тем, что канал иногда передает данные с искажениями.

В таком случае применяются механизмы:

  • обнаружения ошибки;
  • обратной связи;
  • повторной передачи.

Протоколы надежной передачи данных, обладающие подобными механизмами многократного повторения передачи, называются протоколами с автоматическим запросом повторной передачи (Automatic Repeat reQuest, ARQ).
Дополнительно, стоит предусмотреть возможность ошибок и в квитанциях, когда принимающая сторона не получит никакой информации о результатах передачи последнего пакета.
Решение этой задачи, используемое в том числе в TCP, состоит в добавлении в пакет данных нового поля, содержащего порядковый номер пакета.

Надежная передача данных по ненадежному каналу, допускающему искажение и потерю пакетов

Одновременно с искажениями, к сожалению, в сети присутствует потеря пакетов.
И для решения этой задачи требуются механизмы:

  • определения факта потери пакетов;
  • повторной доставки потерянных пакетов принимающей стороне.

Передающей стороне необходимо запускать таймер каждый раз при передаче пакета (как при первой, так и при повторной), обрабатывать прерывания от таймера и останавливать его.

Итак, мы ознакомились с ключевыми понятиями протоколов надежной передачи данных:

  • контрольными суммами;
  • порядковыми номерами пакетов;
  • таймерами;
  • положительными и отрицательными квитанциями.

Но и это не все!

Протокол надежной передачи данных с конвейеризацией

В том варианте, который мы уже рассмотрели, протокол надежной доставки очень неэфективен. Он начинает «тормозить» передачу, обеспечиваемую каналом связи, при увеличении RTT. Для повышения его эффективности, лучшей утилизации пропускной способности канала связи применяют конвейеризацию.

Применение конвейеризации приводит к:

  • увеличению диапазона порядковых номеров, поскольку все отсылаемые пакеты (за исключением повторных передач) должны быть однозначно идентифицируемы;
  • необходимости в увеличении буферов на передающей и принимающей сторонах.

Диапазон порядковых номеров и требования к размерам буферов зависят от действий, предпринимаемых протоколом в ответ на искажение, потерю и задержку пакета. В случае конвейеризации существуют два метода исправления ошибок:

  • возвращение на N пакетов назад;
  • выборочное повторение.

Возвращение на N пакетов назад — протокол скользящего окна

Отправитель должен поддерживать три типа событий:

  • вызов протоколом более высокого уровня. Когда «сверху» вызывается функция отправки данных, передающая сторона сначала проверяет степень заполнения окна (то есть наличие N посланных сообщений, ожидающих получения квитанций). Если окно оказывается незаполненным, новый пакет формируется и передается, а значения переменных обновляются. В противном случае передающая сторона возвращает данные верхнему уровню, и это является неявным указанием, что окно заполнено. Обычно верхний уровень предпринимает повторную попытку передачи данных через некоторое время. В реальном приложении отправитель, скорее всего, либо буферизовал бы данные (вместо немедленной отсылки), либо имел механизм синхронизации (например, семафор или флаг), который позволял бы вышестоящему уровню вызывать функцию отправки данных только при незаполненном окне.
  • получение подтверждения. В протоколе для пакета с порядковым номером N выдается общая квитанция, указывающая на то, что все пакеты с порядковыми номерами, предшествующими N, успешно приняты.
  • истечение интервала ожидания. Для определения фактов потерь и задержек пакетов и квитанций протокол использует таймер. Если интервал ожидания истекает, передающая сторона повторно отправляет все посланные неподтвержденные пакеты.

Выборочное повторение

Когда размер окна и произведение пропускной способности на задержку распространения велики, в конвейере может находиться большое количество пакетов. В таком случае ошибка отдельного пакета может вызвать повторную передачу большого количества пакетов, большинство из которых не требовались.

Connect

To make sure that everything is configured properly, as root execute:

# pon <TUNNEL> debug dump logfd 2 nodetach

If everything has been configured correctly, the command should not terminate. Once you are satisfied that it has connected successfully, you can terminate the command.

Note: As an additional verification you can run and ensure that a new device, , is available.

To connect to your VPN normally, simply execute:

# pon <TUNNEL>

Where is the name of the tunnel you established earlier. Note that this command should be run as root.

Routing

Once you have connected to your VPN, you should be able to interact with anything available on the VPN server. To access anything on the remote network, you need to add a new route to your routing table.

Note: Depending on your configuration, you may need to re-add the routing information every time you connect to your VPN.

Split Tunneling

Packets with a destination of your VPN’s network should be routed through the VPN interface (usually ). To do this, you create the route:

# ip route add 192.168.10.0/24 dev ppp0

This will route all the traffic with a destination of 192.168.10.* through your VPN’s interface, ().

Route All Traffic

It may be desirable to route all traffic through your VPN connection. You can do this by running:

# ip route add default dev ppp0

Note: Routing all traffic through the VPN may result in slower over all connection speed because your traffic will be routed through the remote VPN before being routed normally.

Route All Traffic by /etc/ppp/ip-up.d

Note: All scripts in will called when the VPN connection is established.

/etc/ppp/ip-up.d/01-routes.sh
#!/bin/bash

# This script is called with the following arguments:
# Arg Name
# $1 Interface name
# $2 The tty
# $3 The link speed
# $4 Local IP number
# $5 Peer IP number
# $6 Optional ``ipparam'' value foo

ip route add default via $4

Make sure the script is executable.

Split Tunneling based on port by /etc/ppp/ip-up.d

Note: All scripts in will called when the VPN connection is established.

/etc/ppp/ip-up.d/01-routebyport.sh
#!/bin/bash

# This script is called with the following arguments:
# Arg Name
# $1 Interface name
# $2 The tty
# $3 The link speed
# $4 Local IP number
# $5 Peer IP number
# $6 Optional ``ipparam'' value foo

echo 0 > /proc/sys/net/ipv4/conf/$1/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

ip route flush table vpn
ip route add default via $5 dev $1 table vpn

# forward only IRC ports over VPN
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 6667,6697 -j MARK --set-mark 0x1
iptables -t nat    -A POSTROUTING -o $1 -j MASQUERADE

ip rule  add fwmark 0x1 pri 100 lookup vpn
ip rule  add from $4 pri 200 table vpn
ip route flush cache

Make sure the script is executable and that the vpn table is added to

201 vpn

2.4.1.4 Packet Tracer – Troubleshooting PPP with Authentication

From year to year, Cisco has updated many versions with difference questions. The latest version is version 6.0 in 2018. What is your version? It depends on your instructor creating your class. We recommend you to go thought all version if you are not clear. While you take online test with netacad.com, You may get random questions from all version. Each version have 1 to 10 different questions or more. After you review all questions, You should practice with our online test system by go to «Online Test» link below.

Version 5.02Version 5.03Version 6.0Online Assessment
Chapter 2 ExamChapter 2 ExamChapter 2 ExamOnline Test
Next Chapter
Chapter 3 ExamChapter 3 ExamChapter 3 ExamOnline Test
CCNA 4 Lab Activities
 2.1.2.5 Packet Tracer – Troubleshooting Serial Interfaces
 2.3.2.6 Packet Tracer – Configuring PAP and CHAP Authentication
 2.4.1.4 Packet Tracer – Troubleshooting PPP with Authentication
 2.5.1.2 Packet Tracer – Skills Integration Challenge
Version 5.02Version 5.03Version 6.0Online Assessment
Chapter 2 ExamChapter 2 ExamChapter 2 ExamOnline Test
Next Chapter
Chapter 3 ExamChapter 3 ExamChapter 3 ExamOnline Test
CCNA 4 Lab Activities
 2.1.2.5 Packet Tracer – Troubleshooting Serial Interfaces
 2.3.2.6 Packet Tracer – Configuring PAP and CHAP Authentication
 2.4.1.4 Packet Tracer – Troubleshooting PPP with Authentication
 2.5.1.2 Packet Tracer – Skills Integration Challenge
Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации