PPPoverSSHToolを使ってみる

ssh

networking

実は一箇所だけsshは通るけれど、PPTPは通らない場所で作業することがあるので、kimitakeさんにコメントで教えてもらったPPPoverSSHToolでVPNする方法をちょっと試してみました。

MOGURA Project WWW site

現在、VPN ソリューションは多数ありますが、セキュリティ、活用できる状況、導入コストを考慮した場合、当プロジェクトでは、VPN のプロトコルとして PPP over SSH が最適であると判断しました。 PPP over SSH は、UNIX 間の VPN ではよく用いられていますが、従来 Windows 用のサーバ・クライアントはありませんでした。
当プロジェクトでは、Windows 2000/XP でクライアントとして使える PPP over SSH のドライバ及びアプリケーションを作成し、無償で公開しています。

昨日のPoPToP(PPTPd)よりはちょっと設定が複雑になっています。

† サーバ側の設定

以下が設定手順とファイルの変更点のメモです。

# visudo
# vi /etc/ppp/pppoverssh
# chmod 755 /etc/ppp/pppoverssh
# vi /etc/ppp/chap-secrets
# vi /etc/shells

/etc/sudoers（下記の行を追加）

vpn ALL = NOPASSWD: /usr/sbin/pppd

/etc/ppp/pppoverssh

#!/bin/sh
/usr/bin/sudo /usr/sbin/pppd local proxyarp nocrtscts 192.168.30.254: nodetach nodefaultroute auth nodefaultroute name pppd

※もぐらプロジェクトの例と違ってクライアントのIPを指定していませんが、これは複数のPPPセッションを張ることを想定しているためです。下記のパスワード認証ファイルにpppの認証ユーザーとIPアドレスの組を設定すると、指定したIPが割り振られます。

/etc/ppp/chap-secrets（最後の2行を追加）

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
user1           pppd    ""      192.168.30.1
user2           pppd    ""      192.168.30.2

/etc/shells（下記の行を追加）

/etc/ppp/pppoverssh

† VPNユーザーの作成

まずVPNアクセス用のユーザーを作り、~/.ssh/authorized_keysを作って外部からsshで入れるようにします。
その後、ユーザーのシェルを先ほど作ったpppoversshスクリプトに設定します

# useradd vpn
# su - vpn
$ touch .hushlogin
$ mkdir .ssh
$ vi .ssh/authorized_keys # このファイルにクライアントで使う公開鍵を入れておく
$ chmod 600 .ssh/authorized_keys
$ exit
# chsh -s /etc/ppp/pppoverssh vpn

† Windowsにクライアントをインストール

サーバ側の設定は以上なので、後はWindowsにクライアントをインストールするだけです。puttyやTeraTermSSH2で普段からSSHに慣れていればそんなに難しくないです。うまくいかないときにはトラブルシューティングを確認するといいかもしれません。

† 参考

・MOGURA Project WWW site
・おれさまメモ: PPP over SSH で複数アカウント