今天在公司折腾了一下午的vpn配置,查了N多资料,最终总算解决了!

其实问题主要在阿里云的云主机是两个网卡,一个内网,一个外网,导致转发规则常常配置错误。下面资料为从网上收集整理。

因为使用的是centos7,下面安装教程基本只适用于centos7.


若你使用XEN架构的VPS,可以不用检测PPP是否开启

#检测PPP是否开启:
cat /dev/ppp
#开启成功的标志:cat: /dev/ppp: No such file or directory 
#或者 cat: /dev/ppp: No such device or address,可以继续
#运行下面的命令安装iptables、ppp、pptpd
#在这之前,请您先更新yum源,以防错误。
yum install ppp iptables pptpd


运行上面命令完成后,应该顺利安装完成了需要的组件,接着就对pptp进行配置。

#编辑pptpd.conf:
vi /etc/pptpd.conf
#搜索localip,去掉下面字段前面的#,然后保存退出
localip 192.168.0.1
remoteip 192.168.0.234-238,192.168.0.245

#编辑options.pptpd
vi /etc/ppp/options.pptpd
#搜索ms-dns,去掉搜索到的两行ms-dns前面的#,并修改为下面的字段
ms-dns 8.8.8.8
ms-dns 8.8.4.4

#接下来编辑/etc/ppp/chap-secrets设置VPN的帐号密码
vi /etc/ppp/chap-secrets
#添加一行,按照下面的格式写入你的用户名和密码
#用户名 pptpd 密码 *
test test123 pptpd *
#注意:上面的用户名和密码都区分大小写

#接下来修改内核参数,运行下面的命令编辑sysctl.conf
vi /etc/sysctl.conf
#在conf末尾添加下面的代码,使内核支持转发
net.ipv4.ip_forward=1
#运行下面的命令使内核修改生效
sysctl -p


添加下面的iptables转发规则(直接在SSH运行下面命令即可)

#XEN架构:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#OpenVZ架构:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source VPS公网IP

但是添加转发规则后重启就会失效,Centos 6系统可以使用service iptables save保存配置,但Centos 7不支持,我们需要将配置写入rc.local文件中,开机自动设置,运行下面的命令赋予rc.loacl执行权限:

chmod +x /etc/rc.d/rc.local
#编辑rc.local,并把上面的转发规则写到文件末尾
vi /etc/rc.d/rc.local
#保存退出

启动组件

#用下面的命令启动pptpd
/etc/init.d/pptpd start
/etc/init.d/iptables restart 
#用下面的命令使pptpd开机自动启动
chkconfig pptpd on
chkconfig iptables on

 

现在就可以使用你的设备连接到你的VPN了,若配置正确,就可以正常连接并上网了。

但是阿里云上的基本上都是能连上,但并不能访问网络,这是因为阿里云采用的XEN架构,而上面配置的转发规则中,绑定的eth0是内网网卡,是不能访问公网的。所以我们只要修改转发规则中的eth0为eth1就可以了。


实在搞不定,可以使用下面的一键安装脚本,适用于centos6和7。

wget http://mirrors.linuxeye.com/scripts/vpn_centos.sh
chmod +x ./vpn_centos.sh
./vpn_centos.sh

脚本内容如下(vpn_centos.sh):

#!/bin/bash
#
# Author:  yeho <lj2007331 AT gmail.com>
# Blog:  http://blog.linuxeye.com
#
# Installs a PPTP VPN-only system for CentOS
# Check if user is root
[ $(id -u) != "0" ] && { echo -e "\033[31mError: You must be root to run this script\033[0m"; exit 1; } 
export PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
clear
printf "
#######################################################################
#    LNMP/LAMP/LANMP for CentOS/RadHat 5+ Debian 6+ and Ubuntu 12+    #
#            Installs a PPTP VPN-only system for CentOS               #
# For more information please visit http://blog.linuxeye.com/31.html  #
#######################################################################
"
[ ! -e '/usr/bin/curl' ] && yum -y install curl
VPN_IP=`curl ipv4.icanhazip.com`
VPN_USER="linuxeye"
VPN_PASS="linuxeye"
VPN_LOCAL="192.168.0.150"
VPN_REMOTE="192.168.0.151-200"
while :; do echo
    read -p "Please input username: " VPN_USER 
    [ -n "$VPN_USER" ] && break
done
while :; do echo
    read -p "Please input password: " VPN_PASS
    [ -n "$VPN_PASS" ] && break
done
clear
if [ -f /etc/redhat-release -a -n "`grep ' 7\.' /etc/redhat-release`" ];then
    #CentOS_REL=7
    if [ ! -e /etc/yum.repos.d/epel.repo ];then
        cat > /etc/yum.repos.d/epel.repo << EOF
[epel]
name=Extra Packages for Enterprise Linux 7 - \$basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/\$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=\$basearch
failovermethod=priority
enabled=1
gpgcheck=0
EOF
    fi
    for Package in wget make openssl gcc-c++ ppp pptpd iptables iptables-services 
    do
        yum -y install $Package
    done
    echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
elif [ -f /etc/redhat-release -a -n "`grep ' 6\.' /etc/redhat-release`" ];then
    #CentOS_REL=6
    for Package in wget make openssl gcc-c++ iptables ppp 
    do
        yum -y install $Package
    done
    sed -i 's@net.ipv4.ip_forward.*@net.ipv4.ip_forward = 1@g' /etc/sysctl.conf
    rpm -Uvh http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm
    yum -y install pptpd
else
    echo -e "\033[31mDoes not support this OS, Please contact the author! \033[0m"
    exit 1
fi
echo "1" > /proc/sys/net/ipv4/ip_forward
sysctl -p /etc/sysctl.conf
[ -z "`grep '^localip' /etc/pptpd.conf`" ] && echo "localip $VPN_LOCAL" >> /etc/pptpd.conf # Local IP address of your VPN server
[ -z "`grep '^remoteip' /etc/pptpd.conf`" ] && echo "remoteip $VPN_REMOTE" >> /etc/pptpd.conf # Scope for your home network
if [ -z "`grep '^ms-dns' /etc/ppp/options.pptpd`" ];then
     cat >> /etc/ppp/options.pptpd << EOF
ms-dns 223.5.5.5 # Aliyun DNS Primary
ms-dns 114.114.114.114 # 114 DNS Primary
ms-dns 8.8.8.8 # Google DNS Primary
ms-dns 209.244.0.3 # Level3 Primary
ms-dns 208.67.222.222 # OpenDNS Primary
EOF
fi
echo "$VPN_USER pptpd $VPN_PASS *" >> /etc/ppp/chap-secrets
ETH=`route | grep default | awk '{print $NF}'`
[ -z "`grep '1723 -j ACCEPT' /etc/sysconfig/iptables`" ] && iptables -I INPUT 4 -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
[ -z "`grep 'gre -j ACCEPT' /etc/sysconfig/iptables`" ] && iptables -I INPUT 5 -p gre -j ACCEPT 
iptables -t nat -A POSTROUTING -o $ETH -j MASQUERADE
iptables -I FORWARD -p tcp --syn -i ppp+ -j TCPMSS --set-mss 1356
service iptables save
sed -i 's@^-A INPUT -j REJECT --reject-with icmp-host-prohibited@#-A INPUT -j REJECT --reject-with icmp-host-prohibited@' /etc/sysconfig/iptables 
sed -i 's@^-A FORWARD -j REJECT --reject-with icmp-host-prohibited@#-A FORWARD -j REJECT --reject-with icmp-host-prohibited@' /etc/sysconfig/iptables 
service iptables restart
chkconfig iptables on
service pptpd restart
chkconfig pptpd on
clear
echo -e "You can now connect to your VPN via your external IP \033[32m${VPN_IP}\033[0m"
echo -e "Username: \033[32m${VPN_USER}\033[0m"
echo -e "Password: \033[32m${VPN_PASS}\033[0m"

参考网站:

https://github.com/drewsymo/VPN

https://blog.linuxeye.com/412.html

http://blog.fens.me/vpn-aliyun/

http://www.wanghailin.cn/centos-7-vpn/