阿里云CENTOS6.9安装pptpd服务

本文以阿里云香港节点的ECS为远程服务器，类型为ecs.t5-lc2m1.nano（CPU使用率不能超过10%,做PPTPD服务器足够了，几乎看不到CPU使用），系统采用Centos6.9，专有网络，按使用量付费，大概一年150块钱，网络带宽不要钱，可以设置大一点，但是香港流量1元/GB。
之所有使用centos6.9系统而不是centos7.5系统，是因为本人对centos7.5系统自带的firewalld防火墙不是很会用，有时间可以出个centos7版本的教程，其实都一样，只是命令格式不同，步骤和原理完全相同。

1.登录服务器
使用控制台中对应ECS节点的公网地址登录服务器，登录的ssh验证方式请使用在购买ECS时指定的账号密码或者密钥对。

2.更新系统，并安装基本软件包
[root@hk ~]# yum update -y
[root@hk ~]# reboot
更新完成记得重启系统，以让最新的各个组件生效。（其实只要kernel没有升级可以不用重启，看你心情了）

3.安装pptpd服务
[root@hk ~]# yum install pptpd

4、检查selinux状态
[root@hk ~]# getenforce
Disabled
[root@hk ~]# cat /etc/sysconfig/selinux

This file controls the state of SELinux on the system.

SELINUX= can take one of these three values:

enforcing - SELinux security policy is enforced.

permissive - SELinux prints warnings instead of enforcing.

disabled - SELinux is fully disabled.

SELINUX=disabled

SELINUXTYPE= type of policy in use. Possible values are:

targeted - Only targeted network daemons are protected.

strict - Full SELinux protection.

SELINUXTYPE=targeted

SELINUX关着就对了，看到这玩意就头大。

5、配置pptpd服务
备份系统自带配置文件
[root@hk ~]# mv /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak

新建options.pptpd文件并写入如下对应内容：
[root@hk ~]# vim /etc/ppp/options
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
mtu 1460
ms-dns 100.100.2.136
ms-dns 100.100.2.138

编辑账号密码文件，并添加一个账号，
[root@hk ~]# vim /etc/ppp/chap-secrets

Secrets for authentication using CHAP

client server secret IP addresses

zhouxin pptpd testing123 *

其中zhouxin为账户名，server字段为pptpd服务类型，固定参数无需修改，secret字段为密码testing123, IP addresses为允许客户端使用该账号从哪些地址登录，可以指定一个IP地址，也可以使用*号，代表允许客户端从所有地址登录。

别忘了开启pptpd服务
[root@hk ~]# service pptpd start
Starting pptpd: [ OK ]

至此pptpd服务已经配置完成，接下来需要配置iptables允许转发和阿里云的安全组。
6、配置iptables服务
在配置iptables之前还需要对linux内核做个特别的设置，开启内核数据包转发功能。
编辑配置文件/etc/sysctl.conf
找到net.ipv4.ip_forward参数，值由0修改为1，如果配置文件里找不到，就在文件末尾手动添加该参数。

Controls IP packet forwarding

net.ipv4.ip_forward = 1
1表示允许内核转发，0为禁止内核转发
配置完毕后使用如下名利刷新系统参数，以使之生效。
[root@hk ~]# sysctl -p
net.ipv4.ip_forward = 1
....省略其他.......
看到上面的信息代表内和参数修改生效了。

OK，接下来才是iptables
[root@hk ~]# service iptables status
iptables: Firewall is not running.
发现阿里云的ECS默认是不开启iptables防火墙的，因为ECS的安全组在充当外部防火墙的功能，但是功能和iptables还是有差距的。
接下来需要开启iptables服务，并清空netfliter和nat表
[root@hk ~]# service iptables start
[root@hk ~]# iptables -F
[root@hk ~]# iptables -t nat -F

在这里需要使用ifconfig命令查看一下网卡的接口名称
[root@hk ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3E:02:EF:0D
inet addr:172.31.159.46 Bcast:172.31.159.255 Mask:255.255.240.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:34258 errors:0 dropped:0 overruns:0 frame:0
TX packets:14558 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:26007734 (24.8 MiB) TX bytes:1164403 (1.1 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
发现本机的网卡接口名为eth0。

写入iptables规则：
[root@hk ~]# iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
[root@hk ~]# iptables -I INPUT -p gre -j ACCEPT
[root@hk ~]# iptables -I FORWARD  -j ACCEPT
[root@hk ~]# iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
这4句话的含义分别是：
允许tcp 1723端口，这个是pptpd服务的端口。
允许GRE协议，pptp服务在建立VPN隧道时会用到GRE协议。
允许转发外部数据包。
对所有经由eth0接口转发出去的数据包进行源地址NAT（SNAT），NAT方式为MASQUERADE伪装，就是把所有经由eth0出去的数据包源IP地址都修改为eth0接口上所配置的IP地址,也就是172.31.159.46。可能有人要问这个eth0接口的地址也是私有地址，无法再公网上路由，怎么办，勿操心，因为在数据包到达阿里云的专有网络网观后还需要再做一次NAT，来转换为真正的公网IP地址。

至此，已iptables已经配置完毕，记得使用如下命令保存，否则重启后上述配置将失效。
[root@hk ~]# service iptables save
所有的配置信息将会被保存到文件/etc/sysconfig/iptables中。

还没完，前面说了还要配置阿里云的安全组，
在阿里云控制台，找到该ECS服务器，点击最后面的"更多"，再点击弹出列表上的"安全组配置"选项。
来到一个新的配置页面，点击"安全组列表"后面的"配置规则"连接。添加如下规则：
允许tcp1723端口，允许GRE协议，允许tcp22端口（这个是自带规则，切记不要删除，否则你就无法ssh访问你的ECS了）。

好了，所有pptpd服务的相关设置均已就绪。

接下来在你的客户端电脑上配置一个VPN连接，使用该ECS的公网地址作为VPN的服务器地址，账号密码位前面设置的zhouxin，testing123。
控制面板->网络与共享中心->设置新的连接或网络->连接到工作区->否，创建新连接（如果有的话）->使用我的Internet连接（VPN）->Internet地址就是ECS的公网地址，目标名称可以随便去比如hkvpn->点击创建按钮完成配置。
还没完，
再次进入网络共享中心->更改适配器设置->找到刚刚新建的连接比如：hkvpn那个网络接口->鼠标右键，选择属性->选择"安全"选项卡
安全选项如下：
VPN类型：点对点隧道协议（pptp）
数据加密：可选加密（没有加密也可以连接）
身份验证：允许使用这些协议->只勾选 Microsoft CHAP Version 2(MS-CHAP v2)

点击确定按钮保存配置

双击此网络接口，在弹出的页面填入账号密码，点击连接按钮，等待与服务器协商建立VPN连接。如果一切正常，过片刻此网络接口状态会由已断开->正在连接(正在连接到"ECS IP"，正在验证你的登录信息，正在完成连接)->已连接。

激动人心的时刻来临了，赶快打开浏览器，输入网址www.baidu.com，搜索关键字ip来查看自己的网络出口地址是不是变成了ECS的公网IP。
额........,郁闷中，百度打不开，换个www.qq.com再试试，发现没问题，挺顺溜，再换个地址ip.qq.com看看，发现自己的互联网出口地址确实变成了ECS的公网IP。但是百度为什么打不开呢，郁闷中。
曾经在很长的一段时间里我本人竟然认为国内打不开google,理所当然的境外的运营商都去屏蔽了百度。呵呵，有点傻是不是。指导有一天觉得这种情况太无法忍受了，才决定找点资料看看究竟是怎么回事。

在回到ECS服务器上看看网络信息
[root@hk ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3E:02:EF:0D
inet addr:172.31.159.46 Bcast:172.31.159.255 Mask:255.255.240.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42366 errors:0 dropped:0 overruns:0 frame:0
TX packets:22787 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:27355920 (26.0 MiB) TX bytes:2506666 (2.3 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

ppp0 Link encap:Point-to-Point Protocol
inet addr:10.10.10.1 P-t-P:10.10.10.3 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:28 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1675 (1.6 KiB) TX bytes:1120 (1.0 KiB)
发现比之前多了一个ppp0接口，地址就是我们前面pptpd服务里所配置的localip地址，仔细看ppp0里面的一个关键参数MTU：1396,看到了没有,再看看eth0的mtu：1500,问题就出在这里。
由于ppp封装，gre封装，和tcp-mss等诸多因素混杂，导致无法正常由https协议访问百度。
解决办法1：tcp-mss自适应。
[root@hk ~]# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
或
[root@hk ~]# iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1356
解决办法2：降低eth0的MTU到1496以下即可。
[root@hk ~]# ifconfig eth0 mtu 1496
解决办法3：提升ppp接口的mtu到1400以上
[root@hk ~]# vim /etc/ppp/ip-up
............省略N行..........
ifconfig $1 mtu 1460
exit 0

注意一定要添加在exit 0这行前面。前两种方法是当即生效的。对pptpd服务没影响。

如果是更改配置文件方式记得重启pptpd服务。
[root@hk ~]# service pptpd restart
Shutting down pptpd: [ OK ]
Starting pptpd: [ OK ]
Warning: a pptpd restart does not terminate existing
connections, so new connections may be assigned the same IP
address and cause unexpected results. Use restart-kill to
destroy existing connections during a restart.

好了，现在baidu是可以打开了，但是依然发现个问题，就是被墙掉的那些网站还是无法打开，
来，再做个测试
在命令提示符里输入nslookup命令，
C:\Users\xin>nslookup
默认服务器: public1.114dns.com
Address: 114.114.114.114
可以看到一个默认服务器是114.114.114.114,经检查发现这是本地网卡上配置的首选DNS服务器，貌似pptpd里配置的ms-dns参数没生效。系统依然使用本地网卡的DNS服务器去做解析。
难不成每次使用此vpn连接都要手动的更改本地网卡的DNS设置，断开连接，在手动改回来？是的曾经的我是这么做的，但是做了一段时间就受够了。决定找个懒人的方法，别说，还真找到了。
在ECS配置如下iptables规则：
[root@hk ~]# iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 100.100.2.138:53
这条规则的意思是：对所有发往udp53端口的数据做目的地址转换DNAT，目的地址强制更改为100.100.2.138，这下好了，无论客户端那边配置什么DNS，当DNS数据包到达ECS是都被篡改成使用100.100.2.138这个DNS服务器。哪怕客户端配置的压根就不是DNS服务器的IP地址，也一样会被篡改掉。

赶快在试试，打开浏览器，先念三遍咒语：玛尼玛尼哄，玛尼玛尼哄，玛尼玛尼哄！即可穿墙而过。

这样认为大功告成了是吗，真的是吗？当然不是，iptables还没保存呢
[root@hk ~]# service iptables save

然后

没然后了！