在我的网络上,我有一个运行 Samba4 的 Ubuntu 12.04 服务器,我的域已完全配置并正常运行。
现在,我想启用互联网上的 VPN 访问,并有另一个盒子来执行此操作。我一直在互联网上搜索指南和信息等,但没有成功。
然而我发现这个指南http://www.howtogeek.com/51237/setting-up-a-vpn-pptp-server-on-debian/但我想知道我是否可以以某种方式调整它以能够访问我的 DC 服务。
编辑:当然,如果可能的话,我需要使用我的 DC 来验证我的 VPN 服务器。
任何见解都是极好的。
问候,杰克·亨特
答案1
您的问题缺少一些重要信息,因为这里有 3 种不同的情况:
您的 Ubuntu/Samba 服务器在互联网上
您的 Ubuntu/Sabma 位于本地网络中,现在您想要设置一台新计算机,将其用作 VPN 服务器和互联网网关(以及防火墙等)。
您的网络上已经有一种简单的 NAT 路由器(例如常见的单盒 DSL 路由器),并且需要在此路由器后面设置一台新计算机作为 VPN 服务器。
这里基本上有 3 种不同的常见 VPN 解决方案。PPTP(暂时忘掉它)、L2TP 和 OpenVPN。比较好的比较是http://www.ivpn.net/knowledgebase/62/PPTP-vs-L2TP-vs-OpenVPN.html。
变体 1.)我个人并不推荐这种变体,但(也许)这仅仅基于我的偏执,并且不想给你纯主观的答案。
变体 2.)设置网关/防火墙/VPN 服务器。
这L2TP(在 Ubuntu 上)解决方案是(尽管要否决 @slafat01 不恰当的“一个外部链接答案”),在提供的链接中详细描述。在我看来,配置 L2TP 和 IPSEC 太难了,我的建议是(当您不需要与 Cisco 路由器等通信时) - 而是使用 OpenVPN。
OpenVPN(正如@Anders 上面所说的)是一款出色的跨平台、易于配置和使用的 VPN 解决方案。您可以使用任何操作系统 Linux 或 Freebsd 来使用它。
一个解决方案(@nedm 已经建议)是安装pfSense。这是一个出色的推荐。
另一个解决方案(我推荐这个)是安装“功能齐全的”FreeBSD-9.0-RELEASE 作为 FW/GW/OpenVPN。它比 pfSense 稍微复杂一些(不是很多),但您将获得功能齐全的服务器,并带有大量端口(包)。
安装简单,更新和升级(感谢 freebsd-update 命令)很简单。您需要在 Samba 服务器上安装和配置 Freeradius,以充当 Freebsd 上的 IAS 和 OpenVPN。(安装很简单 - 一个命令,配置与上面的链接类似)
变体 3). 与上面一样,Freebsd 使用 OpenVPN、FreeRadius、PF,但您需要在 nat 路由器上打开并转发到端口 1194(默认端口)的连接到服务器。
一些评论:
- 您希望为 OpenVPN 使用 TAP/桥接模式,因为这样更容易设置和管理,第二个好处是能够使用广播和所有网络协议。
- 您希望使用 Radius 服务器 (freeradius),因为这样可以从您的 DC 验证用户,而无需在 FreeBSD 服务器上管理不同的用户数据库。为 openvpn 配置 FreeBSD pam 以通过 Radius 进行验证。
- 不要忘记将添加
push "dhcp-option DOMAIN ......到 openvpn.conf。这是一个常见的错误。允许您的远程 (road warriors) 使用您的 DC。
当然忘记了一些事情,其他人可以在这里扩展我的第一篇文章,因为不幸的是我现在只能发布 2 个外部链接。
答案2
答案3
使用另一个框来设置pfSense 防火墙/网关. pfSense 是一款出色的基于 FreeBSD 的防火墙发行版,内置了可配置的 PPTP、IPSec 和 OpenVPN VPN 选项。
我将安装 pfSense,启用 OpenVPN,并将其配置为使用 FreeRadius 或 LDAP 针对您的内部 AD 进行身份验证。有很多关于如何执行此操作的指导在论坛上。
答案4
我尝试了 pfSense + PPTP RADIUS 身份验证。效果非常好,而且操作简单。