Налаштування клієнта SSTP на Debian

Мені потрібно підключити свій (стабільний) сервер Debian до сервера Windows Server 2008R2, який виступає як сервер VPN SSTP. Мені вдалося встановити sstp-клієнт на своєму сервері Debian, але я не знаю, як налаштувати з'єднання, щоб я міг запустити його у фоновому режимі. Крім того, є досить багато речей, які я не розумію в цілому процесі конфігурації.

Виконуючи поради, які я знайшов в Інтернеті, я відключив аутентифікацію віддаленого сервера, додавши noauthв /etc/ppp/options. Крім того, я додав там варіанти refuse-pap, refuse-eap, refuse-chap, refuse-mschapі require mppeв силу аутентифікації MS-CHAP-v2 (сервер Windows , налаштований на прийом , що і не інші).

Якщо я біжу від терміналу

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

підключення працює, і відкриваючи інший термінал, я можу отримати доступ до веб-сторінки, доступ до якої можна отримати лише через VPN.

Я спробував створити файл etc/ppp/peers/sstp-1із вмістом

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

а потім працює з командного рядка sudo pon sstp-1. З'єднання припиняється та sudo plogпоказує

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

У мене є кілька запитань щодо всього цього:

1. Як налаштувати /etc/ppp/peers/sstp-1так, що я можу підключити / відключитись до VPN у фоновому режимі (використовуватись у сценарії)?
2. Сервер Windows шифрує трафік VPN за допомогою самопідписаного сертифіката. Чому, використовуючи вищевказану конфігурацію з'єднання, мені не потрібно встановлювати сертифікат на клієнтській машині? Чи трафік зашифрований взагалі?

Дякую вже заздалегідь, Джоеле Лехікойнен

1. Те, що зламало конфігурацію, було надання --userі --passwordяк параметри командного рядка в рядку, що починається з pty. Ім'я користувача вже вказано в наступному рядку, і пароль слід вказати в /etc/ppp/chap-secrets. Проблему виправили, змінивши цю лінію на

   pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
   

   крім того, редагувати не потрібно /etc/ppp/options, оскільки параметри конфігурації вже задані у файлі конфігурації SSTP/etc/ppp/peers/sstp-1

2. Здавалося б, принаймні з noauthможливістю, яка, на мій погляд, вимкне лише автентифікацію сервера в PPP, sstp-клієнт також приймає самопідписаний сертифікат сервера SSL без будь-яких скарг.

   Як обхід, одна з можливостей полягає у створенні самопідписаного сертифіката CA, підписання сертифіката сервера з цим та надання --ca-cert /path/to/snakeoil-ca.pemв якості параметрів командного рядка sstp-клієнту (тобто у рядку "pty" файлу ), що обмежує сертифікат SSL сервера відомим значенням.