Konfigurieren des SSTP-Clients unter Debian

10

Ich müsste meinen Debian-Server (stabil) mit einem Windows Server 2008R2-Server verbinden, der als SSTP-VPN-Server fungiert. Ich habe es geschafft, sstp-client auf meinem Debian-Server zu installieren , aber ich weiß nicht, wie ich die Verbindung konfigurieren soll, damit ich sie im Hintergrund ausführen kann. Darüber hinaus gibt es einige Dinge, die ich über den gesamten Konfigurationsprozess nicht verstehe.

Nach einigen Ratschlägen, die ich im Internet gefunden habe, habe ich die Authentifizierung des Remote-Servers durch Hinzufügen noauthzu deaktiviert /etc/ppp/options. Darüber hinaus fügte ich dort die Optionen refuse-pap, refuse-eap, refuse-chap, refuse-mschapund require mppean Kraft MS-CHAP-v2 - Authentifizierung (der Windows - Server so konfiguriert ist , dass und nicht die andere zu akzeptieren).

Wenn ich vom Terminal renne

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

Wenn die Verbindung funktioniert und ich ein anderes Terminal öffne, kann ich auf eine Webseite zugreifen, auf die nur über das VPN zugegriffen werden kann.

Ich habe versucht, die Datei etc/ppp/peers/sstp-1mit dem Inhalt zu erstellen

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

und dann von der Kommandozeile aus laufen sudo pon sstp-1. Die Verbindung schlägt fehl und wird sudo plogangezeigt

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

Ich habe dazu ein paar Fragen:

  1. Wie richte /etc/ppp/peers/sstp-1ich das ein, damit ich im Hintergrund eine Verbindung zum VPN herstellen / trennen kann (zur Verwendung in einem Skript)?
  2. Der Windows-Server verschlüsselt den VPN-Verkehr mit einem selbstsignierten Zertifikat. Warum muss ich bei Verwendung der obigen Verbindungskonfiguration das Zertifikat nicht auf dem Clientcomputer installieren? Ist der Verkehr überhaupt verschlüsselt?

Vielen Dank schon im Voraus, Joel Lehikoinen

Joel Lehikoinen
quelle

Antworten:

3
  1. Was die Konfiguration kaputt machte, war die Bereitstellung --userund --passwordals Befehlszeilenoptionen in der Zeile beginnend mit pty. Der Benutzername ist bereits in der nächsten Zeile angegeben und das Passwort sollte in angegeben werden /etc/ppp/chap-secrets. Das Problem wurde behoben, indem diese Zeile in geändert wurde

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
    

    Darüber hinaus ist keine Bearbeitung erforderlich /etc/ppp/options, da die Konfigurationsparameter bereits in der SSTP-Konfigurationsdatei angegeben sind/etc/ppp/peers/sstp-1

  2. Zumindest mit der noauthOption, von der ich dachte, dass sie nur die Serverauthentifizierung in PPP deaktivieren würde, akzeptiert sstp-client anscheinend auch ein selbstsigniertes SSL-Serverzertifikat ohne Beschwerden.

    Um dieses --ca-cert /path/to/snakeoil-ca.pemProblem zu umgehen , scheint eine Möglichkeit darin zu bestehen, ein selbstsigniertes CA-Zertifikat zu erstellen, das Serverzertifikat damit zu signieren und sstp-client als Befehlszeilenoptionen bereitzustellen (dh in der Zeile "pty" der Datei) ), wodurch das Server-SSL-Zertifikat auf einen bekannten Wert beschränkt wird.

oseiskar
quelle