В этой статье я расскажу как поднять собственный PPTP сервер на Ubuntu. Почему именно PPTP? У каждого свои цели и задачи, кому-то нужен PPTP, кому-то L2TP/IPSec, кому-то IKEv2, а может и OpenVPN. Я постараюсь написать статьи по установке и настройке хотя бы двух протоколов VPN на Ubuntu и начну с PPTP. Все описанные действия производились на Ubuntu 14.04.5 LTS. Напоминаю, что дешевые VPS во Франции для запуска своего VPN вы можете посмотреть здесь.
Для установки понадобятся права root пользователя или sudo.
1. Устанавливаем необходимые пакеты:
apt-get install ppp pptpdПосле окончания установки, нам понадобится отредактировать несколько файлов. Для изменения файлов вы можете пользоваться любым удобным для вас способом, хоть nano, хоть визуальными редакторами и т.д.
Теперь вам необходимо определиться с локальной подсетью для клиентов VPN. Вы можете сделать себе подсеть из любой подсети, которая не маршрутизируется в интернете:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/162. Открываем файл /etc/pptpd.conf, находим и раскоментируем (если вдруг закоментированы) строки localip и remoteip, затем прописываем свою ip адресацию.
localip 172.16.0.1
remoteip 172.16.0.2-254- localip – ip адрес из выбранной вами подсети, который будет являться локальным шлюзом для клиентов VPN.
- remoteip – пул ip адресов для раздачи клиентам VPN.
Если на вашей машине несколько внешних IP адресов, то вы можете указать конкретный IP, по которому будет доступно подключение к VPN серверу. В конце файла добавьте:
listen внешний_ip3. Открываем файл /etc/ppp/pptpd-options и добавляем в конце файла:
mtu 1400
mru 1400
auth
require-mppeВ этом же файле при необходимости вы можете указать конкретные DNS, которые будут использоваться при подключении через VPN. Найдите и раскомментируйте строки ms-dns:
ms-dns 8.8.8.8
ms-dns 8.8.4.44. Открываем стандартный файл /etc/sysctl.conf, находим и раскомментируем строку:
net.ipv4.ip_forward=15. Добавляем необходимые правила в iptables:
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEОбратите внимание, что eth0 – имя вашего сетевого интерфейса. Вы можете узнать его с помощью команды ifconfig
Если вам необходимо, чтобы была локальная сеть между клиентами, подключенными к VPN, добавьте следующие правила в iptables:
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 172.16.0.0/24 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPTОбратите внимание, что 172.16.0.0/24 – локальная подсеть, которую вы себе выбрали, а ppp0 – имя pptp интерфейса.
Для сохранения iptables, выполните команду:
iptables-save6. Пользователей для подключения к VPN серверу добавляем в файле /etc/ppp/chap-secrets
user1 pptpd password1 "*"
user2 pptpd password2 "172.16.0.2"- user1 – имя пользователя
- password1 – пароль пользователя
- “*” – локальный ip будет выдаваться из пула, указанного в файле /etc/pptpd.conf
- “172.16.0.2” – пользователю будет присвоен указанный ip адрес.
7. Перезапускаем сервис pptpd для применения новых настроек:
service pptpd restartВаш PPTP сервер на Ubuntu запущен!
P.S. Если вдруг вы столкнетесь с тем, что добавленные правила iptables пропадают после рестарта firewall или перезагрузки машины, то сделайте действия, описанные ниже.
1. Добавляем заново все правила, как описано в 5-м шаге.
2. Сохраняем правила в конфиг:
iptables-save > /etc/iptables.conf3. Открываем файл /etc/network/interfaces и добавляем в самый конец:
pre-up /sbin/iptables-restore < /etc/iptables.confТеперь можете перезагрузить Firewall или всю машину и убедиться, что правила iptables сохраняются.
UPD 2023:
- Если ваши цели связаны с анонимностью и безопасностью, я крайне не рекомендую использовать PPTP. Лучше посмотрите в сторону OpenVPN или Wireguard.
- На новых системах уже нет возможности сохранять правила iptables способом, описанным выше. И вообще, желательно отказаться от iptables-save по той простой причине, что есть сервисы, которые сами добавляют свои правила в iptables после перезагрузки машины (например Docker) и могут возникнуть конфликты с уже сохраненными iptables-save через iptables-save правилами.
Поэтому проще делать следующим образом:
Сначала вы создаете iptables.sh и прописываете в него все собственные правила, например так:
#!/bin/sh
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ICMP
iptables -A INPUT -p icmp -j ACCEPT
# SSH
iptables -A INPUT -s 5.5.5.5/32 -p tcp --dport 22 -j ACCEPT
# Веб-сервер
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Zabbix Agent
iptables -A INPUT -s 5.5.5.5/32 -p tcp --dport 10050 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPTЗатем добавляете файлу права на запуск: chmod +x /root/iptables.sh и добавляете в крон:
@reboot root /root/iptables.sh >/dev/null 2>&1
