PPTP VPN

PPTP VPN 简介

PPTP（Point to Point Tunneling Protocol），即点对点隧道协议，默认端口号：TCP 1723。该协议是在 PPP 协议的基础上开发的一种新的增强型安全协议，可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性，远程用户可以通过 PPTP VPN 拨号访问公司内网资源。

PPTP 数据报文

PPTP 数据报文分为两种：

控制报文：用于创建、维护、终止 PPTP 连接；

数据报文：用来传送 PPP 数据包，PPP 数据包封装在 GRE 里进行传送。

PPTP 协议交互过程

1. 建立 TCP 三次握手；

2. 建立 PPTP 控制层连接：

   Start Control Connection Request：Client 发起控制链接请求，用于初始化 PPTP Client 和 Server 之间的 Tunnel, 开始 Tunnel 的建立过程；

   Start Control Connection Reply：Server 控制链接响应，表示接受了对端的连接请求；

   Outgoing Call Request：创建隧道，选择一个调用 ID 用于标识客户端到服务器发送数据的 PPTP 隧道；

   Outgoing Call Reply：隧道创建成功应答，选择一个调用 ID 用于标识从服务器到客户端发送数据的 PPTP 隧道；

   Set-Link-Info：指定 PPP 协商选项。

   

网络需求

在外移动办公的工作人员需要通过 PPTP VPN 隧道模式拨入到公司内网来对内网主机进行访问。

网络拓扑

配置步骤

配置 FortiGate PPTP VPN

1.基础配置

2.创建用户并将用户加入到用户组

3.配置 PPTP VPN

config vpn pptp
    set status enable
    set eip 172.31.1.200
    set sip 172.31.1.10
    set usrgrp "PPTP_Group"
end

4.配置地址对象

5.配置防火墙策略

第 1 条策略用于客户端 PPTP VPN 拨号后访问内网；第 2 条策略用于客户端 PPTP VPN 拨号后上网。

当客户端 PPTP VPN 拨号成功后，将会使用获取的地址（172.31.1.10-172.31.1.200）访问内部主机，因此内部网络需要增加到 172.31.1.0/24 网段的回程路由指向 FortiGate 或者 可以在策略中开启 NAT，那么源地址将被转换为 FortiGate 接口地址，则不用考虑回程路由。

###配置终端 PPTP VPN

1. 右击本地连接图标，选择“打开网络和 Internet 设置”，选择 VPN。

   

2. 点击“添加 VPN 连接”，设置 PPTP，然后点击保存。

   

3. PPTP VPN 创建完成。

   

PPTP VPN 拨号测试

1. 点击创建的“PPTP_VPN”，点击“连接”。

   

2. 连接成功。

   

   查看 PPTP VPN 获取的地址，可以看到 FortiGate 无法推送 DNS 给 PPTP 客户端，如果 PPTP 客户端需要使用 DNS，则需要手动编辑客户端的 PPTP 连接

   C:\Users\admin>ipconfig/all
   以太网适配器 Ethernet1:
   
      连接特定的 DNS 后缀 . . . . . . . :
      描述. . . . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection #2
      物理地址. . . . . . . . . . . . . : 00-0C-29-A2-90-EA
      DHCP 已启用 . . . . . . . . . . . : 否
      自动配置已启用. . . . . . . . . . : 是
      本地链接 IPv6 地址. . . . . . . . : fe80::65c4:a7eb:1876:83ac%5(首选)
      IPv4 地址 . . . . . . . . . . . . : 10.1.1.5(首选)
      子网掩码  . . . . . . . . . . . . : 255.255.255.0
      默认网关. . . . . . . . . . . . . : 10.1.1.1
      DHCPv6 IAID . . . . . . . . . . . : 402656297
      DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-29-1C-CC-4A-00-0C-29-A2-90-E0
      DNS 服务器  . . . . . . . . . . . : 114.114.114.114
      TCPIP 上的 NetBIOS  . . . . . . . : 已启用
   
   PPP 适配器 PPTP_VPN:
   
      连接特定的 DNS 后缀 . . . . . . . :
      描述. . . . . . . . . . . . . . . : PPTP_VPN
      物理地址. . . . . . . . . . . . . :
      DHCP 已启用 . . . . . . . . . . . : 否
      自动配置已启用. . . . . . . . . . : 是
      IPv4 地址 . . . . . . . . . . . . : 172.31.1.11(首选)
      子网掩码  . . . . . . . . . . . . : 255.255.255.255
      默认网关. . . . . . . . . . . . . : 0.0.0.0
      TCPIP 上的 NetBIOS  . . . . . . . : 已启用

   查看终端路由表。

   C:\Users\admin>route print
   ===========================================================================
   接口列表
     6...00 09 0f fe 00 01 ......Fortinet Virtual Ethernet Adapter (NDIS 6.30)
    10...00 0c 29 a2 90 e0 ......Intel(R) 82574L Gigabit Network Connection
     5...00 0c 29 a2 90 ea ......Intel(R) 82574L Gigabit Network Connection #2
    46...........................PPTP
     1...........................Software Loopback Interface 1
   ===========================================================================
   
   IPv4 路由表
   ===========================================================================
   活动路由:
   网络目标        网络掩码          网关       接口   跃点数
             0.0.0.0          0.0.0.0         10.1.1.1         10.1.1.5   4506
             0.0.0.0          0.0.0.0            在链路上       172.31.1.11     26
            10.1.1.0    255.255.255.0            在链路上          10.1.1.5   4506
            10.1.1.5  255.255.255.255            在链路上          10.1.1.5   4506
          10.1.1.255  255.255.255.255            在链路上          10.1.1.5   4506
           127.0.0.0        255.0.0.0            在链路上         127.0.0.1   4556
           127.0.0.1  255.255.255.255            在链路上         127.0.0.1   4556
     127.255.255.255  255.255.255.255            在链路上         127.0.0.1   4556
         172.31.1.11  255.255.255.255            在链路上       172.31.1.11    281

3. 访问内部主机。

   C:\Users\admin>ping 192.168.2.10
   
   正在 Ping 192.168.2.10 具有 32 字节的数据:
   来自 192.168.2.10 的回复: 字节=32 时间=1ms TTL=63
   来自 192.168.2.10 的回复: 字节=32 时间<1ms TTL=63
   来自 192.168.2.10 的回复: 字节=32 时间<1ms TTL=63
   来自 192.168.2.10 的回复: 字节=32 时间=1ms TTL=63
   
   192.168.2.10 的 Ping 统计信息:
       数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
   往返行程的估计时间(以毫秒为单位):
       最短 = 0ms，最长 = 1ms，平均 = 0ms

4. 访问 Internet

   C:\Users\admin>ping 114.114.114.114
   
   正在 Ping 114.114.114.114 具有 32 字节的数据:
   来自 114.114.114.114 的回复: 字节=32 时间=23ms TTL=82
   来自 114.114.114.114 的回复: 字节=32 时间=21ms TTL=71
   来自 114.114.114.114 的回复: 字节=32 时间=21ms TTL=89
   来自 114.114.114.114 的回复: 字节=32 时间=20ms TTL=75
   
   114.114.114.114 的 Ping 统计信息:
       数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
   往返行程的估计时间(以毫秒为单位):
       最短 = 20ms，最长 = 23ms，平均 = 21ms

5. 如果需要通过 PPTP 访问域名，则需要手动设置 PPTP 的 DNS。先中断 PPTP 连接，手动设置 DNS，然后再次拨号。

   

6. 访问www.baidu.com正常。