AnNyung Official Homepage Home > White Paper [ Pptpd ]  

HOME
What is AnNyung
Documents
Packages System
White Paper
  . 2.0 Pkg Catalog
  . PHP Guide
  . AnNyung Tuning
  . A.P.M Setting
  . migration to 1.3
  . autoupdate
  . Oracle Ready
  . Quota Doc
  . CheckRootKit
  . Multibyte DNS
  . Sendamil STARTTLS
  . MySQL 4.1 Update
  . Time Server
  . Domain Key
  . VPN with PPTPd
  . VPN with OpenVPN
Download
Update
FAQ
Hardware
RoadMap
Gallery

  Go oops.org
  AnNyung banner 88x31

  AnNyung 1 banner 80x15
  AnNyung 2 banner 80x15
  AnNyung 3 banner 80x15
  AnNyung banner 80x15
  AnNyung banner 80x15



VPN with PopTop PPTPD
  이 문서는 안녕 리눅스에서 PopTop 의 PPTPD 를 이용하여 VPN 을 구축하는 것을 설명한
  다. 이 문서는 안녕 리눅스에서 사용하기 위함이므로,  안녕 리눅스 이외의 배포본에서
  구축을 할 경우, 이 문서에서 생략이 된 부분이 많음을 인식해야 한다. (안녕 리눅스에
  서는 기본으로 지원이 되게 되어있는 부분은 생략하였음을 미리 밝힌다.)

  이 문서외에 OpenVPN 을 이용한 VPN 구성 문서가 바로 출판될 예정이니, 둘의 장단점이
  분명한 만큼 두 문서를 비교해 본 후에, 어떤 방식으로 할지를 선택하는 것을 권장한다.

  PPTP 는 Point to Point Tunneling Protocol 을 의미하며, LAN 환경이 구축되기 이전의
  모뎀 사용시에 사용하던 PPP (Point To Point Protocol) 을 이용을 한다. PPTP 는 마이
  크로 소프트에 의해서 VPN (Virtual Private Network) 을 구현하기 위해 창안된 프로토
  콜이다.

  PPTP 를 사용하기 전에 참고해야 할 사항으로는 다음을 명심해야 한다.

  1. PopTop 의 PPTPD 는 클라이언트에 DHCP 정보를 넘겨 주지 않는다. 그러므로, PPTPD
     에서 지정한 DNS 는 클라이언트에서 사용이 되지 못한다. 즉, 이런 구조가 필요하다
     면 다른 VPN package 를 이용해야 한다.

     대신 windows 의 경우, PPTP 설정의 등록 정보에서 DNS 를 강제 기입할 수 있다.

  2. Password 가 노출이 되기 쉽기 때문에 (관리자가 쉽게 알 수 있다.)  클라이언트 입
     장에서는 최대한 VPN 계정만을 위한 암호를 사용해야 한다. 물론 Windows 의 인증을
     이용하기 위해 radius 나 tacas 를 이용할 경우에는 예외이다. 다만, 이 문서에서는
     radius 나 tacas 까지 사용하는 법을 기술하지는 않는다. 이 부분은 DIY 하도록! 검
     색하면 문서는 수두룩 하다.


  PPTP 는 보통 PPTP VPN 과 L2PT IPSec VPN 2가지로 운영을 할 수 있으나 여기서는 일단
  PPTP VPN 만 다룬다. IPSec 은 키를 만들어서 배포해야 하는 등 좀 귀찮은 이슈가 있다.

  PPTPD 를 운영하기 전에 일단 몇가지 용어를 알아 두는 것이 좋다.  이 용어에 대한 설
  명에 대하여 정확한 설명은 포기하겠다. 영문 문서 읽는 것도 괴롭고.. 그냥 필자가 이
  해한 간단한 설명에 만족을 하도록 한다.

  만약 더 깊이 알고 싶다면 http://www.networkpark.com/60 의 문서를 참고 하기 바란다.
  상당히 잘 정리가 되어 있다.

  PPTP 는 PPP 의 여러 인증 장치를 이용을 하는데, 여기서는 PAP 과 MS-CHAP2 를 이용하
  는 방법에 대해서만 논하도록 한다.
  다음은 PPTPD 가 지원을 하는 프로토콜들이다.

  1. PAP

     암호 인증 프로토콜 ((Password Authentication Protocol) 을 의미한다. PAP 인증파
     일의 암호 부분을 "" (지정하지 않으면) 로 지정하면 System Account 의 password를
     이용하여 인증을 한다. 단, 패킷이 암호화가 되지 않아 Sniffing 에 취약하다.

  2. MS-CAHP2

     아.. 어렵다. 그냥 암호화 모델이라고 생각하자. 위의 링크를 참조하도록 한다.

  위의 두가지 방법을 차이는 암호화를 하느냐 마느냐의 차이 외에도,  시스템 계정을 그
  대로 이용을 할 수 있느냐 없느냐의 차이가 있다.  CHAP 은 시스템 계정을 이용할 수가
  없다.

  또한, 위의 암호화의 의미는 인증단계만 의미하며, PPTP 는 패킷에 특정 헤더를 추가하
  여 패킷을 캡슐화 하는 것이라 이 상태에서는 전송되는 모든 데이터가 암호화가 되었다
  고 할 수 없다. 그래서 MPPE 라는 것을 사용을 한다. MPPE 는 이 전송 데이터들을 암호
  화 해주는 역할을 한다. MPPE 는 PAP 환경에서는 사용을 할 수 없다.

  PPTP 를 이용한 VPN 구성 시에 PAP/MS-CHAP/MPPE 이 3가지 용어가 자주 나오니 잘 기억
  하도록 한다. 또한, PAP 을 이용할 것인지 MS-CHAP2 를 이용할 것인지에 대해서, 현 시
  점에서 결정을 하도록 해야 한다.


  1. 필요 패키지

     일단, 안녕 리눅스로 PPTPd 를 이용하여 VPN 서버를 구축하는 것은 1.3 부터 공식지
     원을 하며, 다음의 패키지들이 필요하다.

     ppp
     pptp
     kernel MPPE module

     PAP 방식으로 구축을 할 경우에는 kernel MPPE module 이 필요하지 않다.

     일단 다음의 명령으로 패키지들을 설치하도록 하자.


 Hanterm - pkgadd -u pptpd

 [oops@main dir]$ pkgadd -u pptpd
   pptpd           : 
     ==> 의존성 패키지 ppp 성공
     ==> pptpd Update 성공
 [oops@main dir]$ 


    ppp가 이미 설치가 되어 있는 경우라면 무조건 삭제를 하고 pkgadd 로 재설치를 하도
    록 하는 것을 권장한다. 2.4.4 의 경우 필자의 미스로 잘못 배포한 부분이 있었으며, 
    2.4.3 의 경우 릴리즈 버전이 "-10" 미만일 경우엔 예외 사항에 대한 버그 패치가 포
    함이 되어 있지를 않기 때문에 pkgadd 명령으로 한번 재설치 해 주는 것을 권장한다.

    MS-CHAP2 를 사용할 경우에는 커널 버전도 확인을 해야 한다.

    현재 안녕 리눅스 1.3 의 기본 커널의 버전은 2.4.34-7 이다. 이 커널에는 MPPE가 포
    함이 되어있지 않다. MS-CHAP2 을 이용하여 전송패킷을 암호화를 하기 위해서는 MPPE
    가 필요하기 때문에 2.4.34-8 이상으로 업데이트를 해야 한다.


 Hanterm - pkgkernel -i

 [oops@main dir]$ pkgkernel -i
   * 커널 데이터베이스 정보

   kernel          => 42:2.4.34-7
   kernel-PIII     => 42:2.4.34-7
   kernel-PIV      => 42:2.4.34-7
   kernel-bigmem   => 42:2.4.34-7
   kernel-BOOT     => 42:2.4.34-7
   kernel-source   => 42:2.4.34-7

   주의  : pkgkernel -i 커널패키지이름 명령을 이용하면
           지원 가능한 커널 버전을 확인할 수 있습니다

   * 현재 설치되어 있는 커널 정보

   kernel          => 41:2.4.34-6
   kernel-PIV      => 43:2.4.34-7 boot

 [oops@main dir]$ 


    pkgernel -i 명령을 실행하면 현재의 커널 상태가 나온다.  상단은 현재 안녕 리눅스
    에서 제공하는 current kernel 의 버전이며,  하단에는 현재 시스템에 설치되어 있는
    커널의 정보가 출력이 된다.

    커런트 커널이 2.4.34-8 이상이고, 현재 설치된 커널이 2.4.34-8 보다 낮을 경우에는
    pkgkernel 명령을 이용하여 업데이트 한 후에, lilo 를 등록하고 리부팅 하도록 한다.

    위와 같이 커런트 커널의 정보가 2.4.34-7 로 나오고 설치되어 있는 커널이 2.4.34-8
    보다 낮으면 다음의 명령으로 업데이트를 하도록 한다.


 Hanterm - pkgkernel kernel-43:2.4.34-8

 [oops@main dir]$ pkgkernel kernel-43:2.4.34-8
   pkgkernel kernel
   kernel          : 성공

 [oops@main dir]$ 


    커널의 경우, CPU type 에 따라 여러가지 패키지를 지원을 하니 꼭 pkgkernel 문서를
    참고하여 자신의 시스템에 알맞은 커널을 설치하기 바란다.


  2. PPTPD 설정

    PPTPD 의 설정 파일은 /etc/pptpd.conf 이다.  PPTPD 의 설정은 다음과 같이 하는 것
    으로 끝이다.


 Hanterm - cat /etc/pptpd.conf

 [oops@main dir]$ cat /etc/pptpd.conf

   option /etc/ppp/options.pptpd
   logwtmp
   localip 192.168.70.1
   remoteip 192.168.70.2-254

 [oops@main dir]$ 


    위와 같이 네줄이면 충분하다. 다만 localip 와 remote ip 는 좀 고민을 해야 한다.

    만약 VPN 서버가 위치한 네트워크가 L3 layer 를 제어할수 있는 환경 이라면 일단 사
    용 하지 않는 별도의 subnet 을 이용하도록 한다. 즉 클라이언트의 PC 에서도 사용하
    지 않고 서버가 있는 네트워크의 subnet 도 피하도록 한다. 대충 위의 IP pool 을 그
    대로 사용해도 무방할 것이다. 다음 L3 switch 에서 지정한 subnet에 대하여 routing
    table 을 추가해 주어야 VPN 내부의 서버들과 통신이 가능하다.

    무슨 말인지 못알아 먹겠는 사람들도 있을 것이다. 필자가 또 이런 분들을 배려를 잘
    하는 것이 자랑중에 하나이다. (필자 역시 하면서 못알아 먹어서 힘들었다.)

    PPTP 를 이용하여 L2 layer 에 끼이면 이런 과정이 필요없다. 일단 가정을 좀 하도록
    하자. 서버 측의 network 이 211.111.111.0/24 의 C Class 를 사용 한다고 가정 한다
    면, 일단 VPN 에서 사용할 즉 다른 시스템이 사용을 하면 되지 않을 IP pool 을 정해
    야 한다. 255 개의 IP 중에서 211.111.111.240 ~ 254 까지 15개의 IP 를 VPN 에 할당
    을 한다고 가정을 한다면 211.111.111.240 의 VPN 서버측의 PPP IP 로 할당을 하고,
    나머지는 클라이언트에 할당 하도록 설정을 한다. (14 개의 클라이언트가 붙을 수 있
    다는 의미가 된다.)


 Hanterm - cat /etc/pptpd.conf

 [oops@main dir]$ cat /etc/pptpd.conf

   option /etc/ppp/options.pptpd
   logwtmp
   localip 211.111.111.240
   remoteip 211.111.111.241-254

 [oops@main dir]$ 



  3. PPP 설정 (PAP 설정)

    PPP 설정은 pptpd.conf 의 option 지시자에 설정한 파일을 사용을 한다. 기본으로는
    /etc/ppp/options.pptpd 를 이용한다. (위에서 이렇게 지정하기도 했다.)

    PPP 설정은 위에서 인증 방식을 결정을 하라고 했듯이 PAP 방식과 MS-CHAPv2 방식이
    틀리기 때문에 MS-CHAPv2 를 선택했다면 5번 섹션으로 SKIP 하기 바란다.

    PAP 방식은 다음과 같이 설정을 하도록 한다.


 Hanterm - cat /etc/ppp/options.pptpd

 [oops@main dir]$ cat /etc/ppp/options.pptp

   name pptpd
   auth
   login
   +pap
   refuse-eap
   refuse-chap
   refuse-mschap

   #ms-dns 172.16.1.1
   #ms-wins 10.0.0.3

   proxyarp
   lock
   nobsdcomp
   novj
   novjccomp
   nologfd

 [oops@main dir]$ 


    ms-dns 와 ms-win 은 클라이언트의 PPP device 에서 사용할 DNS 와 WINS 서버를 지정
    을 하는 옵션이지만 PPTPD 가 DHCP 옵션을 넘겨주지 않기 때문에 지정해 봤자 소용이
    없다. 그러니 그냥 무시하고 넘어가라.

    다음은 PAP 에서 사용할 인증 파일을 설정한다.


 Hanterm - cat /etc/ppp/pap-secrets

 [oops@main dir]$ cat pap-secrets 
   # Secrets for authentication using PAP
   # client        server  secret                  IP addresses
   *               pptpd   ""                      *

 [oops@main dir]$ 


    PAP secrets 파일은 PAP 인증을 할 유저와 암호를 기록하는 파일이다. 암호는 당연히
    PLAIN TEXT (평문) 으로 기입해야 한다. 형식은 한 줄에 한 유저의 정보를 기입을 하
    며, 유저이름/데몬이름/암호/접근IP 와 같이 4개의 섹션을 가진다. 예를 들면,

    oops       pptpd      abcdefg      211.233.222.43

    과 같이 기록을 하였다면,  211.233.222.43 에서만 oops 유저로 abcdefg 라는 암호를
    이용하여 로그인이 가능하다는 의미이다. 모든이라는 의미로 "*" 를 사용할 수 있다.

    만약 시스템 계정의 정보를 이용하려면, 암호 부분을 "" 로 지정을 하면 /etc/passwd
    나 /etc/shadow 에 있는 정보를 PAM 을 이용하여 인증을 하게 된다. 즉,


 Hanterm - cat /etc/ppp/pap-secrets

 [oops@main dir]$ cat pap-secrets 
   # Secrets for authentication using PAP
   # client        server  secret                  IP addresses
   *               *       ""                      *

 [oops@main dir]$ 


    과 같이 pap-secrets 파일에 기록을 한다면, 모든 인증을 PAM 을 통해서 하라는 의미
    가 된다.

    여기 까지 하면 서버측에서의 설정은 다 했다. PAP 을 사용 할 것이고, MS-CHAPv2 에
    대하여 관심이 없다면 5번 섹션으로 넘어 가도록 한다.


  4. PPP 설정 (MS-CHAPv2 설정)

    이 섹션은 MS-CHAPv2 에 대한 부분이다. PAP 을 이용하려한다면 다음 섹션으로 SKIP
    하도록 한다.

    MS-CHAPv2 를 사용할 경우, options.pptp 를 다음과 같이 설정을 한다.


 Hanterm - cat /etc/ppp/options.pptpd

 [oops@main dir]$ cat /etc/ppp/options.pptp

   name pptpd
   refuse-eap
   refuse-pap
   refuse-chap
   refuse-mschap
   require-mschap-v2
   require-mppe-128
   mppe-mtu-increased 46

   #ms-dns 172.16.1.1
   #ms-wins 10.0.0.3

   proxyarp
   lock
   nobsdcomp
   novj
   novjccomp
   nologfd

 [oops@main dir]$ 


    MS-CHAPv2 를 사용할 경우에 한가지 이슈가 있다. MTU 에 문제가 발생을 하여 다음과
    같은 에러가 발생을 하면서 패킷에 DROP 이 되거나, VPN 을 통하여 외부의 웹 페이지
    에 접근을 할 때, black hole router 때문에 해당 페이지가 열리지 않는 문제가 발생
    을 할 수 있다.


 Hanterm

 [oops@main dir]$ 
   mppe_decompress[1]: osize too small! (have: 1400 need: 1404)

 [oops@main dir]$ 


    대부분의 문서에서 이런 경우 MPPE 옵션을 제거하라고 하거나, 또는 Windows 의 레지
    스트리에서 MTU 값을 수정하라고 권고를 하고 있다. Windows 의 레지스트리를 수정하
    라고 권고하는 측에서는 이를 MPPE kernel module 의 버그라고 하지만,  뚜렷하게 어
    디가 잘못이 되었고 어디를 수정해야 하는지에 대한 언급은 없고 막연하게 모듈이 잘
    못하고 있다는 식의 접근만 있을 뿐이다. 그래서 안녕 리눅스에서는

    mppe-mtu-increased

    라는 옵션을 사용할 수 있도록 패치를 하였고, MPPE 에 ppp0 디바이스에 기본으로 설
    정이 되는 MTU 값 1436 (기본은 1400 인데, MPPE 사용시에 붙는 4byte 를 제거하도록
    코드가 되어 있다.) 값을 조정할 수 있도록 하는 옵션이다. 위의 설정은 기본 MTU 에
    서 46 을 더하도록 하는 것이다. (대략 1442 정도에서 안정적으로 작동하는 듯 싶다.)

    다음은 CHAP 에서 사용할 인증 파일을 설정한다.


 Hanterm - cat /etc/ppp/chap-secrets

 [oops@main dir]$ cat chap-secrets 
   # Secrets for authentication using CHAP
   # client        server  secret                  IP addresses
   *               pptpd   password                *

 [oops@main dir]$ 


    CHAP secrets 파일은 PAP 인증을 할 유저와 암호를 기록하는 파일이다.  암호는 당연
    히 PLAIN TEXT (평문) 으로 기입해야 한다. 형식은 한 줄에 한 유저의 정보를 기입을
    하며, 유저이름/데몬이름/암호/접근IP 와 같이 4개의 섹션을 가진다. 예를 들면,

    oops       pptpd      abcdefg      211.233.222.43

    과 같이 기록을 하였다면,  211.233.222.43 에서만 oops 유저로 abcdefg 라는 암호를
    이용하여 로그인이 가능하다는 의미이다. 모든이라는 의미로 "*" 를 사용할 수 있다.

    데몬이름은, options.pptpd 의 name 옵션의 값을 지정하면 된다.  (또는 * 로 지정을
    해도 된다.)

    여기까지만 설명을 한다면,  VPN 클라이언트를 사용할 사람들이 관리자를 믿을 수 있
    느냐의 문제에 닥칠 수도 있다. 즉 신뢰성의 문제가 발생할 수 있는데, 보통 MS-CHAP
    을 사용하는 경우는 대부분 radius 나 tacas 를 통하여 Windows 의 Active Directory
    의 인증을 이용하는 경우가 많다. 즉, 이 모델들을 사용을 하는 경우라면,  관리자도
    알 길이 없다.


  5. 데몬 구동

    데몬을 구동하기 전에 해 줘야 할 일이 하나 있다. ppp device 와 기존의 ethenet 간
    의 패킷 교환을 위하여 커널 파라미터 값을 수정해 줘야 한다.


 Hanterm - sysctl -w "net.ipv4.ip_forward=1"

 [oops@main dir]$ sysctl -w "net.ipv4.ip_forward=1"
 [oops@main dir]$ 


    안녕 리눅스에서는 이 값이 디폴트로 0 으로 설정이 되어 있다. 부팅 시 마다 반영을
    하고 싶다면 /etc/sysctl.conf 에서 이 값을 1로 수정을 해 두면 된다.

    다음 pptpd 를 시작을 한다.


 Hanterm - /etc/init.d/pptpd start

 [oops@main dir]$ /etc/init.d/pptpd start
   Starting pptpd:                                     [  확인  ]
 [oops@main dir]$ 


    여기까지 작업을 했다면 서버측에서의 준비는 모두 끝이 난다.


  6. 방화벽 설정

    안녕 리눅스는 기본으로 oops-firewall 이 구동이 된다.  /etc/oops-firewall/ 에 있
    는 filter.conf 의 TCP_ALLOWPORT 에 1723 을 추가해 준 후에 방화벽을 재구동 한다.

    또, 사내 방화벽이 별도로 존재할 경우, GRE protocol 에 대해서 막혀 있는지 확인을
    해 보는 것이 좋다. 요즘 방화벽들은 TCP뿐 아니라 모든 프로토콜을 제어하는 경우가
    많기 때문에 이 부분을 확인하는 것이 좋다.


  7. 클라이언트 설정

    PPTP client 는 Windows 2000 부터는 기본 내장이 되어 있다.  2000 이전의 Windows
    OS 에서는 따로 설치를 해 주어야 한다.

    여기서는 Windows XP 를 기준으로 하며, 다른 버전에서는 검색을 하면 쉽게 찾을 수
    있으며, 하단의 주의사항만 잘 인지를 하고 있으면 된다.

    1. 먼저 제어판의 "네트워크 연결"을 실행한다.

    2. "네트워크 연결"의 상단 메뉴에서 "파일 > 새 연결"을 선택한후 다음 화면으로
       넘어 간다.

    3. 두번째 화면에서 "회사 네트워크에 연결"을 선택하고 다음으로 넘어간다.

       네트워크 연결 형식
           무엇을 하시겠습니까?
       ---------------------------------------------------------------------------
           [ ] 인터넷에 연결(C)
               blah blah
           [x] 회사 네트워크에 연결(O)
               blah blah
           [ ] 홈 네트워크 또는 소규모 네트워크 설정(S)
               blah blah
           [ ] 고급 연결 설정
               blah blah

    4. "가상 사설망 연결" 을 선택하고 다음으로 넘어간다.

       네트워크 연결
         회사 네트워크에 어떻게 연결하시겠습니까?
       ---------------------------------------------------------------------------
           다음 연결 만들기

           [ ] 전화 접속 연결(D)
               blah blah
           [x] 가상 사설망 연결(V)
               blah blah

    5. 접속 이름을 지정한다. 지정한 이름으로 ICON 이 생성이 된다. 다음으로 넘어간다.

       연결 이름
         회사 연결에 대한 이름을 지정하십시오.
       ---------------------------------------------------------------------------
           다음 상자에 이 연결에 대한 이름을 입력하십시오.

           회사 이름(A)

           [ My VPN                                                     ]

           예를 들어, 회사 이름이나 연결하려는 서버 이름을 입력할 수 있습니다.


    6. 인터넷에 기본으로 연결이 되어 있다면 "초기 연결을 사용 안 함" 을 선택한다.

       공용 네트워크
         Windows에서 먼저 공용 네트워크가 연결되어 있는지 확인할 수 있습니다.
       ---------------------------------------------------------------------------
           가상 연결을 만들기 전에, 인터넷 또는 다른 공용 네트워크에 먼저 연결하도
           록 초기 연결을 설정할 수 있습니다.

           [x] 초기 연결을 사용 안함(D)
           [ ] 자동으로 다음 초기 연결 사용(A)
               [ blah blah                                                ]

    7. VPN 서버의 주소를 넣어 준다.

       VPN 서버 선택
         VPN 서버의 이름 또는 주소가 무엇입니까?
       ---------------------------------------------------------------------------
           연결하려는 컴퓨터의 호스트 이름이나 인터넷 프로토콜(IP) 주소를 입력하십
           시오.

           호스트 이름 또는 IP 주소(예, micro$oft.com 또는 157.54.0.1)(H)
           [ myvpn.domain.com                                                ]


    8. 여기까지 하면 기본적인 접속 설정이 끝났다.

    기본 설정이 끝났으면 인증에 관련된 설정을 해 주어야 한다. 생성된 ICON을 더블 클
    릭 하면 접속 인증 창이 뜨게 된다. 여기에서 하단 버튼 중 "속성"을 선택한다.

    속성의 보안 tab 을 클릭한 후에 인증 방식에 따라 설정을 해 주어야 한다.  다음 섹
    션에서 각 경우에 따라 계속 설명하겠다.


  8. PAP 클라이언트 설정

    보안탭에서 "고급 설정(사용자 지정)"을 선택하고, 우측의 "설정(S)"을 클릭한다.

      보안 옵션
        [ ] 일반 설정(권장)(T)

          다음으로 내 신분을 확인(V):
             [ ######################################################### ]
          [#] 자동으로 Windows 로그온 이름 및 암호(도메인이 있으면 도메인도) 사용(U)
          [#] 데이터 암호화 필요 (없으면 연결 끊기)

        [x] 고급 설정(사용자 지정)(D)
          이 설정을 사용하려면 보안 프로토콜에 대한 지식이
          필요 합니다.                                         [  설정  ]

    다음 "부호화되지 않은 암호(PAP)"를 선택한 후에 "확인"을 누른다.

      데이터 암호화(D)
      [ 선택적 암호화 사용(암호화 없이도 연결)               ]

        로그온 보안
          [ ] 확장 할 수 있는 인증 프로토콜(EAP) 사용(E)
                              [                                            ]

          [x] 다음 프로토콜을 허용(P)
              [x] 부호화 되지 않은 암호(PAP)(U)
              [ ] Shiva 암호 인증 프로토콜(SPAP)(S)
              [x] Challenge Handshake 인증 프로토콜(CHAP)(C)
              [x] Microsoft CHAP(MS-CHAP)(M)
                 blah blah
              [x] Microsoft CHAP 버전 2(MS-CHAP v2)(I)
              -------------------------------------------------------------------
              [ ] MS-CHAP 기반 프로토콜에 대해 내 Windows 로그온 이름 및 암호
                  (도메인이 있으면 도메인도)를 자동으로 사용(F)


    데이터가 암호화 되지 않는다는 경고가 뜨겠지만 우리는 당연히 암호화되지 않는것을
    알고 있으니 대충 넘어간다.

                                네트워크  연결
       --------------------------------------------------------------------------
       선택한 프로토콜은 PAP,SPAP 및/또는 CHAP를 포함합니다. 이 중 한 개로 협상
       하면 데이터가 암호화되지 않습니다. 이 설정을 유지하겠습니까?


    설정 창을 종료 시키고, 유저와 암호를 넣어 접속을 하면 된다.

    pap-secrets 를 어떻게 설정 했느냐에 따라 유저/암호는 달라질 것이니, 위의 PAP 설
    정 부분을 다시 잘 읽어 보기를 바란다.


  9. MS-CHAPv2 클라이언트 설정

    보안탭에서 "일반 설정(권장)(T)"을 선택한다. require-mppe-128 를 설정한 경우에는
    일반 설정에 서브 옵션에서

     [x] 일반 설정(권장)(T)

       다음으로 내 신분을 확인(V):
          [보안 처리된 암호 필요                                             ]
       [ ] 자동으로 Windows 로그온 이름 및 암호(도메인이 있으면 도메인도) 사용(U)
       [x] 데이터 암호화 필요 (없으면 연결 끊기)


    로 설정을 한다. require-mppe-128 을 설정하지 않은 경우에는 가장 밑의 "데이터 암
    호화 필요"를 선택하지 않는다.


  10. Gateway 설정

    네트워킹 탭에서 "인터넷 프로토콜(TCP/IP)" 의 속성을 선택하고 하단의 고급을 선택
    한다.

    기존 윈도우의 gateway 를 유지하면서 VPN 망에 접속을 하고 싶다면, 

      [ ] 원격 네트워크에 기본 게이트웨이 사용(U)

    의 체크를 지우면 된다. 체크가 되면 모든 연결이 VPN을 통해서 외부로 나가게 된다.
    물론 서버의 설정에 따라 외부로 못나갈 수도 있다. (능력에 달렸다 ^^)


  여기까지 VPN For PopTop PPTPD 문서를 마친다. 클라이언트 설정에 이미지를 추가할 수
  있었다면 좀 더 깔끔했겠지만.. 귀찮음을 이해하기 바란다.


위로    



 Home > White Paper [ Pptpd ]

Copyright 2017 OOPS Development Organization 
LAST MODIFIED: 2012/08/28