PPTPD+MYSQL+FREERADIUS+限速方案

admin

一、        软件需求：
pptpd-1.3.4、ppp-2.4.4、Apache、MySQL、freeradius(freeradius.org)
9 p: |! w; |$ A$ p二、        安装PPTP
6 k8 V! a$ l! _$ m8 O, _" b1、操作系统使用RHEL5或者CENTOS5，内核版本为: 2.6.18-164.el5, 内核已支持MPPE,不用再安装。
使用RPM方式安装pptpd和pppd
rpm -ivh pptpd-1.3.4-.rhel5.1.i386.rpm
rpm -ivh ppp-2.4.4-2.el5.1.i386.rpm
2、修改/etc/pptpd.conf主配置文件：
! m. H5 d9 i) a- y) y2 ]8 Zdebug                                                          开启debug，方便检查错误。
ppp  /usr/sbin/pppd                                pppd程序位置
: k% s8 I+ B! U/ noption /etc/ppp/options.pptpd        pptpd的参数配置文件
5 P4 ^; Z7 j7 c3 w' C4 X  Hlocalip 172.16.10.1                                        服务器的IP地址
remoteip 172.16.10.2-150           分配给客户端的IP地址池
& u1 i! T# x" C6 n: X  x        3、修改/etc/ppp/options.pptpd
lock
debug
dump
logfd 2
logfile /var/log/pptpd.log
name pptpd
! Y. L5 t5 k2 I& {* m/ l! Tmtu 1450
mru 1450
proxyarp
auth
plugin /usr/local/lib/pppd/2.4.4/radius.so     radius模块，若不需要radius可以注释掉
$ D/ C! W: V9 ?' Rplugin /usr/local/lib/pppd/2.4.4/radattr.so     radius属性模块
  a* A& V# B2 X1 e1 O( Unobsdcomp
7 x. h4 H- ~# ]5 \" f9 u2 p9 ~ipcp-accept-local
0 u9 ^* G0 b( Yipcp-accept-remote
lcp-echo-failure 3
* I& O* _  N1 F. G; olcp-echo-interval 5
, L6 v% }/ @: G- Jrefuse-pap
. Y# g& j6 }1 ^* C/ m! k4 Arefuse-chap
refuse-mschap
refuse-eap
3 g$ f: L- {/ E1 X" ?require-mschap-v2
multilink
require-mppe
/ e& ?) `* U; S% b5 n  Rms-dns 202.98.96.68                     客户端的DNS地址
ms-dns 61.139.2.69
9 U" q/ z1 }( B7 J! L  {2 }- V( L4 w4、启动PPTP
: l; A' f, q5 `2 {4 a& r使用service pptpd start启动服务
6 d* C5 I8 u, ]' e8 I使用chkconfig pptpd on 使重启生效
        5、添加测试用户/etc/ppp/chap-secrets
# r9 k/ e' z% x2 J# Y& q8 `( G   
3 q7 |, z9 |# K/ {, W( ^# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test pptpd test *
( H) N# w* [& Y7 J) ], B        6、客户端设置
5 l7 N0 ]) v! I- w0 N        在windows XP上创建vpn连接，并测试（略）：
三、        RADIUS与MYSQL安装：
1、        安装与配置MySQL
使用yum方式安装MYSQL、php、Apache
# X2 j% V+ @% q. F' {6 r2 w# x: d        启动MySQL：service mysqld start
- ]% Z0 c# U5 z5 E. k更改MySQL的root用户的密码
# U; H: |+ U' H: G# X0 Z9 L# mysqladmin -u root -p password youpass
  p% V8 {) ^/ y- w#mysql -uroot -p youpass
>create database radius;  创建一个名为radius的数据库
# ^! o' M/ o* ?/ Y3 b>exit
#chkconfig mysqld on 随系统启动
$ r1 U, k+ [6 k% |; D0 W2、        radius安装
! d3 c# z# b5 a- j  W从http://freeradius.org/ 获取 freeradius-server-2.1.7.tar.bz2
) I+ V$ J  Z% m7 j3 y0 t#tar -xvf freeradius-server-2.1.7.tar.bz2
#cd freeradius-server-2.1.7
: m" c, o: Z9 U; R$ Q( ]! X; z#./configure
7 m7 ^: T- _8 j6 n; @# ^: ^0 D5 ?#make
#make install
#radiusd -X 使用debug模式运行radius
如果看到 "Ready to process requests."表示安装成功。
3、修改freeradius支持MySQL。
5 |% T# ?2 w) L#cd /usr/local/etc/raddb/sites-available
编辑default文件，把里面所有sql前面的#去掉。
* u/ g4 x& a0 J) F5 G# cd /usr/local/radius/etc/raddb/
3 V. P% T! d9 L  m# W编辑radiusd.conf，去掉$INCLUDE sql.conf前面的#
: N  k$ _3 n' L# K# E0 p3 W1 X% G编辑sql.conf,
        # Connection info:
        server = "localhost"
        #port = 3306
        login = "root"
        password = "youpass"
; G9 }1 `  s, y4 ?向mysql导入radius所需的数据库文件
  ?- H9 M. a" {0 O  S#cd /usr/local/etc/raddb/sql/mysql
& C7 _9 W4 U. x) k1 [/ F# mysql -uroot -p radius < schema.sql
" l& A# r6 K7 m再用debug模式运行freeradius.
; @! M$ f/ b% Y/ U9 B2 S  ]# /usr/local/sbin/radiusd -X
8 A7 j6 q& Q. u: J. Y* L% z有可能会出现
& e8 K+ z1 X! S* `' v# a) N. j- S/usr/local/etc/raddb/sites-enabled/default[159]: Failed to find module "sql".
% M3 |) ?, e) n2 Oradius没有找到驱动去连接mysql。
编译rlm_sql_mysql.so驱动
* @5 V/ E8 _  }+ Q* o7 a#cd freeradius-server-2.1.7/src/modules/rlm_sql/drivers/rlm_sql_mysql
#./configure;make;make install
+ w5 h; S& l" w& w" Z这个时候驱动会安装到/usr/local/lib目录下面,要把驱动复制到/usr/lib目录下
#cp /usr/local/lib/rlm_sql_mysql* /usr/lib
! [; g  ?7 m6 d6 q4 e接下来在数据库中添加测试用的用户
#mysql -uroot -p radius
> INSERT INTO `radusergroup` (`username`,`groupname`,`priority`) VALUES ('','test',1);
> INSERT INTO `radusergroup` (`username`,`groupname`,`priority`) VALUES ('test','test',1);
> INSERT INTO `radcheck` (`id`,`username`,`attribute`,`op`,`value`) VALUES (1,'test','User-Password',':=','test');
测试刚刚添加的用户能不能通过验证：
% P" o2 P, y" n' s同时开两个窗口，运行#radiusd -X
另一个窗口运行：#radtest freebsd freebsd localhost 0 testing123
如果看到:"rad_recv:Access-Accept packet from host 127.0.0.1 ……",就已经成功了。
- v' S9 P2 E$ j) U3 u9 F0 K4、        使用web界面管理radius用户
   #cp -R ~/freeradius-server-2.1.7/dialup_admin /usr/local/
   #ln -s /usr/local/dialup_admin /var/www/html/dialup_admin
5 C; L% P& D& d+ h- f2 w2 w   #cd /var/www/html/dialup_admin/conf
5 |4 b5 `0 R5 d% j: n7 G        编辑admin.conf，修改如下内容
   
6 L" y% _: y" O3 q+ V# @: w2 ~general_encryption_method: clear
sql_type: mysql
sql_server: localhost
sql_port: 3306
sql_username: root
sql_password: youpass
+ q' s! M: W  U, Y) @8 dsql_database: radius
sql_usergroup_table: radusergroup
) M0 p6 Y0 g3 j8 I/ [# sql_debug: true
. x. D7 z# M1 [配置Apache
修改:/etc/httpd/conf.d/php.conf
AddHandler php5-script .php .php3
修改：/etc/httpd/conf/httpd.conf
<Directory "/var/www/html/dialup_admin/htdocs">
启动apache:
! g* a5 N+ S. D3 F#service httpd start
#chkconfig httpd on
打开浏览器就可以管理radius的用户了。
四、        使用radius验证pptpd用户
使用radius验证用户，需要安装radius模块，
+ J: e, c% M4 X7 C9 l6 X$ U下载ppp-2.4.4.tar.gz源代码
# tar -xvf ppp-2.4.4.tar.gz
3 W. m1 ^+ m) u9 t# {6 P5 m# cd ppp-2.4.4
% a* l7 p- e9 M+ N1 g# ./configure     //注意不要在这个地方编译安装。
#cd pppd/plugins/radius  
#make
#make install
# cp -R  etc   /usr/local/etc/radiusclient
( v' `" W% A: ]% u5 }下面选项在使用radius验证时开启.需要注释掉local
#vim /etc/ppp/options.pptpd
plugin /usr/local/lib/pppd/2.4.4/radius.so   //必须先加载radius验证模块，再加载radattr.so
plugin /usr/local/lib/pppd/2.4.4/radattr.so
#cd /usr/local/radiusclient
#vim radiusclient.conf  编辑如下两行
: W, C3 p: G! o+ `; `6 X: p" a, aauthserver      127.0.0.1:1812         //radius验证
- U( i  v* B5 J  M% Wacctserver      127.0.0.1:1813         //radius计费
* N. B- y; r" W# i+ p- @# vim servers
- D1 E' Q3 z, i+ S: g+ F& Y#Server Name or Client/Server pair              Key
0 o; E3 b- o" F0 }1 x7 [#----------------                               ---------------
- `. r& c9 u! U8 O' x#portmaster.elemental.net                       hardlyasecret
#portmaster2.elemental.net                      donttellanyone
* Q" _" l! B2 A- h( y6 O127.0.0.1                        testing123
) b; ]. V. Y  y8 a4 b重启pptpd: service  pptpd restart
' s" w2 F) B8 ]- M五、带宽限制
( e3 q, V/ K; E3 p" c" U使用radius传回限速信息对客户端限速
基本原理，radius根据数据库里面的限速字段的属性，下发给PPTP服务器，服务器再根据接收到的限速字段属性来限制用户带宽。
由于Linux的PPTP 限速字段不在radius默认的列表中，需要手动添加该字段。
  y) v3 t! Q, pPPTP服务器：
% d( A4 z+ P7 A! X9 ^#cd /usr/local/etc/radiusclient
0 K9 d5 L2 U1 @1 A2 h: A7 V#vim dictionary 添加如下两行
ATTRIBUTE       PPPD-Upstream-Speed-Limit       230     integer
" x+ a% F% o9 r% gATTRIBUTE       PPPD-Downstream-Speed-Limit     231     integer
0 A. f4 j) t- c同样也需要在radius的dictionary中添加这两行。具体位置/usr/local/etc/raddb/
还需要在数据库中加入：
INSERT INTO `radgroupreply` VALUES (8,'test','PPPD-Upstream-Speed-Limit','=','512');
+ B+ B0 M$ n* UINSERT INTO `radgroupreply` VALUES (9,'test','PPPD-Downstream-Speed-Limit','=','512');
512是限制的带宽，单位是kbps
最后需要在/etc/ppp/目录下添加一个本地脚本，用TC来限制带宽：
- s: I. A/ i4 r脚本内容如下：
#cat ip-up.local   //注意。该脚本必须要有可执行权限。
#!/bin/bash
  |7 a/ X1 F6 _9 b: g5 ZPATH=/sbin:/usr/sbin:/bin:/usr/bin
export PATH
# Get the attrbute from radius reply
if [ -f /var/run/radattr. $1 ]
then
   DOWNSPEED=`/bin/awk  '/PPPD-Downstream-Speed-Limit/ {print $2}'  /var/run/radattr. $1`
   UPSPEED=`/bin/awk  '/PPPD-Upstream-Speed-Limit/ {print $2}'  /var/run/radattr. $1`
fi
. B& p0 j, V! [: I$ }7 {  c# End
# Start Bandwidth Limit
# R$ o( H& B1 Q3 T   /sbin/tc qdisc del dev $1 root    > /dev/null
4 t! M  u: e& p, k  x$ K4 ~   /sbin/tc qdisc del dev $1 ingress > /dev/null
8 F9 o" ~" f1 d##### speed server->client
  J' T* N6 h2 h% E+ {; p0 B9 x  if [ "$DOWNSPEED" != "0" ] ;
  then
, F/ O6 `! S; U* W. y( s    /sbin/tc qdisc add dev $1 root handle 1: htb default 20 r2q 1
& ^2 K9 s1 \" X4 |. ~    /sbin/tc class add dev $1 parent 1: classid 1:1 htb rate ${DOWNSPEED}kbit burst 4k
    /sbin/tc class add dev $1 parent 1:1 classid 1:10 htb rate ${DOWNSPEED}kbit burst 4k prio 1
    /sbin/tc class add dev $1 parent 1:1 classid 1:20 htb rate ${DOWNSPEED}kbit burst 4k prio 2
    /sbin/tc qdisc add dev $1 parent 1:10 handle 10: sfq perturb 10 quantum 1500
    /sbin/tc qdisc add dev $1 parent 1:20 handle 20: sfq perturb 10 quantum 1500
$ S; ]; l( J' R6 A) h$ B    /sbin/tc filter add dev $1 parent 1:0 protocol ip prio 10 u32 match ip tos 0x10 0xff flowid 1:10
    /sbin/tc filter add dev $1 parent 1:0 protocol ip prio 10 u32 match ip protocol 1 0xff flowid 1:10
# i8 T5 L1 B' {5 c2 h1 Y    /sbin/tc filter add dev $1 parent 1: protocol ip prio 10 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u160x0000 0xffc0 at 2 match u8 0x10
( P* o1 ~3 ~3 Z& l- b0xff at 33 flowid 1:10
  fi
##### speed client->server
$ ?1 y* L( C6 h5 u$ j2 t7 b  if [ "$UPSPEED" != "0" ] ;
2 Y5 n! }0 @6 d9 C( D% R( p  then
    /sbin/tc qdisc add dev $1 handle ffff: ingress
# \4 y! R; d5 m" C/ M    /sbin/tc filter add dev $1 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${UPSPEED}kbit burst 12k drop flowid :1
  fi
: [5 {) U0 [% |# End
0 E9 d" |: N6 d* P' g1 t六、        系统优化
# Z" B  v/ |+ v- y8 \最后再做一些简单的系统优化,以满足较大的网络流量
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
4 M1 `4 X8 C, dkernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
- Y+ ?) r8 O, p. _% g  ikernel.msgmnb = 65536
/ k7 R" i  ~( f: gkernel.msgmax = 65536
2 Y) d# C' S7 Ckernel.shmmax = 4294967295
2 e; Y. m/ q! v$ h. lkernel.shmall = 268435456
net.core.rmem_max = 12582912
- I( N2 `: b- j0 c/ @, ~% knet.core.rmem_max = 12582912
. ]* W. P& x: s$ y% F. }2 }1 gnet.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv4.tcp_no_metrics_save = 1
net.core.netdev_max_backlog = 5000
2 A$ O) z6 a' a6 c8 S如果想要对拨入用户做NAT，可以使用IPTABLES做
, g# ?' Y- ~7 X# c+ V" j, V#iptables -t nat -A POSTROUTING  -j MASQUERADE


: T6 ]& L9 U, Z! i  c4 i: b7 b6 P

1 ?, Z8 n% n( Z$ H
" a& F( e- y; U+ p, n
, K- c# p: V  O$ X6 r8 N

) S0 `1 x) Y  {( t8 P! c$ y. _/ p