Configurer le client SSTP sur Debian

11

J'aurais besoin de connecter mon serveur Debian (stable) à un serveur Windows Server 2008R2, qui agit comme un serveur VPN SSTP. J'ai réussi à installer sstp-client sur mon serveur Debian, mais je ne sais pas comment configurer la connexion pour pouvoir l'exécuter en arrière-plan. De plus, il y a beaucoup de choses que je ne comprends pas sur l'ensemble du processus de configuration.

Suite à quelques conseils que j'ai trouvés sur Internet, j'ai désactivé l'authentification du serveur distant en l'ajoutant noauthà /etc/ppp/options. De plus, j'ai ajouté il y a les options refuse-pap, refuse-eap, refuse-chap, refuse-mschapet require mppeà la force d' authentification MS-CHAP-v2 (le serveur Windows est configuré pour accepter et non les autres).

Si je cours depuis le terminal

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

la connexion fonctionne et en ouvrant un autre terminal, je peux accéder à une page Web accessible uniquement via le VPN.

J'ai essayé de créer le fichier etc/ppp/peers/sstp-1avec le contenu

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

puis en cours d'exécution à partir de la ligne de commande sudo pon sstp-1. La connexion échoue et sudo plogaffiche

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

J'ai quelques questions concernant tout cela:

  1. Comment configurer le /etc/ppp/peers/sstp-1afin que je puisse me connecter / déconnecter au VPN en arrière-plan (à utiliser dans un script)?
  2. Le serveur Windows crypte le trafic VPN à l'aide d'un certificat auto-signé. Pourquoi, en utilisant la configuration de connexion ci-dessus, je n'ai pas besoin d'installer le certificat sur la machine cliente? Le trafic est-il chiffré du tout?

Merci déjà à l'avance, Joel Lehikoinen

Joel Lehikoinen
la source

Réponses:

4
  1. Ce qui a cassé la configuration était de fournir --useret --passwordcomme options de ligne de commande sur la ligne commençant par pty. Le nom d'utilisateur est déjà indiqué sur la ligne suivante et le mot de passe doit être fourni /etc/ppp/chap-secrets. Le problème a été résolu en remplaçant cette ligne par

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
    

    en outre, il n'est pas nécessaire de modifier /etc/ppp/options, car les paramètres de configuration sont déjà donnés dans le fichier de configuration SSTP/etc/ppp/peers/sstp-1

  2. Il semblerait que, au moins avec l' noauthoption, qui, je pensais, ne désactiverait que l'authentification du serveur dans PPP, sstp-client accepte également un certificat de serveur SSL auto-signé sans aucune plainte.

    Comme solution de contournement, une possibilité semble être de créer un certificat d'autorité de certification auto-signé, de signer le certificat de serveur avec cela et de fournir des --ca-cert /path/to/snakeoil-ca.pemoptions de ligne de commande à sstp-client (c'est-à-dire sur la ligne "pty" du fichier ), qui contraint le certificat SSL du serveur à une valeur connue.

oseiskar
la source