PPTP-VPN サーバシステム 設定説明書 Ver.SVPN-01 マニュアルの一部です 2004 年9月 株式会社 エクサース はじめに 本説明書では、システム構築をして実際に稼動させることを主眼におきます。そのためシステムで使われてい る各技術の詳細は省いています。ご了解ください。 WindowsPC(2000、XP など)を VPN 接続するプロトコルとしてマイクロソフトが開発した PPTP が良く知られていま す。この PPTP を使えば、仕事で外へ出た時でも、PPTP 対応のサーバを家に用意しておけば、急に重要なファイ ルが必要になった時、簡単にしかも安全にファイルにアクセスできます。インターネット上を流れるデータは パスワードも含めて 128 ビットの暗号化がされておりまず他人に読み取られる心配はありません。 ここでは、サーバクライアント接続および LAN 間接続用 VPN サーバ構築について、ハードウェアの準備から一 つ一つ順を追って説明します。もちろん安価にするためサーバ OS は Linux を使用しています。 同梱物の確認 ・PPTP−VPN 設定マニュアル(本資料) 1 冊 ・各 Config ファイル内蔵フロッピーディスク 1 枚 なお、クライアント用 PC として Windows98 はサービスの対象外としています。ご了解ください。 Copyright(c) 2002-2004 EXARS Corporation All Rights Reserved. 2 目次 1. ハードウェアの準備 1.1 PC の主なハードウェア仕様 1.2 ルータ 2. OS の準備 3. RH7.3 のインストール 3.1 インストール後の第 1 番目の作業 4. パッチの準備 5.ネットワーク構成例 6.カーネルの再構築 7.PPP のアップデート 8.PPTP サーバのインストールと設定 8.1 pptpd.conf ファイル(/etc/pptpd.conf)の設定 8.2 /etc/ppp/options.pptpd ファイルの設定 8.3 /etc/ppp/chap-secrets へユーザの登録 9. SAMBA のインストールと設定 9.1 samba のインストールの前に 9.2 samba の入手とインストール 9.3 smb.conf 設定 9.4 samba 起動スクリプト smb 9.5 SAMBA ユーザの設定 9.5.1 Linux ユーザの設定 9.5.2 Samba ユーザの設定 10. Windows 側の設定 Copyright(c) 2002-2004 EXARS Corporation All Rights Reserved. 3 1. ハードウェアの準備 特別な PC は必要ありません。ここでは社内で使っていた DELL OptiPlex GX110 をサーバに仕立てた例に ついて説明します。ただし以下に述べるよう、サーバとして使用するため、多少手を入れることが必要です。 1.1 PC の主なハードウェア仕様 ・CPU ペンティアム 500MHz (もっと低い周波数の CPU でも良いですがカーネルの再構築にこれでも 1 時間位かかります) ・RAM 256MB(128MB でも十分です) ・HDD 40GB(新品交換必須) ・フロッピーディスク付き ・ディスプレイ 一旦設定すれば使いませんので、旧式のブラウン管で十分です。 ・キーボード/マウス PS2/USB タイプどちらでも使える(はずです)。 この程度の仕様を持つものなら何でも良いでしょう。今ではリサイクルショップにでも行けば(またはネット 通販で)この程度の PC は数万円で入手できると思います。なお、あとで述べる Linux カーネルのバージョンの せいもあり、最近の PC よりも数年前位の PC のほうがビデオチップの認識をしてくれるのでグラフィックイン ストールが簡単にできます。その点からも中古の PC の使用をお薦めします。ただし、サーバとして使いますの で、ハードディスクは新品に交換し、出来れば電源ファンと CPU ファンも新品にすると良いですが、回転部分 への注油だけでも十分です。電子回路部分は磨耗部品ではないので、数年経った物の方が初期不良がなく返っ て安心して使えます。 なお、ハードディスクの寿命は、サーバ使用の場合、2 年程度です。サーバとしての設定を完了されたら、dd コマンドで、丸ごと HDD のバックアップされておくことをお薦めします。そうすれば故障しても、HDD を交換す るだけであっという間に復旧できます。もちろん常時使用する大事なファイルは毎日別の PC にバックアップさ れていることが前提です。 1.2 ルータ 最近のルータであれば、まず大丈夫ですが、本 VPN システムではポートの 1723 を使います。これが使える ように設定して下さい。メーカはどこのものでも良いですが、弊社では COREGA BAR EX を使って、システムの 確認をしています。 2. OS の準備 Linux‐OS はレッドハットの 7.3 を使います。少し古い?と思われるかもしれませんが、カーネルは 2.4.18-3 ですし、今回は PPTP と SAMBA を動かすだけなのでこれで十分です。RH8 以上では、pptp のパッチがあたらない ため必ず RH7.3(または 7.2)を使ってください(ちなみに RH8、RH9、Fedora を PC にインストールして使えそう なパッチを Web 上から取り込み、すべてチェックしましたが使えるものはありませんでした)。パッチをあてる 理由は、RH7.3(と言うより、ほとんどの linux ディストリビューション)に使われているカーネルは標準で MS −CHAPv2 に対応していないためです。 3. RH7.3 のインストール CDROM から BOOT できるように BIOS を設定して下さい。画面の順番にインストールして行けば問題ないでしょ う。インストール方法の詳細は他の資料、書籍などを参考にして下さい。インストールの途中で、ブートロー ダの選択画面がありますが、GRUB を必ず選択して下さい。次にセキュリティの設定画面では、SAMBA インスト Copyright(c) 2002-2004 EXARS Corporation All Rights Reserved. 4 ール後、改めて FireWall の設定をしますので、ここでは一応ファイヤウォールは high に設定しておいて下さ い。 上に述べた年代の PC であれば、RH7.3 はグラッフィック画面から簡単にインストールできるはずです。インス トールはカスタムを選択、GNOME,カーネル開発(必須)にチェックを入れ他は無しでインストールします。 なお、パーティションと各ディレクトリの割り当ては、次のようにしています。 hda1 100MB /boot 基本領域 hda2 3 GB / hda3 2 GB /usr/local 同上 hda5 34GB 拡張 hda6 512MB /swap 論理 hda7 33GB /home 論理 同上 3.1 インストール後の第 1 番目の作業 インストール時は日本語を選択して行いますが、カーネルの再構築時には、この日本語環境が災いしてコン パイルエラーが頻発します。このため以下の作業が必要です。 テキストエディター(Gedit)で/root/.bash_profile を開き、ファイルの最後の行に export LANG=C と記入して下さい。記入後は #source .bash_profile を実行しておいて下さい。これで準備は終わりです。 もちろん、vi エディタで作業されても構いません。 #vi /root/.bash_profile あとインサートコマンド i で export LANG=C と記入。 4. パッチの準備 RH7.3 のパッチは linux-2.4.16-openssl-0.9.6b-mppe.patch.gz を使います。 http://planetmirror.com/pub/mppe/ より DL します。 5.ネットワーク構成例 − − − − − − − LAN 192.168.1.xxx | RH7.3 pptp&SAMBA サーバ 192.168.1.nnn | 会社側 ルーター(COREGA BAREX or PPTP 対応品) | ADSL モデム(Yahoo12Mbit 版) | インターネット | ダイヤルアップ(ADSL, PHS) or ADSLmodem+ルーター | 社外 ノート PC 192.168.1.kkk(リモート IP) 以上のような構成です。 Copyright(c) 2002-2004 EXARS Corporation All Rights Reserved. 5 6.カーネルの再構築 4. で述べた RH7.3 用のパッチをダウンロードしましたら、 /usr/src/linux2.4 ディレクトリにコピーします。 カレントディレクトリをここへ移して以下のコマンドをターミナルエミュレータから打ち込みます。 (注)このディレクトリは、Linux インストール時、「カーネル開発」にチェックを入れてインストールをしない 場合は存在しません。 まず、 #cd /usr/src/linux2.4 次に以下のようにしてパッチをあてます。 #zcat linux-2.4.16-openssl-0.9.6b-mppe.patch.gz │ patch ‐p1 そしてパッチが適用されると下記のメッセージが出ます。 patching file drivers/net/Makefile Hunk #1 succeeded at 131 (offset 1 line). The next patch would create the file drivers/net/Makefile.orig, which already exists! Assume -R? [n] このような質問が出るので n を入力 Enter する。 Apply anyway? [n] 同上 下記のようなメッセージが出れば、パッチは無事当たったことになります。 Skipping patch. 1 out of 1 hunk ignored -- saving rejects to file drivers/net/Makefile.orig.rej patching file drivers/net/md32_common.h patching file drivers/net/mppe.h patching file drivers/net/ppp_generic.c patching file drivers/net/ppp_mppe.c patching file drivers/net/rc4_enc.c patching file drivers/net/rc4_locl.h patching file drivers/net/rc4_skey.c patching file drivers/net/sha1dgst.c patching file drivers/net/sha_locl.h patching file include/linux/ppp-comp.h patching file include/openssl/opensslconf.h patching file include/openssl/opensslv.h patching file include/openssl/rc4.h patching file include/openssl/sha.h そして、英文で次は make dep をしなさいと出ますが、その前にモジュールが正しく組み込まれているかどうか 確認が必要です。このため、 #make menuconfig をターミナルエミュレータから打ち込みます。menuconfig の画面が出ますので Network device support を選 択します。 ---- ここまでです。ご了解ください。 Copyright(c) 2002-2004 EXARS Corporation All Rights Reserved. 6
© Copyright 2024 ExpyDoc