秋天的博客 » 网络安全

FreeRadius异常在线用户的清除

fallday — Tue, 29 Nov 2011 16:31:01 +0000

FreeRaidus在一些情况，用户的连接已经断开，但系统中用户还处于在线状态。如果用户再次从同一IP再次登录或者服务限制一个用户不能同时多处登录时就会连接认证失败。其次FreeRaidus真是一个不错的系统，可以自己写一段SQL来处理这个情况。SQL放在/etc/freeradius/sites-enable/default的authorize section即可。

if(User-Name) {
if(“%{sql:UPDATE radacct set AcctStopTime=ADDDATE(AcctStartTime,INTERVAL AcctSessionTime SECOND),AcctTerminateCause=’Clear-Stale Session’ WHERE UserName=’%{User-Name}’ and CallingStationId=’%{Calling-Station-Id}’ and AcctStopTime is null}”){
}
}

如果不允许一个用户同时多处登录，去掉Calling-Station-Id的条件即可。

注意这里sql是有意放在一个空的if语句中，因为在freeradius的配置文件中，一般语句中的sql会要求有返回值。放在if条件中可以避免因为检查返回值失败。

———————–

补记：

再想想这样做也还有些问题，因为只是在数据库中清除了状态，如果前一个连接物理上还存在的话，并不能物理上断开相应的连接。完美解决方案需要NAS能检查连接状态，如果NAS不提供相应功能的话，不能有完好解决方案。

折中的方案是通过Acct-Interim-Interval设置NAS更新数据周期，在检查无效连接时只处理一段时间(比如三个更新周期)没有更新数据的连接。一点问题是如果一个连接异常断开后，在一段时间内无法再次登陆。

if(User-Name) {
if(“%{sql:UPDATE radacct set AcctStopTime=ADDDATE(AcctStartTime,INTERVAL AcctSessionTime SECOND),AcctTerminateCause=’Clear-Stale Session’ WHERE UserName=’%{User-Name}’ and AcctStopTime is null and (TIME_TO_SEC(TIMEDIFF(NOW(),AcctStartTime))-1000)>AcctSessionTime}”){
}
}

//示例是1000秒没有新数据即清除状态

PHP FastCGI做Apache虚拟主机用户隔离

fallday — Sun, 27 Nov 2011 09:00:41 +0000

共享主机的情况，设置每个虚拟主机的进程在单独的用户下会相对安全。在PHP的情况下，可以通过PHP FastCGI及SuExec来实现。

1. CentOS可以从EPEL中安装mod_fcgid

yum install httpd php-cli mod_fcgid

2. vi /etc/php.ini

cgi.fix_pathinfo = 1

3. 创建vhosts

First we create the users and groups:

groupadd web1
groupadd web2
useradd -s /bin/false -d /var/www/web1 -m -g web1 web1
useradd -s /bin/false -d /var/www/web2 -m -g web2 web2
chmod 755 /var/www/web1
chmod 755 /var/www/web2

Then we create the document roots and make them owned by the users/groups web1 resp. web2:

mkdir -p /var/www/web1/web
chown web1:web1 /var/www/web1/web
mkdir -p /var/www/web2/web
chown web2:web2 /var/www/web2/web

We will run PHP using suExec; suExec’s document root is /var/www, as the following command shows:

/usr/sbin/suexec -V

[root@server1 ~]# /usr/sbin/suexec -V
-D AP_DOC_ROOT=”/var/www”
-D AP_GID_MIN=100
-D AP_HTTPD_USER=”apache”
-D AP_LOG_EXEC=”/var/log/httpd/suexec.log”
-D AP_SAFE_PATH=”/usr/local/bin:/usr/bin:/bin”
-D AP_UID_MIN=500
-D AP_USERDIR_SUFFIX=”public_html”
[root@server1 ~]#

Therefore we cannot call the PHP binary (/usr/bin/php-cgi) directly because it is located outside suExec’s document root. As suExec does not allow symlinks, the only way to solve the problem is to create a wrapper script for each web site in a subdirectory of /var/www; the wrapper script will then call the PHP binary /usr/bin/php-cgi. The wrapper script must be owned by the user and group of each web site, therefore we need one wrapper script for each web site. I’m going to create the wrapper scripts in subdirectories of /var/www/php-fcgi-scripts, e.g. /var/www/php-fcgi-scripts/web1 and /var/www/php-fcgi-scripts/web2.

mkdir -p /var/www/php-fcgi-scripts/web1
mkdir -p /var/www/php-fcgi-scripts/web2

vi /var/www/php-fcgi-scripts/web1/php-fcgi-starter

#!/bin/sh
PHPRC=/etc/
export PHPRC
export PHP_FCGI_MAX_REQUESTS=5000
export PHP_FCGI_CHILDREN=8
exec /usr/bin/php-cgi

vi /var/www/php-fcgi-scripts/web2/php-fcgi-starter

#!/bin/sh
PHPRC=/etc/
export PHPRC
export PHP_FCGI_MAX_REQUESTS=5000
export PHP_FCGI_CHILDREN=8
exec /usr/bin/php-cgi

The PHPRC line contains the directory where the php.ini file is located (i.e., /etc/ translates to /etc/php.ini). PHP_FCGI_MAX_REQUESTS is the maximum number of requests before an fcgid process is stopped and a new one is launched. PHP_FCGI_CHILDREN defines the number of PHP children that will be launched.

The php-fcgi-starter scripts must be executable, and they (and the directories they are in) must be owned by the web site’s user and group:

chmod 755 /var/www/php-fcgi-scripts/web1/php-fcgi-starter
chmod 755 /var/www/php-fcgi-scripts/web2/php-fcgi-starter
chown -R web1:web1 /var/www/php-fcgi-scripts/web1
chown -R web2:web2 /var/www/php-fcgi-scripts/web2

Now we create the Apache vhosts for www.example1.com and www.example2.com. Add the following two vhosts at the end of /etc/httpd/conf/httpd.conf:

vi /etc/httpd/conf/httpd.conf

[...]
NameVirtualHost *:80


  ServerName www.example1.com
  ServerAlias example1.com
  ServerAdmin webmaster@example1.com
  DocumentRoot /var/www/web1/web/

  
    SuexecUserGroup web1 web1
    PHP_Fix_Pathinfo_Enable 1
    
      Options +ExecCGI
      AllowOverride All
      AddHandler fcgid-script .php
      FCGIWrapper /var/www/php-fcgi-scripts/web1/php-fcgi-starter .php
      Order allow,deny
      Allow from all
    
  

  # ErrorLog /var/log/apache2/error.log
  # CustomLog /var/log/apache2/access.log combined
  ServerSignature Off




  ServerName www.example2.com
  ServerAlias example2.com
  ServerAdmin webmaster@example2.com
  DocumentRoot /var/www/web2/web/

  
    SuexecUserGroup web2 web2
    PHP_Fix_Pathinfo_Enable 1
    
      Options +ExecCGI
      AllowOverride All
      AddHandler fcgid-script .php
      FCGIWrapper /var/www/php-fcgi-scripts/web2/php-fcgi-starter .php
      Order allow,deny
      Allow from all
    
  

  # ErrorLog /var/log/apache2/error.log
  # CustomLog /var/log/apache2/access.log combined
  ServerSignature Off

Make sure you fill in the right paths (and the correct user and group in the SuexecUserGroup lines).

Reload Apache afterwards:

/etc/init.d/httpd reload

原文链接：http://www.mounix.com/blog/2011/08/how-to-set-up-apache2-with-mod_fcgid-and-php5-on-centos-5-6/

基于FreeRADIUS 的VPN(PPTP/L2TP)认证及流量控制

fallday — Fri, 25 Nov 2011 14:53:36 +0000

在VPS设置的VPN可以与朋友分享，但流量还是要控制的。不然流量超了可要自己去埋单。

参考网上的说明，安装还是很顺利的，PPTP和L2TP都可以支持，FreeRADIUS还是很强大的。

管理界面用的FreeRADIUS自己带的Dailup Admin. 安装可以参考官方网站 ( http://www.freeradius.org/ )。

下面是几篇参考文章：

1. PPTP/L2TP + FreeRADIUS + MySQL 安装与配置 ( https://wangyan.org/blog/freeradius-pptp-l2tp-html.html )

2. 通过FreeRADIUS实现VPN流量控制功能 ( https://wangyan.org/blog/freeradius-traffic-limit.html )

3. 在PPTP VPN服务器上配置FreeRADIUS+daloRADIUS实现用户跟踪管理 ( http://dayanjia.com/2011/03/configure-freeradius-and-daloradius-on-pptp-vpn-server.html )

也摘录在此

PPTP/L2TP + FreeRADIUS + MySQL 安装与配置

FreeRADIUS 是实现 RADIUS 协议的开源软件，而 RADIUS 主要用来实现认证(Authentication)、授权(Authorization)以及计费(Accounting)功能。

首先请确认你已经搭建好pptpd，并可以正常使用。安装方法见《Debian/Ubuntu PPTP VPN 安装笔记》

一、FreeRADIUS 服务端安装

1.1、下载、编译、安装

wget -c ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.11.tar.gz
tar zxf freeradius-server-2.1.11.tar.gz
cd freeradius-server-2.1.11
./configure
make && make install

1.2、基本文件的本地测试（选做）

测试是否安装成功，如果不需要与mysql集成，那么就已安装完成。

1 2	vim /usr/local/etc/raddb/users 查找 steve Cleartext-Password := "testing" （76-84行）, 取消该段内容的注释。

# 大写X，意思是以debug模式运行。
/usr/local/sbin/radiusd -X 

#新开一个窗口执行，看到 "Access-Accept packet" 表示成功了，"Access-Reject" 表示失败了。
/usr/local/bin/radtest steve testing localhost 0 testing123

二、FreeRadius MySQL 模块配置

2.1、启用MySQL模块支持

1 2	# 查找"sql.conf”(683行)，去掉#号 vim /usr/local/etc/raddb/radiusd.conf

2.2、创建 radius 数据库及表

1 2	# 123456是你mysql的root密码 mysqladmin -uroot -p123456 create radius;

#修改radius帐号的密码
cd /usr/local/etc/raddb/sql/mysql
sed -i 's/radpass/123456/g' admin.sql
sed -i 's/radpass/123456/g' /usr/local/etc/raddb/sql.conf

mysql -uroot -p123456 < admin.sql
mysql -uroot -p123456 radius < ippool.sql
mysql -uroot -p123456 radius < schema.sql
mysql -uroot -p123456 radius < wimax.sql
mysql -uroot -p123456 radius < cui.sql
mysql -uroot -p123456 radius < nas.sql

2.3、打开从数据库查询nas支持

默认从 “/usr/local/etc/raddb/clients.conf” 文件读取，开启后可从数据库nas表读取。

1	sed -i 's/\#readclients/readclients/g' /usr/local/etc/raddb/sql.conf

2.4、打开在线人数查询支持

1 2	# 查找simul_count_query将279-282行注释去掉 vim /usr/local/etc/raddb/sql/mysql/dialup.conf

2.5、修改sites-enabled目录配置文件

1	vim /usr/local/etc/raddb/sites-enabled/default

找到authorize {}模块，注释掉files（159行），去掉sql前的#号（166行）
找到accounting {}模块，注释掉radutmp(385行),注释掉去掉sql前面的#号(395行)。
找到session {}模块，注释掉radutmp（439行），去掉sql前面的#号（443行）。
找到post-auth {}模块，去掉sql前的#号（464行），去掉sql前的#号（552行）。

1	vim /usr/local/etc/raddb/sites-enabled/inner-tunnel

找到authorize {}模块，注释掉files（124行），去掉sql前的#号（131行）。
找到session {}模块，注释掉radutmp（251行），去掉sql前面的#号（255行）。
找到post-auth {}模块，去掉sql前的#号（277行）,去掉sql前的#号（301行）。

三、FreeRADIUS 客户端安装与配置

3.1、编译与安装

wget -c ftp://ftp.freeradius.org/pub/freeradius/freeradius-client-1.1.6.tar.gz
tar -zxf freeradius-client-1.1.6.tar.gz
cd freeradius-client-1.1.6
./configure
make && make install

3.2、设置通信密码

1
2
3

cat >>/usr/local/etc/radiusclient/servers<

其中localhost可以写成服务器IP地址，testing123是认证服务器的连接密码。
注：如果使用的是IP地址，记得同时修改下面设置。

1	sed -i 's/localhost/192.168.8.129/g' /usr/local/etc/radiusclient/radiusclient.conf

3.3、增加字典

这一步很重要！否则windows客户端无法连接服务器。

1 2	wget -c http://small-script.googlecode.com/files/dictionary.microsoft mv ./dictionary.microsoft /usr/local/etc/radiusclient/

cat >>/usr/local/etc/radiusclient/dictionary<

3.4、PPTP启用freeradius插件

这一步网上一些教程没提，但很重要，否则会报错！

1
2
3

sed -i 's/logwtmp/\#logwtmp/g' /etc/pptpd.conf
sed -i 's/radius_deadtime/\#radius_deadtime/g' /usr/local/etc/radiusclient/radiusclient.conf
sed -i 's/bindaddr/\#bindaddr/g' /usr/local/etc/radiusclient/radiusclient.conf

注：64位系统插件路径是 “/usr/lib64/pppd/2.4.5/radius.so”

cat >>/etc/ppp/pptpd-options<

3.5、L2TP启用freeradius插件

L2TP 的道理也一样，你首先安装配置好L2TP/IPSec，并保证能正常使用。
《Debian/Ubuntu L2TP/IPSec VPN 安装笔记》

注：64位系统插件路径是 “/usr/lib64/pppd/2.4.5/radius.so”

cat >>/etc/ppp/options.xl2tpd<

四、用户权限管理

# 连接 MySQL 数据库
mysql -uroot -p123456;

# 使用 radius 数据库
USE radius;

# 添加用户demo，密码demo，注意是在radchec表
INSERT INTO radcheck (username,attribute,op,VALUE) VALUES ('demo','Cleartext-Password',':=','demo');

# 将用户demo加入VIP1用户组
INSERT INTO radusergroup (username,groupname) VALUES ('demo','VIP1');

# 限制同时登陆人数，注意是在radgroupcheck表
INSERT INTO radgroupcheck (groupname,attribute,op,VALUE) VALUES ('normal','Simultaneous-Use',':=','1');

# 其他
INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('VIP1','Auth-Type',':=','Local');
INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('VIP1','Service-Type',':=','Framed-User');
INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('VIP1','Framed-Protocol',':=','PPP');
INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('VIP1','Framed-MTU',':=','1500');
INSERT INTO radgroupreply (groupname,attribute,op,VALUE) VALUES ('VIP1','Framed-Compression',':=','Van-Jacobson-TCP-IP');

五、启动

1 2	cp /usr/local/sbin/rc.radiusd /etc/init.d/radiusd /etc/init.d/radiusd start

参考资料：

1. http://wiki.freeradius.org/SQL%20HOWTO
2. https://tomem.info/blog/2011/04/562
3. https://tomem.info/blog/2011/04/577
4. http://www.xtgly.com/2011/01/05/…
5. http://ichinihachi.blogspot.com/2011/02/ubuntufreeradius.html

最后更新：2011.08.23

原文地址 : https://wangyan.org/blog/freeradius-pptp-l2tp-html.html

通过FreeRADIUS实现VPN流量控制功能

搭建一个VPN非常容易，但如何实现PPTP/L2TP VPN流量限制？首先必须先安装配置好FreeRADIUS，方法见《PPTP/L2TP + FreeRADIUS + MySQL 安装与配置》，然后再进行下面操作。

一、启用 Rlm sqlcounter 模块

查找”counter.conf”(695行)，去掉#号

1	vim /usr/local/etc/raddb/radiusd.conf

二、添加 Traffic Counter流量计数器

网上一些教程有拼写错误，折腾了大半天才在官方文档上找到原因。

1	vim /usr/local/etc/raddb/sql/mysql/counter.conf

在文件末尾添加下面代码

sqlcounter monthlytrafficcounter {
    counter-name = Monthly-Traffic
    check-name = Max-Monthly-Traffic
    reply-name = Monthly-Traffic-Limit
    sqlmod-inst = sql
    key = User-Name
    reset = monthly
    query = "SELECT SUM(acctinputoctets + acctoutputoctets) FROM radacct WHERE UserName='%{%k}' AND UNIX_TIMESTAMP(AcctStartTime) > '%b'"
}

上面代码意思是按月进行统计，从数据库的radacct表中，根据用户名(%k)将所有入站和出站流量累加。

时间也是可以自定义的（months、weeks、days、hours），也可以指定具体值，如三天重置一次 “reset = 3 d”

三、启用Traffic Counter流量计数器

1	vim /usr/local/etc/raddb/sites-enabled/default

在authorize区块的末尾（205行）添加

1	monthlytrafficcounter

四、添加字典文件

1	vim /usr/local/etc/raddb/dictionary

在文件末尾添加下面两行

1 2	ATTRIBUTE Max-Monthly-Traffic 3003 integer ATTRIBUTE Monthly-Traffic-Limit 3004 integer

五、数据库插入流量限制值

注意事项：

1）这里插入到radgroupcheck表，是限制某个用户组的流量。也可以插入到radcheck表，以限制某个用户的流量。
2）流量值以 byte 为单位，1G = 1073741824 bytes
3）VIP1是用户组，123456是数据库root密码

# 连接到MySQL数据库

1	mysql -uroot -p123456;

# 每月最大流量（1G）

1	INSERT INTO radgroupcheck (groupname,attribute,op,VALUE) VALUES ('VIP1','Max-Monthly-Traffic',':=','1073741824');

# 流量统计时间的间隔（60秒）

1	INSERT INTO radgroupcheck (groupname,attribute,op,VALUE) VALUES ('VIP1','Acct-Interim-Interval',':=','60');

参考资料：

1. http://wiki.freeradius.org/Rlm_sqlcounter
2. http://freeradius.org/rfc/attributes.html
3. https://blog.easisee.com/2010/09/freeradius-traffic-limit/

原文地址 : https://wangyan.org/blog/freeradius-traffic-limit.html

在PPTP VPN服务器上配置FreeRADIUS+daloRADIUS实现用户跟踪管理

现在很多拥有国外VPS的朋友都纷纷安装了VPN服务来方便自己上网，有时候我们还会共享出一些帐号给自己的同学、朋友使用。使用VPN来上网、玩网游等能够有效地解决某些线路上的问题，但是用的人一多难免会出现资源分配不均的情况，这时合理的管理手段就显得很有必要了。不过拿常见的 PPTP VPN来说，最简单的配置就是使用PPP的chap-secrets文件来静态地保存用户名和密码，这样我们没有办法知道各个用户连接VPN的时间，上传下载的数据量等信息，所谓用户跟踪管理完全就是一笔糊涂账。我们将目光转向一种更加高级的用户验证手段——RADIUS服务，用它就能实现完善的用户跟踪管理功能。

本文以CentOS 5.5操作系统上的PoPToP VPN服务为例讲述配置FreeRADIUS服务，使用MySQL数据库管理用户验证信息，安装Web管理界面daloRADIUS的方法，其他VPN例如L2TP、OpenVPN等类似。本文内容参考了诸多资料，恕不一一列出。

前置条件

首先要保证使用chap-secrets验证的PPTP服务能够正常使用。关于配置简单PPTP VPN的方法不在本文的范围之内，请参考这篇文章或其他相关教程。
其次，你需要在服务器上安装好HTTP+PHP+MySQL环境，本例中使用Apache作为HTTP服务器。此外PHP需要安装PEAR。

科普时间

PPP：Point-to-Point Protocol，点对点协议，是工作在数据链路层的连接协议。常见的ADSL连接时使用的PPPoE便是指的以太网上的点对点协议（Point-to-Point Protocol over Ethernet）。而我们创建连接VPN时也会通过PPP来进行，*nix操作系统上的pppd能够完成这一任务，其进行用户验证的默认方法便是chap-secrets文件。配置完FreeRADIUS后，我们需要把用户验证这一环节交给RADIUS服务器来完成。

RADIUS：Remote Authentication Dial In User Service，远程用户拨号验证服务，基于RFC2865和RFC2866。具体的工作原理挺复杂的，仔细阅读这两个RFC标准应该可以搞明白。简单的说，它是一个兼顾验证（authentication）、授权（authorization）及记账（accounting）三种服务的协议，即AAA协议。RADIUS运行在应用层，使用UDP进行传输，它被广泛用于ISP和企业用来控制Internet或内部网络、无线网络的访问。

FreeRADIUS：是一个实现RADIUS协议的软件，基于GPLv2开源。它是目前部署最广泛的开源RADIUS软件。

daloRADIUS：是一个FreeRADIUS的Web挂历程序，使用PHP编写。

安装配置流程

配置FreeRADIUS

1. 登入终端后，首先安装FreeRAIUS，一般源里两个版本，其中FreeRADIUS 1.x已经不被支持了，我们安装的是freeradius2。

yum install freeradius2 freeradius2-mysql freeradius2-utils

2. 安装完后，我们编辑/etc/raddb/users，在文件开头加上：testing Cleartext-Password := "password"。

Tips：你需要了解如何使用SSH终端，和终端里文本编辑的方法，例如Vim的使用。

3. 启动radiusd，第一次启动会生成密钥，稍等片刻即可。使用-X参数可以让调试信息直接输出屏幕：

radiusd -X

4. 新打开一个SSH终端，测试服务器是否连通：

radtest testing password 127.0.0.1 0 testing123

如果看到Access-Accept就说明连接成功了。如果看到类似“Ignoring request to authentication address * port 1812 from unknownclient”的文字，可能需要去修改/etc/raddb/clients.conf，将client localhost段下的ipaddr改为服务器的IP，而不是127.0.0.1。
测试连接成功后，我们可以把users里临时加上去的第一行删除。

5. 下载ppp源码，因为要用到其中的配置文件：

wget ftp://ftp.samba.org/pub/ppp/ppp-2.4.5.tar.gz

tar zxvf ppp-2.4.5.tar.gz

cp -R /root/ppp-2.4.5/pppd/plugins/radius/etc/ /usr/local/etc/radiusclient

6. 编辑/usr/local/etc/radiusclient/servers，加上一组服务器和密钥，本例中为“MyVPN”：

1	`localhost MyVPN`

7. 编辑/usr/local/etc/radiusclient/dictionary，将最后一行改为：
INCLUDE /usr/local/etc/radiusclient/dictionary.microsoft
可以再添加一行：
INCLUDE /usr/local/etc/radiusclient/dictionary.merit

8. 编辑/etc/raddb/clients.conf，把client localhost段下的secret改成刚才指定的密钥。

9. 编辑/etc/raddb/radiusd.conf，找到$INCLUDE sql.conf，去掉前面的#；找到$INCLUDE sql/mysql/counter.conf，去掉前面的#。

10. 添加MySQL用户及数据库，你可以使用现成的phpMyAdmin等工具，也可以在终端下操作。本例中，创建了radius的用户和同名的数据库：

CREATE USER 'radius'@'localhost' IDENTIFIED BY '***';

CREATE DATABASE IF NOT EXISTS `radius` ;

GRANT ALL PRIVILEGES ON `radius` . * TO 'radius'@'localhost';

11. 编辑/etc/raddb/sql.conf，配置login（用户名），password（密码），radius_db（数据库名）等字段，并找到readclients一行，设为yes并去掉注释符号#。

12. 编辑/etc/raddb/sites-enabled/default，根据下面的说明注释或取消注释相应的行：

authorize段，关掉files，打开sql，也可以把unix关掉
preacct段，关掉files
accounting段，打开sql，也可以把unix关掉
session段，打开sql
post-auth段，打开sql
pre-proxy段，关掉files

到这一步，我们的FreeRADIUS就算配置好了，用户信息都将保存在MySQL数据库中。至于数据库中的表，我们在后面统一导入。

配置daloRADIUS

13. 首先下载并安装daloRADIUS，其中需要安装一个Pear-DB的包：

wget http://sourceforge.net/projects/daloradius/files/daloradius/daloradius-0.9-8/daloradius-0.9-8.tar.gz

pear install DB

mkdir /usr/share/daloRadius

tar zxvf daloradius-0.9-8.tar.gz

mv daloradius-0.9-8/* /usr/share/daloRadius/

rm -r daloradius-0.9-8

14. 这时我们将daloRADIUS中附带的sql文件导入MySQL数据库，别忘了输入密码：

mysql -uroot -p radius < /usr/share/daloRadius/contrib/db/fr2-mysql-daloradius-and-freeradius.sql

15. 编辑/usr/share/daloRadius/library/daloradius.conf.php，这是daloRADIUS的配置文件。首先是MySQL登录信息：

$configValues['CONFIG_DB_HOST'] = 'localhost';

$configValues['CONFIG_DB_USER'] = 'radius';

$configValues['CONFIG_DB_PASS'] = '***'; // 设为自己的密码

$configValues['CONFIG_DB_NAME'] = 'radius';

下面有一个daloRADIUS的bug，默认配置中有一个表名和我们导入的不一样，把它改过来：

$configValues['CONFIG_DB_TBL_RADUSERGROUP'] = 'radusergroup';

然后修改daloRADIUS的路径：

$configValues['CONFIG_PATH_DALO_VARIABLE_DATA'] = '/usr/share/daloRadius/var';

16. 添加Apache虚拟主机，如果有Web控制面板什么的自然就方便多了，不然就编辑/etc/httpd/conf/httpd.conf，加入：

Alias /vpn "/usr/share/daloRadius/"

17. 重启重启Apache和MySQL：

1 2	`service httpd restart` `service mysqld restart`

18. 打开浏览器，进入daloRADIUS的管理页面（本例中为http://your.domain/vpn），使用默认用户名administrator和密码radius登录。

daloRADIUS似乎写的不怎么样，最新稳定版已经是三年之前的了，不过作者直到现在还在更新SVN，下次有机会可以用最新的SVN版本试试看。在Management中添加一个新用户，注意密码类型选择Cleartext-Password。

19. 在终端里再次启动radius -X，同时在另一个终端中用radtest username password localhost 0 MyVPN测试一下，看看现在是不是还能正常接通，如果没问题就OK，让我们把这套系统接驳到PPP上。

配置pppd

20. 编辑/etc/ppp/options.pptpd，里面已经有许多配置选项了，我们要保证有下面的几行，如果没有就添加上去，为了保障用户登录的安全我们限制只使用MS-CHAPv2：

refuse-pap

refuse-chap

refuse-mschap

require-mppe-128

require-mschap-v2

在配置文件最后加上3行：

plugin radius.so

plugin radattr.so

radius-config-file /usr/local/etc/radiusclient/radiusclient.conf

启动服务

21. 一切完成后我们不需要使用debug模式启动radiusd了：

service radiusd start

22. 当然，我们可以把radiusd和pptpd设为开机启动服务：

1 2	`chkconfig radiusd on` `chkconfig pptpd on`

至此，PPTP+FreeRADIUS+MySQL+daloRADIUS全部配置完毕，我们在本机上使用添加的用户名和密码拨入VPN，可以正常使用。在daloRADIUS中，还可以看到各个用户每次连接的时长，上传和下载的数据量统计等。daloRADIUS其他的使用方法，本文不再叙述。

L2TP/IPSec : iPhone/iPad断开VPN连接后不能再连接成功

fallday — Fri, 25 Nov 2011 12:45:29 +0000

在iPhone/iPad上遇到一个奇怪现象，L2TP/IPSec的VPN，Windows 7连接好好的。但在iPhone/iPad上却有一个奇怪现象。第一次连接很下正常，但如果断开VPN连接，再次连接时却怎么可连接不成功，后台log中有如下信息：

Nov 25 00:17:58 srv xl2tpd[3447]: control_finish: Peer requested tunnel 18 twice, ignoring second one.
Nov 25 00:17:58 srv xl2tpd[3447]: Maximum retries exceeded for tunnel 6477.  Closing.

解决方法如下：

在/etc/ipsec.conf里的L2TP-PSK-noNAT中加上

dpddelay=40
dpdtimeout=130
dpdaction=clear

参数说明：

dpddelay

Set the delay (in seconds) between Dead Peer Dectection (RFC 3706) keepalives (R_U_THERE, R_U_THERE_ACK) that are sent for this connection (default 30 seconds). If dpddelay is set, dpdtimeout also needs to be set.

dpdtimeout

Set the length of time (in seconds) we will idle without hearing either an R_U_THERE poll from our peer, or an R_U_THERE_ACK reply. After this period has elapsed with no response and no traffic, we will declare the peer dead, and remove the SA (default 120 seconds). If dpdtimeout is set, dpdaction also needs to be set.

dpdaction

When a DPD enabled peer is declared dead, what action should be taken. hold (default) means the eroute will be put into %hold status, while clear means the eroute and SA with both be cleared. restart means the the SA will immediately be renegotiated, and restart_by_peer means that ALLSA’s to the dead peer will renegotiated.dpdaction=clear is really only useful on the server of a Road Warrior config.

呵呵，更多说明。还是做个明白人好。

Support for Dead Peer Detection:
A Traffic-Based Method of Detecting Dead IKE Peers

The DPD feacture provides support for RFC3706 Dead Peer Detection.

DPD works using a keepalive system, where when a tunnel is idle
(established, but no traffic has traversed it for N period (dpddelay=N1)
one or both sides send a “hello” messages (R_U_THERE) and the other
replies with a acknowledge message (R_U_THERE_ACK). If no response
received, this continues until the DPD timeout value (dpdtimeout=N2)
has elapsed. If there still hasn’t been any traffic or R_U_THERE_ACK
packets received, the peer is declared to be dead, and the SA deleted,
and related eroute removed from the table.

DPD support is tuneable on a per connection basis, using the dpdaction,
dpddelay and dpdaction directives. See also the ipsec.conf man page for
more information.

An example follows:

conn laptop2myhome
left=%defaultroute
leftnexthop=%defaultroute
right=192.168.0.1
dpddelay=30
dpdtimeout=120
dpdaction=clear

In the above example, our keepalive time is 30 seconds, our timeout is 120
seconds, and our action is clear. So during idle periods, we send
R_U_THERE packets every 30 seconds. If the tunnel is idle and we haven’t
received an R_U_THERE_ACK from our peer in 120 seconds, we declare the
peer dead, and clear the SA + eroute (the entire tunnel is removed).

Note that both sides must have either dpddelay or dpdtimeout set for DPD
to be proposed or accepted. If one directive is set but not the other,
the defaults are used (dpddelay=30, dpdtimeout=120).

The dpdaction parameter controls what we do when a peer is determined to
be dead. If set to “hold” (the default) it will place the eroute into
%hold status, and wait for the peer to return. If set to “clear” it will
remove the connection entirely, including both the SA and eroute.

We recommend that “hold” be used for statically defined tunnels, and
“clear” be used for roadwarrior tunnels.

OpenWRT PPTP NAT Traversal

fallday — Tue, 22 Nov 2011 14:02:41 +0000

PPTP VPN自己在几个VPS上装过很多次，但这次在Linode东京节点的VPS安装PPTP却遇到一个奇怪现象。自己的Windows 7可顺利连接上，但iPhone/iPad连接却总是失败。但iPhone/iPad连接BuyVM上VPS的PPTP VPN却是可以的。百思不得其解下，想到是不家里的无线路由器设置引起的。路由器是Baffola WZR-HP-G300NH，自己刷的OpenWRT。Google上搜索了OpenWRT PPTP，得到一些线索。最后安装kmod-ipt-nathelper-extra包重起路由器后，奇迹出现了，iPhone/iPad可以连上了。

下面是OpenWRT Wiki的说明:

PPTP NAT Traversal

(This information still needs to be verified!)

This is how to get a stable solution for establishing PPTP tunnels from one or multiple LAN clients to one or multiple WAN servers passing through OpenWRT’s network address translation (NAT). Thus this is often referred to as “PPTP pass through”.

Background

PPTP utilizes the Generic Routing Encapsulation (GRE) protocol for its point-to-point tunnel. As a pure IP protocol GRE uses only IP addresses but no port numbers giving the router’s NAT a tough time to track such a connection. In its base configuration OpenWRT Backfire is able to NAT a single PPTP connections but not multiple such connections concurrently. It is also unreliable when trying to establish consecutive single PPTP connections from different LAN clients in rapid succession. This limitation can be lifted (as far as I could make out so far) by installing the following package.

Required Packages

Packages Name	Size in Bytes	Description
kmod-ipt-nathelper-extra	55770	Extra Netfilter (IPv4) Conntrack and NAT helpers

Installation

opkg

opkg install kmod-ipt-nathelper-extra

You should now be able to use multiple PPTP connections from LAN to WAN at the same time.

OpenWRT无线路由器设置PPTP服务器

fallday — Fri, 18 Nov 2011 06:29:47 +0000

有时需要从外面访问家里的网络，可以在无线路由器上开一个VPN服务器。

1.安裝pptpd:
opkg update
opkg install pptpd
opkg install kmod-mppe
/etc/init.d/pptpd enable
/etc/init.d/pptpd start

2. 配置pptpd
———————————–
vi /etc/pptpd.conf

option /etc/ppp/options.pptpd
localip 192.168.1.1
remoteip 192.168.1.2-99
speed 1152000
stimeout 10
#localip & remoteip are not needed, ip management is done by pppd

——————————————–
vi /etc/ppp/options.pptpd

auth
name “pptp-server”
lcp-echo-failure 3
lcp-echo-interval 60
default-asyncmap
mtu 1482
mru 1482
nobsdcomp
nodeflate
#noproxyarp
#nomppc
chapms-strip-domain
# Otherwise, your chap-secret file will have to include “DOMAIN\\user” instead of user.
mppe required,no40,no56,stateless
require-mschap-v2
refuse-chap
refuse-mschap
refuse-eap
refuse-pap
ms-dns 192.168.1.1
#plugin radius.so
#radius-config-file /etc/radius.conf
———————————————————–
最後修改你pptp用戶名及密碼,格式: username * password *

vi /etc/ppp/chap-secrets

user * 123 *
————————————————————-

加入以下firewall rule:

vi /etc/firewall.user

iptables -A input_wan -p tcp –dport 1723 -j ACCEPT
iptables -A input_wan -p gre -j ACCEPT
iptables -A input_rule -i ppp+ -j ACCEPT
iptables -A forwarding_rule -i ppp+ -j ACCEPT
iptables -A forwarding_rule -o ppp+ -j ACCEPT
iptables -A output_rule -o ppp+ -j ACCEPT

免费SSL证书 – startssl

fallday — Sun, 06 Nov 2011 05:20:39 +0000

不小心取消了Godaddy的SSL证书，客服竟然不同意恢复，只能再购买。原来是主机免费送的，要买的话就太不合算了。早就听说有免费的SSL证书，也就趁机试试了。

不知道startssl是不是唯一一家其根证书被主流浏览器认可且提供免费的SSL证书的。申请(https://www.startssl.com/)过程并不麻烦，需要确认电邮地址还域名归属，确认都是通过电子邮件瞬间完成。

在Apache上安装却并不顺利，总是找不到证书。问题是出在文件格式，证书是在Windows下生成的，需要转成unix文件格式。这个可又通过dos2unix完成。另外，在Windows创建文件时，要使用纯文本格式。自己存成了UTF8格式，apache也不行。最后删除的文件开始的UTF8文件标识就好了。

Debian如何保存iptables配置

fallday — Tue, 28 Jun 2011 14:47:14 +0000

Once you are happy, save the new rules to the master iptables file:

 iptables-save > /etc/iptables.up.rules

To make sure the iptables rules are started on a reboot we’ll create a new file:

 nano /etc/network/if-pre-up.d/iptables

Add these lines to it:

 #!/bin/bash
 /sbin/iptables-restore < /etc/iptables.up.rules

The file needs to be executable so change the permissions:

 chmod +x /etc/network/if-pre-up.d/iptables

From: http://wiki.debian.org/iptables

VPS中设置主IP

fallday — Sat, 19 Feb 2011 11:33:48 +0000

如果VPS设置了多个IP，该VPS访问外部服务时显示出的IP为主IP。有时可能需要改娈主IP。其实就是改娈VPS的路由表，把默认路由设置为通过该IP。

route -p add 0.0.0.0 mask 0.0.0.0 dev eth0:x

CentOS安装L2TP/IPSec

fallday — Fri, 28 Jan 2011 16:33:53 +0000

入手了iPhone 4后，发现中国联通的3G封了PPTP的VPN访问。但L2TP还是可以用的。于是自己在VPS的CentOS(5.5)上安装个L2TP/IPSec服务。

在网上找了些文章，安装过程中遇到些问题，最终还是配置好。主是要注意的不能用CentOS 5自身带的OpenSwan(Federa 14中的OpenSwan是可以的），需要从更新版本的源码自己编译安装，XL2TP可是从EPEL中安装，当然也可通过源码安装。

下面内容引自 http://www.wifay.com/blog/2010/08/21/centos-install-ipsec-l2tp-vpn/

一、部署IPSEC 、安装 openswan

1、关联包

yum install make gcc gmp-devel bison flex

2、编译安装

cd /usr/src
wget http://www.openswan.org/download/openswan-2.6.24.tar.gz
tar zxvf openswan-2.6.24.tar.gz
cd openswan-2.6.24
make programs install

3、配置

vi /etc/ipsec.conf

config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any

4、设置 Shared Key

vi /etc/ipsec.secrets

YOUR.SERVER.IP.ADDRESS %any: PSK “YourSharedSecret”

5、修改包转发设置

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done

6、重启 IPSec ，测试

/etc/init.d/ipsec restart
ipsec verify

.

二、安装 L2TP

1、关联包

yum install libpcap-devel ppp

2、编译安装

cd /usr/src
wget http://downloads.sourceforge.net/project/rp-l2tp/rp-l2tp/0.4/rp-l2tp-0.4.tar.gz
tar zxvf rp-l2tp-0.4.tar.gz
cd rp-l2tp-0.4
./configure
make
cp handlers/l2tp-control /usr/local/sbin/
mkdir /var/run/xl2tpd/
ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control

cd /usr/src
wget http://www.xelerance.com/software/xl2tpd/xl2tpd-1.2.4.tar.gz
tar zxvf xl2tpd-1.2.4.tar.gz
cd xl2tpd-1.2.4
make install

3、配置

mkdir /etc/xl2tpd
vi /etc/xl2tpd/xl2tpd.conf

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.254
local ip = 10.1.2.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

4、修改 ppp 配置

vi /etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

5、添加用户名/密码

vi /etc/ppp/chap-secrets

# user server password ip
username l2tpd userpass *

6、启用包转发

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

7、修改/etc/sysctl.conf

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296

8、启动 xl2tpd

/usr/local/sbin/xl2tpd

.

三、扫尾

设置开机自动运行

vi /etc/rc.local
iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart
/usr/local/sbin/xl2tpd