centos6安装搭建pptp，vpn服务

1.先检查vps是否满足配置pptpvpn的环境。因为有的openvz的vps被母鸡给禁用了。其实，你在配置前最好向vps的客服发TK，可能客服会帮你开通vpn或者客服那里会给你他们自己定制的vpn一键安装包也有可能。
2.接着是安装配置pptp vpn的相关软件，安装ppp和iptables。
配置安装好后的pptp软件，这个不像windows那样，安装的过程就是配置的过程。linux的要安装完之后，修改配置文件，才算是完成配置。
3.启动pptp vpn 服务。此时，就是检验你能够vpn拨号成功，如果你拨号成功了，说明你的pptpvpn的安装配置就算真正的完成了。但是此时只能登录vpn，却不能用来上网
4.开启内核和iptables的转发功能。这个步骤是为了让你连上vpn之后，能够上网，上那些yourporn，youtube之类的。这步是最关键的，很多人能成功拨号，登录vpn，但是却不能上网就是因为这个步骤没做好。这步骤完成了，你就可以尽情去国外的网站访问了。

#########################################手动搭建配置pptp vpn详细方法如下########

第一步：检测是否符合pptp的搭建环境的要求

服务器版本：CentOs 6.4 xen vps

如果检查结果没有这些支持的话，是不能安装pptp的。执行指令：

#modprobe ppp-compress-18 && echook

这条执行执行后，显示“ok”则表明通过。不过接下来还需要做另一个检查，输入指令：

#cat /dev/net/tun

如果这条指令显示结果为下面的文本，则表明通过：

cat: /dev/net/tun: File descriptor in bad state

上述两条均通过，才能安装pptp。否则就只能考虑openvpn，或者请vps空间商的技术客服为你的VPS打开TUN/TAP/PPP功能了，貌似有部分vps控制面板上提供打开TUN/TAP/PPP功能的按钮。

Cent os6.4内核版本在2.6.15以上，都默认集成了MPPE和PPP，因此下面检查可以忽略：

http://www.ksharpdabu.info/?p=2178

#rpm -q ppp //查询当前系统的ppp是否默认集成了，以及ppp的版本

检查PPP是否支持MPPE

用以下命令检查PPP是否支持MPPE：

#strings '/usr/sbin/pppd' |grep -i mppe | wc--lines

http://www.ksharpdabu.info/?p=2178

如果以上命令输出为“0”则表示不支持；输出为“30”或更大的数字就表示支持，MPPE（Microsoft Point toPoint Encryption，微软点对点加密）。

第二步：

1.安装ppp和iptables

PPTPD要求Linux内核支持mppe，一般来说CentOS安装时已经包含了

http://www.ksharpdabu.info/?p=2178

#yum install -y perl ppp iptables//centos默认安装了iptables和ppp

2.安装pptpd

刚才用了yum安装了ppp,但是这里有个问题，几乎大部分的人都会在这里遇到ppp和pptpd不兼容的错误。因为yum安装ppp，总是安装最新版本的ppp，而由于安装的ppp的版本不同，那么就需要安装对应版本的pptpd才行。我的版本是pptpd-1.4.0-1.el6.x86_64。

我们要先查看已经安装的ppp的版本，在去找对应的pptpd版本。我手头刚好有两个vps，一个是前年装的pptpvpn，一个是一年后装的pptp vpn，所以，装的yum install ppp的版本不同。

使用下面的命令查看ppp的版本，前提你是yum安装的ppp。

旧的vps上的ppp版本显示：

#yum list installed ppp

显示：

ppp.i386                     2.4.4-2.el5                    installed

新的vps上的ppp版本显示；

#yum list installed ppp

显示：

ppp.i686                       2.4.5-5.el6                      @base

所以，要对根据ppp版本选择对应的pptpd版本。这里我主要列出常用的。

ppp2.4.4——————>pptpd 1.3.4

ppp2.5.0——————>pptpd 1.4.0

大家下载的时候注意，分清楚你系统的版本是64位的还是32位的。我个人建议ppp用yum安装，pptpd用rpm的安装，因为如果全都rpm或者源码安装，依赖关系很是烦人。文件名含有数字64的就是64位版本，没有的就是32位版本。可以用下面的命令查看自己的系统是32位还是64位的。

#getconf LONG_BIT

下面假设我这里的ppp是2.4.4版本，然后安装pptpd

第一种安装pptpd的方法是直接用yum安装，让电脑自动选择对应的版本：

先加入yum源：

#rpm -Uvhhttp://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm

然后用yum安装pptpd：

#yum install pptpd

这是最省时间和力气的。余下的和手动安装没什么区别了。

 

第二种是手动安装pptpd包：

对于32位CentOS，执行

wgethttp://acelnmp.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.i386.rpm

rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm

对于64位CentOS，执行

wgethttp://acelnmp.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.x86_64.rpm

rpm -ivh pptpd-1.3.4-1.rhel5.1.x86_64.rpm

这里贴上32位的pptpd的rpm的下载地址：

http://www.400gb.com/file/34722122

64位安装的时候如果出现：http://www.ksharpdabu.info/?p=2178

warning: pptpd-1.3.4-2.rhel5.x86_64.rpm: Header V3 DSA/SHA1Signature, key ID 862acc42: NOKEY
error: Failed dependencies:
ppp = 2.4.4 is needed bypptpd-1.3.4-2.rhel5.x86_64

原因是pptpd与PPP不兼容，那么，此时用#yum listinstalled ppp  命令查看ppp版本，极有可能ppp是2.4.5版本的。所以，我们要下载pptp 1.4.0版本才行，而且这里是64位的系统。下载pptpd-1.4.0-1.el6.x86_64.rpm安装即可。这就是我说的出现版本不兼容的问题，当ppp版本和pptpd版本不兼容时候，就会出现类似的错误。

看到有人建议用--nodeps --force这个参数，我个人不建议，这个参数可能以后会出现奇怪的问题，但是如果实在不行，你就用吧

 

第三步：修改配置文件

1.配置文件/etc/ppp/options.pptpd

#mv /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak
#vi /etc/ppp/options.pptpd

options.pptpd内容如下：

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
idle 2592000
ms-dns8.8.8.8
ms-dns8.8.4.4

解析：ms-dns 8.8.8.8， ms-dns 8.8.4.4是使用google的dns服务器。

2.配置文件/etc/ppp/chap-secrets

#cp   /etc/ppp/chap-secrets/etc/ppp/chap-secrets.bak
#vi  /etc/ppp/chap-secrets

chap-secrets内容如下：

# Secrets for authentication using CHAP
# client server secret IP addresses
myusername     pptpd     mypassword     *       

//myusername是你的vpn帐号，mypassword是你的vpn的密码，*表示对任何ip，记得不要丢了这个星号。我这里根据这个格式，假设我的vpn的帐号是ksharpdabu，密码是 sky。那么，应该如下：

ksharpdabu pptpd sky*

 

3.配置文件/etc/pptpd.conf

#cp   /etc/pptpd.conf /etc/pptpd.conf.bak
#vi /etc/pptpd.conf

pptpd.conf内容如下：

option/etc/ppp/options.pptpd
logwtmp
localip 192.168.9.1
remoteip 192.168.9.11-30 //表示vpn客户端获得ip的范围

 

关键点：pptpd.conf这个配置文件必须保证最后是以空行结尾才行，否则会导致启动pptpd服务时，出现“Startingpptpd:”，一直卡着不动的问题，无法启动服务，切记呀！（相关文档可以查看：Startingpptpd: 运行不下去的原因）

ppp = 2.4.4 isneeded by pptpd-1.3.4-2.rhel5.x86_64

 

4.配置文件/etc/sysctl.conf

#vi /etc/sysctl.conf //修改内核设置，使其支持转发

将net.ipv4.ip_forward =0 改成 net.ipv4.ip_forward = 1

保存修改后的文件

#/sbin/sysctl -p

 

第四步：启动pptp vpn服务和iptables

#/sbin/service pptpd start 或者 #service pptpd start

经过前面步骤，我们的VPN已经可以拨号登录了，但是还不能访问任何网页。最后一步就是添加iptables转发规则了，输入下面的指令：

启动iptables和nat转发功能，很关键的呀：

#/sbin/service iptables start //启动iptables

#/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -jMASQUERADE 或者使用下面的一种：

#iptables -t nat -A POSTROUTING -o eth0-s 192.168.0.0/24 -jSNAT --to-source207.210.83.140 //你需要将207.210.83.140替换成你的vps的公网ip地址，因为这里我写的是我的。还有就是有人说我这--to-source前只有一个横杠，其实是有两个横杠的。文章在编辑模式下显示是两个横杠，因为用的是英文输入法，所以，发表后就变成了一个横杆，而且在源码下复制粘贴也是一横，只有在编辑模式下才能看清楚是两横。但是可以明显看到to前面的那一横比source前的那横长一些，这些都是我操作记录下的命令，不会有错的。为了防止你们出错，我还是用不同的颜色标记吧。

这里我先前写的不是很详细，现在补上：

• 需要注意的是，这个指令中的“192.168.9.0/24”是根据之前的配置文件中的“localip”网段来改变的(网上有的教程是192.168.0.0/24 )，比如你设置的“10.0.0.1”网段，则应该改为“10.0.0.0/24”。此外还有一点需要注意的是eth0，如果你的外网网卡不是eth0，而是eth1（比如SoftLayer的服务器就是这样的情况），那么请记得将eth0也更改为对应的网卡编号，不然是上不了网的！
• 如果你的linuxvps是ppp或者ADSL这种由DHCP动态分配获取ip的方式（当然vps的ip基本都是是固定的。如果你是XEN的vps，那么这个转发规则其实也是适用的，就是让vps自己判断自己的ip，省去了我们指定。），那么就需要用-jMASQUERADE这种写法，就是ip伪装。当然如果使用iptables -t nat -A POSTROUTING -oeth0 -s 192.168.0.0/24 -jSNAT --to-source XXX.XXX.XXX.XXX 这种转发规则其实也是可以的，这样亲自指定自己的vps的ip地址。以后你通过vpn访问网站，显示的就是这个ip了。

#/etc/init.d/iptables save //保存iptables的转发规则

#/sbin/service iptablesrestart //重新启动iptables

 我是直接关闭防火墙 反正也是vps 无所谓

最后一步：重启pptpvpn

#/sbin/service pptpd retart 或者 #service pptpdrestart

#############################################3

客户端如何拨号登陆vpn，我就不写了，大家可以自行google，因为系统那么多，我不可能xp，win7，centos，mac之类的每个都写，何况网上一大堆，只要你pptpvpn服务器搭建好了，客户端登陆的选择就是简单的事。如果这个也不知道，那我就没法了，自己动手吧。

 

多余的步骤：设置pptp vpn 开机启动

有的人懒的重启后手动开启服务，所以下面我再补上开机自动启动pptp vpn 和 iptables的命令

#chkconfig pptpd on //开机启动pptp vpn服务

#chkconfig iptables on //开机启动iptables

 这句话一定要加才能连上

iptables -t nat -A POSTROUTING  -o eth0 -s192.168.0.0/24 -j MASQUERADE

网速慢用这个

/sbin/iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS--set-mss 1356

iptables -A FORWARD -p tcp --syn -s 10.87.200.0/31 -j TCPMSS--set-mss 1356

设置防火墙规则

服务搭建成功，但是dns老是出问题，找了很多文档，最后找到了防火墙设置规则

 

/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -jMASQUERADE
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/sbin/iptables -F FORWARD
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport53 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport1723 -j ACCEPT
/sbin/iptables -A FORWARD -p gre -s 192.168.0.0/24 -jACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -jACCEPT

 （172.16.0.0/16）是自己之前设置的ip

相关端口为 1723

提高速度

前段时间本站有一篇文章讲述了在vps下搭建vpn服务器的教程，vps下打造属于自己的翻墙利器(vpn服务器pptpd)
最近发现，上了vpn之后，有些网页打不开，，，各种百度，各种谷歌，，最后终于被我找到了，就是网卡的MTU的问题。

可以ifconfig看一下各个网卡的MTU值，先看下我本机的，如下

eth0 Link encap:Ethernet HWaddr BC:30:5B:E4:41:31
inet addr:192.168.3.89 Bcast:192.168.3.255 Mask:255.255.252.0
inet6 addr: fe80::be30:5bff:fee4:4131/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7570185 errors:0 dropped:0 overruns:0 frame:0
TX packets:338275 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:995443747 (949.3 MiB) TX bytes:44587512 (42.5 MiB)
Interrupt:169 Memory:da000000-da012800
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.17.10 P-t-P:192.168.19.10Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:101 errors:0 dropped:0 overruns:0 frame:0
TX packets:63 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:10633 (10.3 KiB) TX bytes:12063 (11.7 KiB)

从上面可以看到，真实网卡的MTU值为1500，而vpn拨号上来的MTU值为1396.至于这个MTU是什么，为什么会导致这样，大家可以参考http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=455705
在这里我就不多说了，，就我这水平我也解释不清楚，，所以还是大家自己看哈，，好了，既然知道问题所在，，那就好办了，，修改MTU的值。
ifconfig ppp0 mtu 1496

这样修改之后，就可以看到MTU:1496了，这样的话就正常了。
但是还有个问题，，总不能说拨号上来一个就手动改一个吧，，其实可以在pptpd的安装目录下面建立一个ip-up.local脚本，当有用户拨号上来的时候，自动修改MTU的值。
vi /etc/ppp/ip-up.local
#!/bin/bash
PATH=/sbin:/usr/sbin:/bin:/usr/bin
export PATH
ifconfig $1 mtu 1496
chmod +x /etc/ppp/ip-up.local

这样，每当一个用户拨号上来之后，会自动的把MTU值改为1496，这样就方便多了。