Server Dialin PPP

Halaman ini mencakup proses pengaturan sistem Linux dengan modem terpasang sebagai server dial-in menggunakan protokol titik ke titik (PPP), sehingga komputer lain dapat menghubunginya dan mengakses jaringan yang terhubung.

Isi

Pengantar PPP di Linux

Setiap sistem Linux dengan modem terpasang dapat dikonfigurasi sehingga komputer lain dapat dial up dan memulai sesi PPP, memberi mereka akses TCP/IP ke sistem dan jaringan yang terhubung. Hal ini memungkinkannya untuk bertindak seperti ISP mini, dan pada kenyataannya beberapa ISP kecil telah dijalankan menggunakan sistem Linux dengan beberapa kartu port serial sebagai server akses.

Dua program terpisah bertanggung jawab untuk bagian yang berbeda dari layanan dial-in. Yang pertama adalah mgetty , yang berkomunikasi pada port serial dengan modem yang terpasang dan memerintahkannya untuk menjawab telepon. Setelah modem server dan klien terhubung, mgetty menampilkan prompt login teks dan menunggu nama pengguna atau awal sesi PPP. Seorang klien dapat login dalam mode teks dan mendapatkan prompt shell Unix tanpa perlu memulai sesi PPP sama sekali, tetapi hal ini jarang dilakukan akhir-akhir ini. Setelah klien terputus atau keluar, mgetty menutup modem dan menunggu koneksi baru.

Untuk memasang mgetty Anda dapat menggunakan modul Paket Perangkat Lunak.

Karena sebagian besar klien memulai sesi PPP segera setelah mereka terhubung, mgetty biasanya dikonfigurasi untuk menjalankan pppd separate yang terpisah program jika mendeteksi koneksi PPP. Ini menciptakan antarmuka jaringan ppp di server, mengotentikasi klien, memberikan alamat IP dan mulai mengirim dan menerima data menggunakan protokol PPP. Alamat IP yang ditetapkan dan opsi konfigurasi lainnya menggunakan set pada basis per-serial-port, sehingga Anda dapat memiliki beberapa modem dan mendukung beberapa klien simultan dengan alamat yang berbeda.

Modul Server Dialin PPP memungkinkan Anda untuk mengatur mgetty dan pppd sehingga klien dapat menghubungi dan memulai sesi PPP. Saat Anda memasukkannya dari kategori Jaringan, halaman utama hanya menampilkan empat ikon, di bawahnya merupakan opsi yang sebenarnya dapat dikonfigurasi.

Saat ini, modul PPP Dialin Server hanya dapat digunakan pada sistem Linux dan Solaris, meskipun mgetty tersedia pada beberapa versi Unix lainnya. Jika tidak ada program yang dikonfigurasinya yang diinstal, halaman utama akan menampilkan pesan kesalahan - namun, semua distribusi Linux menyertakan paket untuk pppd dan mgetty di CD atau situs web mereka. Jika hanya mgetty yang diinstal, Anda dapat menggunakan Konfigurasi Port Serial dan Akses ID Penelepon fitur. Sebaliknya, jika hanya pppd yang diinstal, Anda hanya dapat mengakses Opsi PPP dan Akun PPP halaman.

Saat Anda menggunakan modul untuk mengatur mgetty untuk menjawab panggilan pada port serial, sebuah entri ditambahkan ke /etc/inittab file sehingga init akan menjalankan proses mgetty pada saat boot, dan menjalankannya kembali seperlunya. Anda akan dapat melihat entri ini di modul Konfigurasi Init SysV tetapi tidak boleh mengeditnya di sana kecuali Anda tahu apa yang Anda lakukan.

Meskipun bab ini ditulis dengan mempertimbangkan Linux, modul ini berperilaku hampir sama pada Solaris. Satu-satunya perbedaan adalah nama file perangkat port serial - sedangkan /dev/ttyS0 adalah port serial pertama di Linux, Solaris akan menggunakan /dev/term/a sebagai gantinya.

Mengonfigurasi server PPP

Layar utama Server Dialin PPP

Sebelum Anda dapat mengatur sistem untuk memungkinkan klien terhubung dengan PPP, itu harus memiliki modem yang terpasang ke port serial, atau terhubung melalui kabel null-modem ke komputer lain. Modem internal yang meniru port serial juga dapat digunakan, meskipun tidak disarankan karena tidak memiliki LED yang mudah terlihat untuk menunjukkan apakah modem terhubung, melakukan transmisi, dan sebagainya. Modem USB seharusnya berfungsi, selama dikenali oleh kernel - namun, mereka mungkin akan menggunakan file perangkat khusus. Modem yang memerlukan driver khusus untuk beroperasi (umumnya dikenal sebagai Winmodem) tidak dapat digunakan sama sekali, kecuali ada driver untuk modem yang tersedia di Linux.

Secara alami, modem apa pun harus terhubung ke saluran telepon. Karena sistem Anda akan dikonfigurasi untuk menjawab telepon setelah beberapa dering, saluran telepon tidak boleh digunakan untuk hal lain - jika tidak, panggilan suara akan dijawab oleh modem, yang tidak terlalu ramah.

Konfigurasi Port Serial

Setelah semua perangkat keras siap, langkah-langkah untuk mengatur sistem Anda sebagai server PPP adalah:

1. Pada halaman utama modul, klik pada Konfigurasi Port Serial ikon. Ini akan membawa Anda ke halaman yang mencantumkan semua port yang ada yang telah dikonfigurasi untuk PPP atau pesan suara.
2. Klik pada Tambahkan port serial baru tautan, yang akan memunculkan formulir konfigurasi port yang ditunjukkan pada tangkapan layar pertama di bawah ini.
3. Setel Perangkat serial ke port di mana modem atau kabel null-modem Anda terhubung. Port serial 1 sesuai dengan file perangkat /dev/ttyS0, dan seterusnya. Untuk modem pada perangkat serial yang tidak dimulai dengan /dev/ttyS (seperti modem USB), pilih Perangkat lain opsi dan masukkan jalur file perangkat lengkap ke dalam bidang teks di sebelah menu.
4. Setel Jenis pilihan ke Sambungan langsung (untuk sistem yang terhubung melalui kabel null-modem), atau Modem (untuk modem dial-in yang sebenarnya).
5. Pelabuhan bidang kecepatan harus disetel ke laju baud yang akan digunakan modem atau koneksi null-modem. Ini harus menjadi salah satu kecepatan standar, seperti 57600 atau 33600.
6. Dalam Jawaban setelah kolom, masukkan jumlah dering yang ingin Anda tunggu sebelum menjawab telepon. Jika saluran telepon yang digunakan modem Anda juga akan digunakan untuk menerima panggilan suara, Anda dapat menyetelnya ke sesuatu yang besar seperti 20 agar Anda memiliki banyak waktu untuk menjawab telepon sebelum modem melakukannya. Secara alami, opsi ini tidak memiliki arti untuk koneksi null-modem.
7. Klik tombol Buat tombol. Entri baru akan ditambahkan ke file /etc/inittab, dan Anda akan dikembalikan ke daftar port serial.
8. Klik Terapkan Konfigurasi untuk mengaktifkan mgetty pada port baru. Panggilan telepon ke saluran modem Anda sekarang harus dijawab setelah jumlah dering yang dikonfigurasi. Jika Anda hanya peduli dengan klien teks saja, maka tidak ada lagi yang perlu dilakukan - mereka akan dapat melakukan dial up, mengotentikasi pada prompt login dan menjalankan perintah shell.

Opsi KPS

1. Untuk menyiapkan PPP, klik Opsi PPP ikon kembali di halaman utama. Ini akan membawa Anda ke formulir yang ditunjukkan pada gambar kedua di bawah, di mana Anda dapat mengatur opsi yang akan berlaku untuk semua koneksi PPP.
2. Kecuali Anda ingin klien masuk dalam mode teks dan memulai perintah pppd secara manual, yang terbaik adalah menyetel opsi *Deteksi otomatis koneksi PPP pada port serial?* ke Ya . Dengan mengaktifkan ini, mgetty akan mendeteksi bahwa klien ingin memulai sesi PPP ketika server menunggu prompt login, dan menjalankan pppd secara otomatis.
3. Di Alamat IP PPP kolom, masukkan alamat IP yang Anda inginkan untuk digunakan oleh akhir koneksi server (*IP Lokal*) dan alamat untuk akhir koneksi klien (IP Jarak Jauh ). Biasanya alamat ini tidak akan berada di LAN lokal Anda, tetapi pada subnet yang berbeda. Sistem lain di jaringan harus dikonfigurasi untuk merutekan lalu lintas untuk alamat klien ke sistem Anda, sehingga mereka dapat berkomunikasi. Jika tidak ada alamat yang ditentukan, maka server PPP akan menggunakan alamat apa pun yang disediakan oleh klien. Ini mungkin masuk akal saat menghubungkan dua mesin melalui null-modem, tetapi tidak akan bekerja dengan sebagian besar klien dialup. Dimungkinkan untuk menetapkan alamat IP klien yang berada dalam jangkauan LAN lokal, dengan mengaktifkan Buat entri ARP proxy? pilihan. Jika ini diaktifkan, masukkan alamat IP LAN yang tidak digunakan ke dalam IP Jarak Jauh dan IP Ethernet sistem Anda saat ini ke dalam IP Lokal bidang.
4. Setel Mode garis kontrol bidang ke Lokal untuk koneksi null-modem, atau Modem jika ada modem nyata yang terhubung ke port serial.
5. Kecuali Anda menyiapkan koneksi null-modem, klien harus dipaksa untuk mengautentikasi untuk mencegah calon penyerang terhubung. Untuk mengaktifkan autentikasi, setel bidang *Memerlukan autentikasi?* ke Ya . Untuk mematikannya sepenuhnya untuk penggunaan null-modem, setel bidang ke Tidak . Untuk menetapkan nama pengguna dan sandi bagi klien yang akan diautentikasi, lihat bagian *Mengelola akun PPP* di bawah.
6. Untuk memutuskan sambungan klien yang telah menganggur untuk waktu yang lama, masukkan beberapa detik ke dalam Waktu menganggur sebelum memutuskan sambungan bidang.
7. Masukkan alamat IP server DNS apa pun di jaringan Anda ke dalam server DNS untuk klien bidang. Sistem operasi klien seperti Windows akan menggunakannya secara otomatis, yang menyederhanakan konfigurasinya.
8. Terakhir, klik tombol Simpan tombol. Klien sekarang dapat melakukan panggilan masuk, membuat sesi PPP, dan mengakses sistem dan jaringan Anda!

Akses ID Penelepon

Jika sistem Anda akan memiliki beberapa klien PPP simultan yang terhubung, maka Anda perlu mengatur opsi yang berbeda untuk setiap port serial. Secara khusus, setiap klien harus memiliki alamat IP jarak jauh yang berbeda, meskipun alamat lokal dapat digunakan kembali.

Untuk mengatur opsi PPP yang berbeda untuk setiap port serial, langkah-langkah yang harus diikuti adalah:

1. Pada halaman utama modul, klik Opsi KPS ikon. Ubah Alamat IP PPP bidang kembali ke Dari klien , dan atur opsi lain yang ingin Anda atur berdasarkan per-port kembali ke defaultnya juga.
2. Kembali ke halaman utama, klik Konfigurasi Port Serial lalu di Edit tautan di bawah Port PPP Config untuk port serial yang ingin Anda atur opsinya. Ini akan membawa Anda ke halaman opsi per-port, yang sangat mirip dengan formulir opsi PPP global yang ditunjukkan pada Gambar 18-2.
3. Masukkan alamat IP jarak jauh dan lokal yang Anda inginkan agar klien PPP terhubung pada port ini, dan ubah opsi lain yang belum disetel di halaman opsi PPP global.
4. Setelah selesai, klik tombol Simpan tombol. Klien yang terhubung pada port yang dikonfigurasi akan menggunakan opsi baru mulai sekarang.

Cara termudah untuk menghentikan sistem Anda dari bertindak sebagai server PPP adalah dengan menghapus entri konfigurasi port serial untuk modem Anda. Jika Anda memiliki beberapa modem yang terpasang, langkah-langkah di bawah ini dapat digunakan untuk menonaktifkan satu tanpa mempengaruhi yang lain:

1. Pada halaman utama, klik Konfigurasi Port Serial dan kemudian pada nama perangkat port dengan modem yang terpasang.
2. Pada halaman opsi port, klik tombol Hapus tombol di pojok kanan bawah. Entri yang sesuai akan dihapus dari file /etc/inittab, dan Anda akan dikembalikan ke daftar port yang diaktifkan.
3. Klik tombol Terapkan Konfigurasi tombol untuk membuat perubahan aktif. Mulai sekarang, sistem Anda tidak akan lagi menjawab panggilan telepon masuk atau berkomunikasi dengan komputer lain yang tersambung dengan kabel null-modem.

Mengelola akun PPP

Jika Anda mengaktifkan akses dial-in ke sistem Anda, Anda harus memaksa semua klien untuk mengotentikasi diri mereka sendiri dengan mengaktifkan 'Memerlukan otentikasi?' pilihan pada Opsi PPP halaman. Bahkan jika Anda berpikir bahwa server Anda tidak perlu mengautentikasi klien karena hanya Anda yang tahu nomor telepon dari saluran yang digunakan modem Anda, tetap merupakan ide yang baik untuk mengaktifkannya jika seseorang menemukan nomor tersebut secara tidak sengaja - atau dalam kasus 'war dialer' mencoba ratusan nomor telepon untuk mencari server tidak aman menemukannya. Setelah otentikasi diaktifkan, Anda dapat menambahkan akun baru yang diizinkan untuk masuk dengan mengikuti langkah-langkah berikut:

1. Pada halaman utama modul, klik Akun PPP ikon. Ini akan membawa Anda ke halaman yang mencantumkan semua akun yang ada, termasuk yang telah dibuat untuk melakukan panggilan ke server lain.
2. Ikuti Buat akun PPP baru tautan, yang akan membawa Anda ke formulir pembuatan akun yang ditunjukkan di bawah ini.
3. Masukkan nama login ke Nama Pengguna bidang, dan pastikan Apa saja opsi tidak dipilih.
4. Pastikan Server bidang disetel ke Apa saja . Jika Anda mengaturnya ke sesuatu yang lain, maka nama pengguna hanya akan diterima ketika nama host klien cocok dengan apa pun yang Anda masukkan.
5. Pilih Setel ke opsi di bidang *Sandi , *dan masukkan kata sandi untuk akun tersebut ke dalam kolom teks di sebelahnya. Server PPP juga dapat membaca sandi dari file terpisah, dengan memilih Dari file opsi dan memasukkan nama file ke dalam bidang teksnya. Atau Anda dapat menghapus kebutuhan akan kata sandi yang akan diberikan sama sekali, dengan memilih Tidak Ada - namun, ini bukan ide yang bagus dari sudut pandang keamanan.
6. Dengan asumsi bahwa semua klien diberi alamat IP, setel Alamat Valid bidang untuk Izinkan apa saja . Namun, jika tidak ada alamat yang ditentukan di halaman Opsi PPP, Anda mungkin ingin memilih Izinkan terdaftar dan masukkan alamat yang dapat diterima ke dalam kotak teks di bawahnya.
7. Terakhir, klik tombol Simpan dan akun PPP baru akan dibuat. Ini dapat digunakan segera dengan menghubungkan klien.

Membuat akun PPP baru

Untuk mengedit akun PPP yang ada, cukup klik nama pengguna dari daftar akun. Ini akan membawa Anda ke formulir pengeditan akun, yang hampir identik dengan formulir pembuatan yang ditunjukkan pada gambar di atas. Ubah nama pengguna, sandi, atau opsi lainnya, dan klik Simpan tombol untuk menyimpan perubahan Anda dan membuatnya segera aktif. Atau klik tombol Hapus tombol pada formulir pengeditan untuk menghapus akun.

Secara default, Webmin akan menambahkan pengguna baru ke file /etc/ppp/pap-secrets. Ini hanya dibaca oleh server PPP saat melakukan otentikasi PAP, yang digunakan secara default. Jika Anda telah mengonfigurasi sistem secara manual untuk mengautentikasi klien menggunakan protokol CHAP yang lebih aman, Anda harus mengonfigurasi Webmin untuk mengedit file chap-secrets. Ini dapat dilakukan dengan mengklik Konfigurasi Modul link di pojok kiri atas halaman utama, dan mengubah file rahasia PAP bidang ke /etc/ppp/chap-secrets.

Membatasi akses berdasarkan ID penelepon

Jika saluran telepon Anda mengaktifkan ID penelepon dan modem Anda mendukungnya, mgetty dapat dikonfigurasi untuk memblokir penelepon tertentu berdasarkan nomor telepon mereka. Secara default, setiap penelepon akan diizinkan untuk terhubung - tetapi Anda dapat mengubahnya sehingga hanya beberapa nomor yang diizinkan dengan mengikuti langkah-langkah berikut:

1. Pada halaman utama modul, klik Akses ID Penelepon ikon. Ini akan membawa Anda ke formulir yang mencantumkan nomor terbatas, yang mungkin akan kosong jika Anda belum menambahkannya.
2. Klik pada Tambahkan nomor ID penelepon baru link, yang akan membawa Anda ke formulir untuk memasukkan nomor baru.
3. Setel Nomor telepon opsi untuk Angka yang dimulai dengan , dan masukkan sebagian atau seluruh nomor telepon yang ingin Anda izinkan ke bidang di sebelahnya. Jika Anda memasukkan sesuatu seperti 555 , penelepon yang nomor teleponnya dimulai dengan 555 (seperti 555-1234 ) akan diizinkan.
4. Setel Tindakan bidang untuk Izinkan .
5. Klik tombol Buat tombol, yang akan menyimpan nomor dan mengembalikan Anda ke daftar yang diizinkan dan ditolak.
6. Untuk menambahkan nomor lain yang diizinkan, ulangi langkah 2 hingga 5.
7. Terakhir, klik Tambahkan nomor ID penelepon baru lagi dan pada formulir pembuatan set Nomor telepon ke Semua nomor dan Tindakan untuk Menolak .
8. Klik tombol Buat tombol agar entri penolakan terakhir ini ditambahkan ke daftar. Mulai sekarang, hanya nomor telepon yang Anda izinkan secara eksplisit yang dapat terhubung.

Karena sistem memeriksa setiap entri dalam daftar secara berurutan dan berhenti ketika menemukan satu yang cocok, entri apa pun yang menolak (atau mengizinkan) semua penelepon harus muncul di bagian bawah daftar - jika tidak, entri setelahnya tidak akan pernah diproses. Jika Anda ingin mengizinkan nomor telepon baru di masa mendatang, setelah menambahkannya, panah di Pindahkan kolom harus digunakan untuk memindahkannya di atas entri terakhir yang menyangkal semua orang.

Karena beberapa klien mungkin tidak memberikan informasi nomor penelepon, Nomor tidak dikenal opsi untuk bidang P*nomor telepon* dapat digunakan untuk mencocokkan panggilan mereka. Mengizinkan semua penelepon yang tidak dikenal bukanlah cara yang baik untuk memblokir penyerang yang dikenal, karena mereka mungkin hanya menonaktifkan pengiriman informasi ID penelepon di saluran telepon mereka.

Pembatasan ID Penelepon tidak boleh menjadi satu-satunya bentuk keamanan di server dial-in Anda, karena nomor penelepon disediakan oleh perusahaan telepon dan dengan demikian tidak sepenuhnya di bawah kendali Anda. Otentikasi PPP harus diaktifkan juga, sehingga semua klien dipaksa untuk login.

Kontrol akses modul

Seperti yang lain, modul ini memiliki beberapa opsi yang dapat Anda atur di modul Pengguna Webmin untuk mengontrol fitur mana yang dapat digunakan pengguna. Mereka paling berguna untuk menonaktifkan bagian modul yang tidak digunakan pada sistem tertentu - misalnya, Anda mungkin hanya ingin halaman Akun PPP dapat dilihat oleh pengguna tertentu.

Untuk mengedit opsi kontrol akses dalam modul ini untuk pengguna atau grup, langkah-langkah yang harus diikuti adalah:

1. Dalam modul Pengguna Webmin, klik Server Dialin PPP di sebelah nama pengguna yang telah diberikan akses ke modul.
2. Untuk Halaman yang tersedia bidang, batalkan pilihan ikon-ikon di halaman utama modul yang Anda tidak ingin pengguna dapat mengaksesnya. Jika Opsi PPP tidak dipilih, dia juga tidak akan dapat mengedit opsi yang berlaku untuk satu port serial.
3. Jika pengguna hanya diberikan akses ke satu halaman, setel Langsung ke satu halaman? bidang ke Ya akan menyebabkan browser melompat langsung ke halaman tersebut ketika modul dimasukkan. Ini berguna untuk melewati halaman utama modul ketika hanya akan berisi satu ikon.
4. Klik tombol Simpan untuk mengaktifkan setelan kontrol akses.