记一次PPTp服务搭建过程笔记！

2016-06-12 阅读:次

php项目路径指向同一目录，配置三个域名分别如下：

######短链访问地址：https://xxx.cc
######前端访问地址：https://m.xxx.com
######后端访问地址：https://m.xxx.com/index.php/admin【https://m.xxx.com/admin.php】admin.php文件做了header跳转.
######后台为了安全，尽量让无关人员无法访问。此种配置优化为https://0x78adm.xxx.com 这样可以单独为后台域名的访问设置障碍了。比如限制ip等。由于公司IP地址不固定每次变了都要重新添加。所以想搭个梯子，通过另一台固定IP的服务器作为跳板，代理客户机的IP访问后台。后台nginx设置只允许该IP访问。
tp6项目的config配置目录的app.php加上配置如下：

// 域名绑定（自动多应用模式有效）
'domain_bind'      => [
    '0x78adm' => 'admin', // admin模块绑定子域名
],

后端nginx配置加上如下：

allow 115.xxx.xxx.118; #允许ip：公司IP 
allow 47.xxx.xyz.177; #允许ip：测试服务器堡垒机,通过vpn连接后
deny all; #拒绝
error_page 403 /403.html; #非允许的ip访问后台地址报错403
 # error_page 403 https://$host/403.html; 
location /403.html {
  allow   all;
}

短链伪静态配置：地址指向项目的一个方法路径！


 location / {
	if (!-e $request_filename) {
		rewrite  ^(.*)$  https://m.xxx.com/api/top6sk$1  last;  
		break;
	}
}

前端伪静态配置：域名指向vue项目的入口文件


 location / {
      root   /www/wwwroot/m.xxx.com/public;
      index  index.html index.htm;
      try_files $uri $uri/ /index.html;
      error_page 404 /index.html; 
}

######理论可行，那就实操！参考资料：CentOS 7下安装pptp服务基于firewall防火墙_laow的博客-CSDN博客

1	VPN:Virtual Private Network 虚拟私人网络

######服务端aliyun配置：

[root@xxx~]#  modprobe ppp-compress-18 && echo ok! #查看是否支持
ok!
[root@xxx~]# cat /dev/ppp  #检测ppp是否开启
cat: /dev/ppp: No such device or address
[root@xxx~]# systemctl stop firewalld #停止防火墙
[root@xxx~]# systemctl disable firewalld #禁用防火墙
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@xxx~]# 

[root@xxx~]# yum install epel-release -y #添加 yum源
[root@xxx~]# yum install ppp ppp-devel pptpd  firewalld -y#安装

vim /etc/pptpd.conf追加：

localip 172.16.198.9  #ip地址（云服务器的eth0网卡地址)
remoteip 192.168..0.10-20 #自定义分配给客户端的网段和地址池

#使用上面的配置连接各种问题，改回下面配置连接ok！
localip  192.168.0.1
remoteip 192.168.0.100-243

#多账号登录有问题，从新配置如下
# (Recommended)
#localip 192.168.0.1
#remoteip 192.168.0.234-238,192.168.0.245
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
localip  192.168.0.10-99,192.168.1.10-99
remoteip 192.168.0.100-243,192.168.1.100-243

vim /etc/ppp/options.pptpd修改配置：

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8  #开启dns
ms-dns 114.114.114.114 #开启dns
proxyarp
lock
nobsdcomp 
novj
novjccomp
nologfd
mtu 1492  #部分连接上无法上网问题
logfile /var/log/pptpd.log  #日志路径,连接有问题可以 tail -f pptpd.log 排查

vim /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
  admin pptpd admin *

vim /etc/sysctl.conf

#有此项的话修改数值为1 没有的新添加一条
net.ipv4.ip_forward=1

#应用生效
[root@xxx ~]# sysctl -p

systemctl start pptpd 启动pptpd服务

开启服务所需端口
vi /usr/lib/firewalld/services/pptpd.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

    <short>pptpd</short>

    <description>PPTP</description>

    <port protocol="tcp" port="1723"/>

</service>

systemctl start firewalld  #启动防火墙
firewall-cmd --permanent --zone=public --add-service=pptpd #添加服务
firewall-cmd --add-masquerade #允许防火墙伪装IP

#开启47和1723端口
firewall-cmd --permanent --zone=public --add-port=47/tcp
firewall-cmd --permanent --zone=public --add-port=1723/tcp

#允许gre协议
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p gre -j ACCEPT

#设置规则允许数据包由eth0和ppp+接口中进出
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ppp+ -o eth0 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o ppp+ -j ACCEPT

#设置转发规则，从源地址发出的所有包都进行伪装，改变地址，由eth0发出
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s 192.168.0.0/24

####客户端window10连接：

win+Q输入vpn添加vpn连接

###连接报错的各种情况：
放行1723端口后，客户端无法建立连接，win10防火墙高级设置里开启出入栈端口1723,1701还是不行。关闭服务器防火墙则可连接，判断服务器防火墙没设置好。
连接成功，但是本机无网络。网上说控制面板\所有控制面板项\网络连接找到vpn属性里网络ipv4属性高级IP设置取消勾选在远程网络上使用默认网关。这样本机可以上网了，但是无法代理客户端IP，连接vpn后请求远端服务器打印IP显示是客户机的不是代理服务器的IP。
经过一系列折腾终于可以不用设置也可联网，但是vpn和网络访问较慢。个别机器连接不上，或连接后无网络等情况。

WIN10链接VPN显示：未建立远程连接因为尝试的vpn隧道失败 VPN服务器可能无法访问如果该连接尝试使用的是L2TP/IPSec隧道则IPSec协商所需的安全参数可能配置错误
计算机与vpn服务器之间的网络连接被中断

不能建立到远程计算机的连接，因此用于此连接的端口已关闭

pptp 能连接但是不能上网

查看防火墙状态 systemctl status firewalld
开启防火墙 systemctl start firewalld  
关闭防火墙 systemctl stop firewalld
开启防火墙 service firewalld start

[root@xxx~]# tail -f /var/log/pptpd.log 
Modem hangup
Connection terminated.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/12
Peer paijinhua failed CHAP authentication
Connection terminated.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/12
Peer paijinhua failed CHAP authentication
Connection terminated.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/12
peer from calling number 60.186.221.94 authorized
MPPE 128-bit stateless compression enabled
Cannot determine ethernet address for proxy ARP
local  IP address 192.168.0.1
remote IP address 192.168.0.231

本文链接： https://dragonersli.github.io/2016/06/12/记一次PPTp服务搭建过程笔记！/
本人声明： 此文只作为自己日后工作学习中遇到类似问题方便快速回忆解决问题的笔记，仅供参考！
版权声明：

本文首发于すせなの筆記转载无需联系本人，但要注明来源本站！