PPTPD+MYSQL+FREERADIUS+限速方案

admin

一、        软件需求：
pptpd-1.3.4、ppp-2.4.4、Apache、MySQL、freeradius(freeradius.org)
6 W  d$ H  s7 ~7 c$ H二、        安装PPTP
1、操作系统使用RHEL5或者CENTOS5，内核版本为: 2.6.18-164.el5, 内核已支持MPPE,不用再安装。
( U8 C. P* v8 D  O6 j1 }5 V% C& K# F使用RPM方式安装pptpd和pppd
rpm -ivh pptpd-1.3.4-.rhel5.1.i386.rpm
rpm -ivh ppp-2.4.4-2.el5.1.i386.rpm
- ]4 Q- n+ }5 ]! ^  r2、修改/etc/pptpd.conf主配置文件：
( W8 B* s0 u  Rdebug                                                          开启debug，方便检查错误。
! r* E. A# \. b! Eppp  /usr/sbin/pppd                                pppd程序位置
option /etc/ppp/options.pptpd        pptpd的参数配置文件
- Y/ |! x& a( ]! D$ W6 N: olocalip 172.16.10.1                                        服务器的IP地址
- E  z0 L1 E! F. y% Hremoteip 172.16.10.2-150           分配给客户端的IP地址池
        3、修改/etc/ppp/options.pptpd
. i9 u; _2 Q; J: x' v  Glock
debug
dump
logfd 2
logfile /var/log/pptpd.log
6 P! U! Y# U3 B1 N0 Z% T7 pname pptpd
' \9 P7 O& f9 i2 b" ^! u# {mtu 1450
mru 1450
proxyarp
auth
) D! w$ `1 F7 t4 C( Z' splugin /usr/local/lib/pppd/2.4.4/radius.so     radius模块，若不需要radius可以注释掉
" Z: H8 y- F1 U- D# f  R; P( Bplugin /usr/local/lib/pppd/2.4.4/radattr.so     radius属性模块
+ y2 ~" [* C2 w4 E7 a6 h$ ynobsdcomp
ipcp-accept-local
. i2 W, F' f' X, wipcp-accept-remote
  |6 v7 I* g0 I0 Slcp-echo-failure 3
' j# e# R6 A3 y, X' Y3 W% alcp-echo-interval 5
2 Z1 z/ p" d( I3 arefuse-pap
- y7 ~( \. b* ~% ~# grefuse-chap
* o9 ~) f8 n+ P/ t- ~6 o3 U7 M% Srefuse-mschap
+ |' L2 l" [( M6 K1 g+ I2 O" ?- arefuse-eap
+ J/ z8 P$ Q9 H5 @; D5 Zrequire-mschap-v2
0 ^0 c& P4 b. u$ hmultilink
require-mppe
ms-dns 202.98.96.68                     客户端的DNS地址
% ^4 I' k5 p3 hms-dns 61.139.2.69
4、启动PPTP
2 P& C- @1 E1 E使用service pptpd start启动服务
使用chkconfig pptpd on 使重启生效
        5、添加测试用户/etc/ppp/chap-secrets
. L6 [9 b" ]. M  q- w   
; U, P& b6 f7 m  u. U) q- c! U1 Y. y# Secrets for authentication using CHAP
7 n+ L0 w6 {) S; @# client        server  secret                  IP addresses
test pptpd test *
        6、客户端设置
! I6 Z. Z8 T# q        在windows XP上创建vpn连接，并测试（略）：
三、        RADIUS与MYSQL安装：
1、        安装与配置MySQL
使用yum方式安装MYSQL、php、Apache
        启动MySQL：service mysqld start
更改MySQL的root用户的密码
# mysqladmin -u root -p password youpass
5 A- t* q3 A! B2 K4 Z$ O6 ?( x#mysql -uroot -p youpass
>create database radius;  创建一个名为radius的数据库
2 y( n2 B( H0 V8 t- O* j>exit
0 A( `- m$ |- |6 ]5 a#chkconfig mysqld on 随系统启动
2、        radius安装
+ H5 ?; q( b3 P) O& ?0 N9 F* `( J: _0 H从http://freeradius.org/ 获取 freeradius-server-2.1.7.tar.bz2
#tar -xvf freeradius-server-2.1.7.tar.bz2
( Q( h8 f9 _$ M#cd freeradius-server-2.1.7
#./configure
#make
" v7 u6 ^, @" R$ N7 F8 V: k5 N/ W#make install
! z5 ?( R2 v) E/ }5 d# R) p#radiusd -X 使用debug模式运行radius
: Q( w3 m& Z3 \5 n如果看到 "Ready to process requests."表示安装成功。
3、修改freeradius支持MySQL。
#cd /usr/local/etc/raddb/sites-available
编辑default文件，把里面所有sql前面的#去掉。
# cd /usr/local/radius/etc/raddb/
编辑radiusd.conf，去掉$INCLUDE sql.conf前面的#
编辑sql.conf,
6 S! _% Q! f) [3 c        # Connection info:
        server = "localhost"
        #port = 3306
+ T7 A: Q' }- J, {        login = "root"
        password = "youpass"
/ H* e2 v2 _% |9 _向mysql导入radius所需的数据库文件
$ B# {1 B8 f7 Z( L#cd /usr/local/etc/raddb/sql/mysql
3 j4 y2 }2 k+ A6 D3 c8 I# mysql -uroot -p radius < schema.sql
再用debug模式运行freeradius.
# h3 y+ j# l% a3 t1 Y' s+ _  n) c2 |# /usr/local/sbin/radiusd -X
有可能会出现
' ~" v0 L3 Q% g/usr/local/etc/raddb/sites-enabled/default[159]: Failed to find module "sql".
6 j3 w/ a% `/ P- Y0 c9 Nradius没有找到驱动去连接mysql。
, L: F" c4 g& K; F. W+ q5 P+ T编译rlm_sql_mysql.so驱动
#cd freeradius-server-2.1.7/src/modules/rlm_sql/drivers/rlm_sql_mysql
#./configure;make;make install
$ P/ T0 q/ F$ S. m/ D- a, a. n这个时候驱动会安装到/usr/local/lib目录下面,要把驱动复制到/usr/lib目录下
( {4 b# X- i( P3 e#cp /usr/local/lib/rlm_sql_mysql* /usr/lib
接下来在数据库中添加测试用的用户
#mysql -uroot -p radius
8 t/ u3 w4 M5 `: c8 c3 v) a0 R> INSERT INTO `radusergroup` (`username`,`groupname`,`priority`) VALUES ('','test',1);
3 |, Z( L  ]2 G* p> INSERT INTO `radusergroup` (`username`,`groupname`,`priority`) VALUES ('test','test',1);
3 r6 ]$ Z0 Z6 _% p8 K5 Z* y) a> INSERT INTO `radcheck` (`id`,`username`,`attribute`,`op`,`value`) VALUES (1,'test','User-Password',':=','test');
; C* g$ ^) q3 M9 q2 H测试刚刚添加的用户能不能通过验证：
9 k# b0 [* w) q- r6 s# j9 z同时开两个窗口，运行#radiusd -X
另一个窗口运行：#radtest freebsd freebsd localhost 0 testing123
如果看到:"rad_recv:Access-Accept packet from host 127.0.0.1 ……",就已经成功了。
  ^6 D; U3 M2 a' V2 i4、        使用web界面管理radius用户
   #cp -R ~/freeradius-server-2.1.7/dialup_admin /usr/local/
   #ln -s /usr/local/dialup_admin /var/www/html/dialup_admin
   #cd /var/www/html/dialup_admin/conf
        编辑admin.conf，修改如下内容
   
0 y7 p1 f% f0 Q  i, Hgeneral_encryption_method: clear
sql_type: mysql
sql_server: localhost
sql_port: 3306
sql_username: root
sql_password: youpass
9 O! P. V' g4 ?sql_database: radius
* w. m& {# B1 Lsql_usergroup_table: radusergroup
0 t: [% @$ I4 i6 u4 ~# sql_debug: true
配置Apache
, b. @" \$ l1 j2 p0 b修改:/etc/httpd/conf.d/php.conf
2 W% j7 N3 I$ E6 hAddHandler php5-script .php .php3
! Q. O. @1 p' ?! R8 B修改：/etc/httpd/conf/httpd.conf
! Z$ Z$ h+ |8 z9 Z& |* r1 P1 f* c8 c<Directory "/var/www/html/dialup_admin/htdocs">
启动apache:
& q8 i6 |& K$ a# W+ c. q#service httpd start
6 u' p- L  s8 B4 f4 B: B#chkconfig httpd on
' ^5 e( X2 r8 P9 t6 \' q& ?  O8 q2 j3 {打开浏览器就可以管理radius的用户了。
四、        使用radius验证pptpd用户
% T! g; u5 [2 c& {  @+ \4 D$ {使用radius验证用户，需要安装radius模块，
下载ppp-2.4.4.tar.gz源代码
, `- X0 M9 L4 d+ U: }' A9 T7 m2 S# tar -xvf ppp-2.4.4.tar.gz
# cd ppp-2.4.4
# ./configure     //注意不要在这个地方编译安装。
#cd pppd/plugins/radius  
#make
5 B7 @; d* j+ }#make install
% k- X7 ]$ i: R9 M( g5 F9 ?; [/ J; C# cp -R  etc   /usr/local/etc/radiusclient
2 Q" A  L7 X( E下面选项在使用radius验证时开启.需要注释掉local
  `' d0 J/ L! A6 i6 `- C4 S#vim /etc/ppp/options.pptpd
2 ~" C, d/ i; R2 y* k1 [$ Hplugin /usr/local/lib/pppd/2.4.4/radius.so   //必须先加载radius验证模块，再加载radattr.so
plugin /usr/local/lib/pppd/2.4.4/radattr.so
#cd /usr/local/radiusclient
; ^. I1 ^! [; Z% E- T) ]' e5 h#vim radiusclient.conf  编辑如下两行
$ w' E$ z3 S) U" g0 Z* ?authserver      127.0.0.1:1812         //radius验证
: T$ F9 q) h/ ~( Cacctserver      127.0.0.1:1813         //radius计费
# vim servers
0 i+ U" B+ m2 z+ k/ Z* B8 D2 V#Server Name or Client/Server pair              Key
#----------------                               ---------------
#portmaster.elemental.net                       hardlyasecret
, h0 t& t) P: c. q) a+ X#portmaster2.elemental.net                      donttellanyone
127.0.0.1                        testing123
重启pptpd: service  pptpd restart
- I7 N6 t* o. x$ P' U五、带宽限制
使用radius传回限速信息对客户端限速
基本原理，radius根据数据库里面的限速字段的属性，下发给PPTP服务器，服务器再根据接收到的限速字段属性来限制用户带宽。
9 x, o+ L: _  Y; q/ d& J由于Linux的PPTP 限速字段不在radius默认的列表中，需要手动添加该字段。
PPTP服务器：
" @6 K, o$ @" F8 N#cd /usr/local/etc/radiusclient
#vim dictionary 添加如下两行
, d( Q$ u! I3 U2 w" k$ TATTRIBUTE       PPPD-Upstream-Speed-Limit       230     integer
; \0 Y# V. w2 O, S  s3 M: JATTRIBUTE       PPPD-Downstream-Speed-Limit     231     integer
同样也需要在radius的dictionary中添加这两行。具体位置/usr/local/etc/raddb/
+ A  M2 S: p8 S3 w0 @, l% q, l# w还需要在数据库中加入：
3 a1 X1 N2 |# I/ v- k: k0 V/ ?; XINSERT INTO `radgroupreply` VALUES (8,'test','PPPD-Upstream-Speed-Limit','=','512');
7 @/ Z: l; @8 }. DINSERT INTO `radgroupreply` VALUES (9,'test','PPPD-Downstream-Speed-Limit','=','512');
; ^1 `' b* q# d512是限制的带宽，单位是kbps
最后需要在/etc/ppp/目录下添加一个本地脚本，用TC来限制带宽：
脚本内容如下：
; V9 c( r0 ]" n% y#cat ip-up.local   //注意。该脚本必须要有可执行权限。
4 M$ z- W& x; L0 o* k" c5 G+ G  ]#!/bin/bash
PATH=/sbin:/usr/sbin:/bin:/usr/bin
4 [5 _9 @& l, l. `' o# u1 {! C6 gexport PATH
. L1 {6 d2 x  i! v: z; p# Get the attrbute from radius reply
if [ -f /var/run/radattr. $1 ]
0 b' h1 A; F. t" q& Ethen
   DOWNSPEED=`/bin/awk  '/PPPD-Downstream-Speed-Limit/ {print $2}'  /var/run/radattr. $1`
   UPSPEED=`/bin/awk  '/PPPD-Upstream-Speed-Limit/ {print $2}'  /var/run/radattr. $1`
1 _6 C3 S7 }9 H2 K* R% vfi
" G+ i0 B8 ~+ @# End
& [5 H( P+ g% g8 |# Start Bandwidth Limit
   /sbin/tc qdisc del dev $1 root    > /dev/null
   /sbin/tc qdisc del dev $1 ingress > /dev/null
  ]5 d6 v, N5 p7 E##### speed server->client
" P, @* N( r! @4 f9 e  if [ "$DOWNSPEED" != "0" ] ;
  then
    /sbin/tc qdisc add dev $1 root handle 1: htb default 20 r2q 1
6 z0 d" g6 y+ `; W4 B5 Q7 |; [    /sbin/tc class add dev $1 parent 1: classid 1:1 htb rate ${DOWNSPEED}kbit burst 4k
    /sbin/tc class add dev $1 parent 1:1 classid 1:10 htb rate ${DOWNSPEED}kbit burst 4k prio 1
    /sbin/tc class add dev $1 parent 1:1 classid 1:20 htb rate ${DOWNSPEED}kbit burst 4k prio 2
. ^$ F- y' X7 {0 ^! w5 T. D3 S7 o    /sbin/tc qdisc add dev $1 parent 1:10 handle 10: sfq perturb 10 quantum 1500
    /sbin/tc qdisc add dev $1 parent 1:20 handle 20: sfq perturb 10 quantum 1500
    /sbin/tc filter add dev $1 parent 1:0 protocol ip prio 10 u32 match ip tos 0x10 0xff flowid 1:10
    /sbin/tc filter add dev $1 parent 1:0 protocol ip prio 10 u32 match ip protocol 1 0xff flowid 1:10
    /sbin/tc filter add dev $1 parent 1: protocol ip prio 10 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u160x0000 0xffc0 at 2 match u8 0x10
0xff at 33 flowid 1:10
" y& x) C- s1 }7 |+ |  fi
##### speed client->server
5 f  x2 C6 V7 z8 p6 \/ Y. q! e  if [ "$UPSPEED" != "0" ] ;
2 h8 A! ?) z0 [& l  r* Y  then
    /sbin/tc qdisc add dev $1 handle ffff: ingress
- o+ \) c6 u$ [+ i  r7 g: u, P    /sbin/tc filter add dev $1 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${UPSPEED}kbit burst 12k drop flowid :1
- A4 ^, R; ~% d' t% w& H  fi
' f) c% s% y$ q5 \6 }# End
六、        系统优化
- c& e/ {* B, v* j& a最后再做一些简单的系统优化,以满足较大的网络流量
8 S4 ?3 n& {' Z2 o: S: Cnet.ipv4.ip_forward = 1
6 E4 j. K/ F5 v" M* mnet.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
% i+ k6 H0 o$ r8 hkernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
# @2 `# ?" M  `4 X9 q. L+ C5 Y/ k( @kernel.msgmax = 65536
' d3 Q* q4 d5 X. `" Okernel.shmmax = 4294967295
* h4 y; Y- \" h: v- N: @2 @- R4 T; O6 hkernel.shmall = 268435456
net.core.rmem_max = 12582912
% H% L) r$ L0 v% O, M1 knet.core.rmem_max = 12582912
/ v" u# `( S$ Y2 m  t) Dnet.ipv4.tcp_rmem = 10240 87380 12582912
% L! p9 m6 r1 f0 W, \2 a7 k3 vnet.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv4.tcp_no_metrics_save = 1
net.core.netdev_max_backlog = 5000
0 e1 {. ?# B$ W' K如果想要对拨入用户做NAT，可以使用IPTABLES做
#iptables -t nat -A POSTROUTING  -j MASQUERADE

  A4 T# s7 u8 w


" X: C0 P. J- N! E! V# ?
4 p( d; s3 c  r" w9 b
. j" l# D9 ~9 P: A' h

' g) K5 @) p, u2 Z7 A" ?# t# r6 Q
! `5 o% s! j* \! F