4. Konfiguracja PPTPD - FreeBSD-Windows XP

Panel sterowania >>> Połączenia sieciowe >>> Utwórz nowe połączenie
Wybieramy „Połącz z siecią w miejscu pracy” a następnie „Połączenie wirtualnej sieci prywatnej”. Podajemy nazwę dla naszego połączenia oraz hosta do którego się będziemy łączyć.

Ze względów bezpieczeństwa należy wybrać opcje uwierzytelnienia MS-CHAPv2.
Właściwości połączenia VPN >>> Zakładka Zabezpieczenia >>> Ustawienia >>>

4a. Czym jest CHAP?

CHAP używany jest do periodycznego potwierdzania tożsamości zdalnych węzłów, za pomocą trójstronnego uzgadniania. Takie potwierdzenie ma miejsce w chwili ustanowienia połączenia i może być powtórzone w dowolnym późniejszym momencie. CHAP oferuje nowe możliwości jak okresowa weryfikacja poprawiająca bezpieczeństwo, co sprawia, że CHAP jest wydajniejszy niż PAP. PAP przeprowadza weryfikację tylko raz, co sprawia, że jest wrażliwy na włamania i ataki stosujące podsłuch. Co więcej, PAP pozwala stronie inicjującej połączenie przeprowadzić uwierzytelnienie w dowolnym momencie (zanim zostanie o to poproszony), co czyni ten protokół wrażliwym na ataki przeprowadzone metodą siłową. Natomiast CHAP nie pozwala na przystąpienie do procesu uwierzytelniania bez wyraźnego polecenia.
Po zakończeniu fazy ustawiania połączenia PPP, host wysyła do zdalnego węzła komunikat z prośbą o przystąpienie do uwierzytelniania. Zdalny węzeł odpowiada, przesyłając pewną wartość. Host sprawdza odpowiedź, porównując ją z przechowywaną u siebie wartością. Jeżeli obie wartości są identyczne, uwierzytelnianie kończy się zaakceptowaniem zdalnego węzła. W przeciwnym wypadku połączenie jest zamykane.
Czap zapewnia ochronę przed atakami wykorzystującymi podsłuch transmisji modemowych, dzięki zastosowaniu unikatowych i nieprzewidywalnych wartości zmiennych, przesyłanych w komunikatach inicjujących uwierzytelnienie. Stosowanie ponawianych próśb o uwierzytelnienie ogranicza czas, przez jaki połączenie narażone jest na pojedynczy atak. Częstotliwość i czas przeprowadzenia uwierzytelnienia kontrolowane są przez serwer.

To bo było w sumie tyle gdyby nie jeden mały drobiazg. Połączenie VPN będzie nam w tym momencie robiło jako domyślna brama. Wszystkie pakiety które będziemy chcieli pobrać z sieci będą szły do nas / od nas – przez to połączenie. Aby temu zapobiec należy wyłączyć użycie domyślnej bramy.

Właściwości połączenia VPN >>> Zakładka Sieci >>> Właściwości protokołu TCP/IP >>>

4b. Droga domyślna

To by było na tyle… eee.. nie będzie tak dobrze.. jeszcze jedna rzecz.:)
Przy takim zestawieniu połączenia powinniśmy już móc pingnąć serwer PPTP po jego IP. Chcemy jednak móc również widzieć komputery z wewnętrznej sieci serwera PPTP.

Aby komputer (192.168.2.10) miał połączenie z komputerami po stronie wewnętrznej serwera (192.168.1.x) należy dodać drogę do tych adresów hostów przez tunel VPN. Należy więc dodać następującą drogę:

Z Naszego IP – 192.168.2.10
Po przez kanał VPN – 192.168.50.230 (klient)a 192.168.50.1 (server)
Do puli adresowej 192.168.1.x

Miejsce docelowe sieci  192.168.1.0
Maska sieci             255.255.255.0
Brama                   192.168.50.230
Interfejs               VPN – 192.168.50.230
Metryka                 1

Aby dodać taki wpis:
START >>> Uruchom … >>> cmd

Pod DOSem wpisujemy
C:> route -p add 192.168.1.0 mask 255.255.255.0 192.168.50.230

Aby sprawdzić aktualną tabelę routingu wpisujemy
C:> router print