PPTP és L2TP VPN szerver beállítása:
A PPTP (Point-to-Point Tunneling Protocol) VPN megoldás mára kissé elavultnak mondható és vannak már biztonságosabb VPN megoldások is. Mindazonáltal, ha a vállalkozásunk nem NASA beszállító, akkor még mindig jól használható megoldás lehet a PPTP VPN, mert a régebbi eszközök is tartalmazhatnak ilyen VPN klienst és kisebb teljesítményű eszközökön is elég gyorsan fut. A cikk megírásának az apropója viszont onnét jött, hogy az általam használt operációs rendszerek alapban már nem támogatják a PPTP-t. Ennek nyilvánvaló alapos oka van 🙂
Az IP/Pool menüpontban a kis „+” jel segítségével adjunk hozzá egy új pool-t. Nevezzük mondjuk pptp-pool-nak. Azt az IP cím tartományt kell itt megadnunk, amelyből kiosztásra kerül majd a felcsatlakozott VPN kliensek IP címei.
A következő lépésben a PPP/Interface a PPTP server gombra előbukkanó ablakban kapcsoljuk be a PPTP szervert. Előfordulhat, hogy a régebbi eszközök támogatásához be kell kapcsolnunk a CHAP és/vagy a PAP authetikációt is!
Harmadik lépésként még mindig a PPP menüpont „Profiles” fülén a „+” gomb segítségével adjunk hozzá egy újabb profilt. Hívjuk pl. „pptp-profile”-nak. Alatta jelöljük ki mindkét címtartománynak az előzőekben létrehozott „pptp-pool”-t. A DNS szerverek megadása nem kötelező.
Ugyanitt a „Secrets” fülön adhatjuk hozzá azokat a felhasználó(ka)t, aki(k) később csatlakozhatnak a VPN szerverhez. Profilként válasszuk ki az imént létrehozott „pptp-profile”-t. Adjunk megfelelően erős jelszót!
Következő lépésben nyissuk ki a tűzfalon a két szükséges portot. Menjünk az IP/Firewall menüpontba és a már megszokott kis „+” jel segítségével a „General” fülön adjunk hozzá egy új szabályt az „input” lánchoz: a TCP protokollt engedjük be a 1723-as porton a kép szerint:
Az „Action” fülön állítsuk be az „Accept” lehetőséget, majd okézzuk le.
Hasonlóan kell engedélyeznünk a 47-es (GRE – Generic Routing Encapsulation) protokollt is. Mindkét szabályt húzzuk fel a listában a legutolsó „drop” szabály fölé! Érdemes kommenttel is ellátni, hogy később is emlékezzünk rá miért is nyitottuk ki ezeket a portokat.
Végül a praktikus használat érdekében ne felejtsük el az Interfaces menüpont Interface fülén a „bridge-local” hídra (ez elvileg az alapértelmezett konfigurációban benne van) a „proxy-arp”-ot engedélyezni.
Ezzel a VPN szerver használatra kész.
L2TP szerver beállítása IPSec titkosítással is nagyon egyszerű, ebben az esetben a 1701, 500, 4500 UDP portokat kell kinyitni, és a PPP panelen be kell kapcsolni az L2TP szervert. Kapcsoljuk be a „Use IPsec” jelölőkockával az IPsec titkosítást, és meg kell adni egy „IP sec secret”, azaz egy előre megosztott kulcsot.
A „Default profile:” legördülő menüben a „default-encryption”-t válasszuk.