Product SiteDocumentation Site

10.2. 仮想プライベートネットワーク

仮想プライベートネットワーク (略して VPN) は 2 つの異なるローカルネットワークをインターネットに作ったトンネルを経由してつなげる方法です。さらに、トンネルは通常機密を守るために暗号化されます。VPN はリモートマシンを会社のローカルネットワークの中に参加させるために使われることが多いです。
VPN 機能を提供するツールにはさまざまなものがあります。OpenVPN は効果的な解決策で、設置とメンテナンスが簡単で、SSL/TLS に基づいています。別の可能性は IPsec を使って 2 台のマシン間の IP トラフィックを暗号化することです。IPsec の暗号化は透過的で、ホスト上で実行されているアプリケーションは VPN の存在を気にする必要がありません。SSH は伝統的な機能に加えて、VPN を提供するために使われる場合もあります。最後に、Microsoft の PPTP プロトコルを使って VPN を作ることも可能です。他にも解決策は存在しますが、本書では解説しません。

10.2.1. OpenVPN

OpenVPN は仮想プライベートネットワーク作成専用ソフトウェアの一種です。OpenVPN をセットアップするには VPN サーバ上とクライアント上に仮想ネットワークインターフェースの作成が必要です。さらに、OpenVPN は tun (IP レベルトンネル用) と tap (イーサネットレベルトンネル用) インターフェースをサポートします。実際には、VPN クライアントをイーサネットブリッジ経由でサーバのローカルネットワークに参加させる場合を除いて、tun インターフェースが最もよく使われます。
OpenVPN は SSL/TLS 暗号化と関連する機能 (機密性、認証、整合性、否認防止) を使うために OpenSSL に依存しています。OpenVPN は共有秘密鍵または公開鍵基盤に基づく X.509 証明書を使うように設定できます。公開鍵基盤に基づく X.509 証明書を使うよう設定することをお勧めします。なぜなら、公開鍵基盤に従えば VPN にアクセスするローミングユーザの数が増えた場合も大きな自由度を保つことが可能だからです。

CULTURE SSL と TLS

SSL (Secure Socket Layer) プロトコルはウェブサーバとの安全な接続を確立する目的で Netscape によって考案されました。SSL は後に TLS (Transport Layer Security) の下で IETF によって標準化されました。その後 TLS は進化を続けました。対して SSL は構造的欠陥を見つけられたため SSL を使うことは推奨されません。

10.2.1.1. 公開鍵基盤、easy-rsa

公開鍵暗号では RSA アルゴリズムが広く使われています。公開鍵暗号は秘密鍵と公開鍵からなる「鍵ペア」を使います。2 種類の鍵は互いに密接な関係を持っており、公開鍵で暗号化されたメッセージは秘密鍵を知っている人だけが復号化できるという数学的特徴によって機密性が保証されます。逆に、秘密鍵を使って暗号化されたメッセージは公開鍵を持っている人なら誰でも復号化できます。この特徴を使うことで、メッセージの出自が本物であることを確認することが可能です。なぜなら、秘密鍵を持つものだけがその暗号化メッセージを生成できるからです。デジタルハッシュ関数 (MD5、SHA1、最近の亜種など) を組み合わせることで、これはいかなるメッセージにも適用できる署名メカニズムになります。
しかしながら、鍵ペアを作り、鍵ペアに任意の識別情報を保存し、自由に識別情報を偽ることは誰でも可能です。これに対する 1 つの解決策が X.509 標準によって体系化された認証局 (CA) の概念です。認証局という用語には、ルート証明書として知られる信頼された鍵ペアに保存された識別情報の実体の意味も含まれています。ルート証明書は他の証明書 (鍵ペア) を署名するためにのみ使われ、署名したい鍵ペアに保存される識別情報を確認するために適切な手順を経た後に署名が行われます。こうすることで X.509 を使うアプリケーションは自分に提示された証明書の識別情報を確認し、提示された証明書が信頼されたルート証明書によって署名されたかを判断できます。
OpenVPN はこの識別情報確認ルールに従います。パブリック認証局は (高額な) 料金と引き換えに証明書を発行しているに過ぎません。OpenVPN を使えば会社内のプライベート認証局を作成することが可能です。easy-rsa パッケージは X.509 証明書基盤としての機能を果たすツールを提供し、このツールは openssl コマンドを使うスクリプト群として実装されています。

NOTE Jessie 以前の easy-rsa

Wheezy までの Debian のバージョンでは、easy-rsaopenvpn パッケージの一部として配布されており、easy-rsa のスクリプトは /usr/share/doc/openvpn/examples/easy-rsa/2.0/ 以下に含まれていました。認証局を設定するには、ここで説明されているように make-cadir コマンドを使うのではなく、このディレクトリをコピーする必要がありました。
Falcot Corp の管理者は easy-rsa ツールを使い、サーバおよびクライアントに必要な証明書を作ります。easy-rsa ツールを使うことで、すべてのクライアントの設定を同様にすることが可能です。クライアントは Falcot のプライベート認証局から発行された証明書を信頼するようにセットアップしなければいけません。最初に Falcot のプライベート認証局用の証明書を発行します。この目的を達成するために、管理者は認証局に必要なファイルを含むディレクトリを適切な場所にセットアップします。セットアップする場所は、認証局の秘密鍵が盗まれる危険性を和らげるために、ネットワークに接続されていないマシンが好ましいです。 
$ make-cadir pki-falcot
$ cd pki-falcot
They then store the required parameters into the vars file, which can be uncommented and edited: 
$ vim vars
$ grep EASYRSA vars
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR
export KEY_SIZE=2048
export KEY_EXPIRE=3650
export KEY_COUNTRY="FR"
export KEY_PROVINCE="Loire"
export KEY_CITY="Saint-Étienne"
export KEY_ORG="Falcot Corp"
export KEY_EMAIL="admin@falcot.com"
export KEY_OU="Certificate authority"
export KEY_NAME="Certificate authority for Falcot Corp"
# If you'd like to sign all keys with the same Common Name, uncomment the KEY_CN export below
# export KEY_CN="CommonName"
$
次にプライベート認証局の鍵ペアを作成します (この最中に、鍵ペアの 2 つの部分が keys/ca.crtkeys/ca.key に保存されます)。
The next step is the creation of the CA's key pair itself (the two parts of the key pair will be stored under pki/ca.crt and pki/private/ca.key during this step). We can add the option nopass to avoid entering a password each time the private key is used: 
$ ./easyrsa build-ca nopass

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.1.1b  26 Feb 2019
Generating RSA private key, 2048 bit long modulus (2 primes)
......................................................................................+++++
......................+++++
e is 65537 (0x010001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/roland/pki-falcot/pki/ca.crt
これで VPN サーバの証明書および SSL/TLS 接続のサーバ側に必要な Diffie-Hellman パラメータを作ることが可能になりました。VPN サーバは DNS 名 vpn.falcot.com で識別されます。ここで指定した DNS 名は作成される鍵ファイルの名前としても使われます (keys/vpn.falcot.com.crt は公開鍵証明書、keys/vpn.falcot.com.key は秘密鍵です)。 
$ ./easyrsa gen-req vpn.falcot.com nopass
Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.1.1b  26 Feb 2019
Generating a RSA private key
.................................................................................+++++
........+++++
writing new private key to '/home/roland/pki-falcot/pki/private/vpn.falcot.com.key.E5c3RGJBUd'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [vpn.falcot.com]:

Keypair and certificate request completed. Your files are:
req: /home/roland/pki-falcot/pki/reqs/vpn.falcot.com.req
key: /home/roland/pki-falcot/pki/private/vpn.falcot.com.key

$ ./easyrsa sign-req server vpn.falcot.com

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.1.1b  26 Feb 2019


You are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.

Request subject, to be signed as a server certificate for 1080 days:

subject=
    commonName                = vpn.falcot.com


Type the word 'yes' to continue, or any other input to abort.
  Confirm request details: yes
Using configuration from /home/roland/pki-falcot/pki/safessl-easyrsa.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'vpn.falcot.com'
Certificate is to be certified until Jun 14 10:44:44 2022 GMT (1080 days)

Write out database with 1 new entries
Data Base Updated

Certificate created at: /home/roland/pki-falcot/pki/issued/vpn.falcot.com.crt

$ ./easyrsa gen-dh

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.1.1b  26 Feb 2019
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
[…]
DH parameters of size 2048 created at /home/roland/pki-falcot/pki/dh.pem
以下では、VPN クライアント用の証明書を作成します。VPN を利用するコンピュータ 1 台ごとおよび人間 1 人ずつに 1 つの証明書が必要です。 
$ ./build-key JoeSmith

Note: using Easy-RSA configuration from: ./vars

Using SSL: openssl OpenSSL 1.1.1b  26 Feb 2019
Generating a RSA private key
....+++++
..............................+++++
writing new private key to '/home/roland/pki-falcot/pki/private/JoeSmith.key.mY21iP8ysv'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [JoeSmith]:

Keypair and certificate request completed. Your files are:
req: /home/roland/pki-falcot/pki/reqs/JoeSmith.req
key: /home/roland/pki-falcot/pki/private/JoeSmith.key
Now all certificates have been created, they need to be copied where appropriate: the root certificate's public key (pki/ca.crt) will be stored on all machines (both server and clients) as /etc/ssl/certs/Falcot_CA.crt. The server's certificate is installed only on the server (pki/issued/vpn.falcot.com.crt goes to /etc/ssl/vpn.falcot.com.crt, and pki/private/vpn.falcot.com.key goes to /etc/ssl/private/vpn.falcot.com.key with restricted permissions so that only the administrator can read it), with the corresponding Diffie-Hellman parameters (pki/dh.pem) installed to /etc/openvpn/dh.pem. Client certificates are installed on the corresponding VPN client in a similar fashion.

10.2.1.2. OpenVPN サーバの設定

By default, the OpenVPN initialization script tries starting all virtual private networks defined in /etc/openvpn/*.conf. Setting up a VPN server is therefore a matter of storing a corresponding configuration file in this directory. A good starting point is /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz, which leads to a rather standard server. Of course, some parameters need to be adapted: ca, cert, key and dh need to describe the selected locations (respectively, /etc/ssl/certs/Falcot_CA.crt, /etc/ssl/vpn.falcot.com.crt, /etc/ssl/private/vpn.falcot.com.key and /etc/openvpn/dh.pem). The server 10.8.0.0 255.255.255.0 directive defines the subnet to be used by the VPN; the server uses the first IP address in that range (10.8.0.1) and the rest of the addresses are allocated to clients.
この設定で OpenVPN を開始すると、通常 tun0 という名前の仮想ネットワークインターフェースが作成されます。しかしながら、ファイアウォールは OpenVPN の開始前に実ネットワークインターフェースと同時に設定される場合が多いです。このため、永続的な仮想ネットワークインターフェースを作成し、OpenVPN が事前に作成された仮想インターフェースを使うように設定することを推奨します。この追加的設定により、インターフェースの名前を選ぶことが可能になります。この目的を達成するには、openvpn --mktun --dev vpn --dev-type tun を使って tun 型の vpn と名付けられた仮想ネットワークインターフェースを作成します。さらに、このコマンドをファイアウォール設定スクリプトの中で使えば、簡単に設定を統合できます。つまり /etc/network/interfaces ファイルの up 指示文を使います。OpenVPN 設定ファイルをファイアウォール設定に対応させるためには dev vpndev-type tun 指示文を使います。
これ以上の設定を追加しなければ、VPN クライアントは 10.8.0.1 アドレスの VPN サーバにアクセスできるだけです。クライアントをローカルネットワーク (192.168.0.0/24) へアクセスできる状態にするには、push route 192.168.0.0 255.255.255.0 指示文を OpenVPN 設定に追加します。こうすることで、VPN クライアントは自動的にネットワーク経路を取得し、VPN 経由でローカルネットワークに到達できるようになります。さらに、ローカルネットワークにいるマシンに対して VPN サーバに通じる VPN への経路を知らせる必要もあります (VPN サーバがゲートウェイにインストールされている場合、これは自動的に動きます)。別の方法として、VPN サーバが IP マスカレードを動かすように設定する方法があります。そうすれば、VPN クライアントからの接続はあたかもクライアントが VPN サーバからアクセスしたかのように見えます (第 10.1 節「ゲートウェイ」を参照してください)。

10.2.1.3. OpenVPN クライアントの設定

OpenVPN クライアントを設定する場合にも、/etc/openvpn/ に設定ファイルを置きます。標準的な設定の良い足掛かりとして /usr/share/doc/openvpn/examples/sample-config-files/client.conf が用意されています。remote vpn.falcot.com 1194 指示文は OpenVPN サーバのアドレスとポート番号を表します。さらに cacertkey も鍵ファイルの場所に合わせて設定が必要です。
If the VPN should not be started automatically on boot, set the AUTOSTART directive to none in the /etc/default/openvpn file. Starting or stopping a given VPN connection is always possible with the commands systemctl start openvpn@name and systemctl stop openvpn@name (where the connection name matches the one defined in /etc/openvpn/name.conf).
network-manager-openvpn-gnome パッケージには、NetworkManager (第 8.2.5 節「ローミングユーザ向けの自動ネットワーク設定」を参照してください) の拡張が含まれ、これを使うことで OpenVPN 仮想プライベートネットワークを管理することが可能です。誰もがグラフィカルに OpenVPN 接続を設定し、ネットワーク管理アイコンからこれを制御することが可能です。

10.2.2. SSH を使った仮想プライベートネットワーク

SSH を使った仮想プライベートネットワークの作成法には、2 種類の方法があります。歴史的に見て重要な方法が SSH リンクの上で PPP レイヤを確立する方法です。この方法は HOWTO 文書で説明されています。
→ http://www.tldp.org/HOWTO/ppp-ssh/
2 番目の方法はより最近の方法で、OpenSSH 4.3 で導入されました。その結果今や、OpenSSH は SSH 接続のサーバおよびクライアント側に仮想ネットワークインターフェース (tun*) を作り、仮想インターフェースをあたかも物理インターフェースのように設定することが可能です。このトンネルシステムを有効化するにはまず、SSH サーバの設定ファイル (/etc/ssh/sshd_config) の中で PermitTunnel を「yes」に設定しなければいけません。SSH 接続を確立する際には、-w any:any オプションを使って明示的にトンネルの作成を要求しなければいけません (ここで any は必要な tun デバイス番号で置き替えます)。トンネルを作成するには、サーバおよびクライアント側でそのユーザが管理者権限を持っていることが必要です。そうすればネットワークデバイスを作成することが可能です (言い換えれば、接続は root で確立されなければいけません)。
SSH を使って仮想プライベートネットワークを作成する方法は、どちらもかなり直接的なものです。しかしながら、SSH の提供する VPN は最も効率のよい方法ではありません。特に、高レベルのトラフィックをうまく取り扱うことができません。
つまり、TCP/IP スタックが TCP/IP 接続 (SSH) の中にカプセル化される場合、TCP プロトコルは 2 回使われるという点です。1 回は SSH 接続で、もう 1 回がトンネル内です。TCP はタイムアウト遅延を変更することでネットワークの状態に接続状態を適合させる機能があるため、これは特に問題になります。以下のサイトがこの問題についてより詳しく説明しています。
→ http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
このため、VPN over SSH はパフォーマンスに制約のない単発のトンネルに留めるべきです。

10.2.3. IPsec

IPsec は IP VPN の標準的ツールになりつつあるにも関わらず、IPsec の実装は複雑です。IPsec エンジンそれ自身は Linux カーネルに統合されています。ユーザ空間部分で必要となる制御と設定ツールは ipsec-tools パッケージに含まれています。具体的には、それぞれのホストの /etc/ipsec-tools.conf にはホストが接続する IPsec トンネル (IPsec 用語で Security Association) のパラメータが含まれます。/etc/init.d/setkey スクリプトを使うことで、トンネルを開始したり停止することが可能です (それぞれのトンネルは仮想ネットワークに接続された他のホストと安全なリンクを確立しています)。このファイルは setkey(8) マニュアルページに含まれる文書を使って手作業で作ることも可能です。しかしながら、多数のマシン群にすべてのホスト用のパラメータを明示的に書くことはすぐに難しい作業になります。なぜなら、トンネルの数はすぐに増えるからです。たとえば racoonstrongswan などの IKE (IPsec Key Exchange の略語) デーモンをインストールすることで、一元管理による作業の簡素化と鍵の定期的な切り替えによる作業の安全化が可能になります。
IPsec は標準規格という地位があるにも関わらず、その設定が複雑なことが原因で実際にはあまり使われていません。必要なトンネルが少なくて静的な場合は、OpenVPN に基づく解決策が通常好まれます。

CAUTION IPsec と NAT

ファイアウォールの NAT は IPsec とうまく共存しません。なぜなら、IPsec はパケットを署名しますが、ファイアウォールがパケットを書き換えることで IPsec による署名は無効化され、無効な署名のパケットは受け取り側で拒否されるからです。今やさまざまな IPsec 実装が NAT-T (NAT Traversal の略語) 技術をサポートしています。これは基本的に IPsec パケットを標準的な UDP パケットにカプセル化するものです。

SECURITY IPsec とファイアウォール

IPsec の動作の標準的モードは鍵交換に UDP ポート 500 番 (NAT-T を使用する場合 UDP ポート 4500 番) を使います。さらに、IPsec パケットは 2 種類の専用 IP プロトコルを使います。ファイアウォールはこのプロトコルを通過させなければいけません。さらに、これらのパケットの受け入れ可否はプロトコル番号 (ESP は 50 番、AH は 51 番) に基づきます。

10.2.4. PPTP

PPTP (Point-to-Point Tunneling Protocol の略語) は 2 種類の通信チャンネルを使います。1 つは制御データ用で、もう 1 つがペイロードデータ用です。ペイロードデータ用チャンネルは GRE プロトコル (Generic Routing Encapsulation) を使います。標準的な PPP リンクはペイロードデータ交換用チャンネル上に確立されます。

10.2.4.1. クライアントの設定

pptp-linux パッケージには Linux 用に簡単に設定できる PPTP クライアントが含まれています。以下の説明は公式文書からヒントを得て作ったものです。
→ http://pptpclient.sourceforge.net/howto-debian.phtml
Falcot の管理者はいくつかのファイルを作成しました。すなわち /etc/ppp/options.pptp/etc/ppp/peers/falcot/etc/ppp/ip-up.d/falcot/etc/ppp/ip-down.d/falcot を作成しました。

例 10.2 /etc/ppp/options.pptp ファイル

# PPTP 接続時に利用する PPP オプション
lock
noauth
nobsdcomp
nodeflate

例 10.3 /etc/ppp/peers/falcot ファイル

# vpn.falcot.com は PPTP サーバです
pty "pptp vpn.falcot.com --nolaunchpppd"
# "vpn" ユーザで本人確認して接続します
user vpn
remotename pptp
# 暗号化を有効にします
require-mppe-128
file /etc/ppp/options.pptp
ipparam falcot

例 10.4 /etc/ppp/ip-up.d/falcot ファイル

# Create the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  ip route add 192.168.0.0/24 dev $1
fi

例 10.5 /etc/ppp/ip-down.d/falcot ファイル

# Delete the route to the Falcot network
if [ "$6" = "falcot" ]; then
  # 192.168.0.0/24 is the (remote) Falcot network
  ip route del 192.168.0.0/24 dev $1
fi

SECURITY MPPE

PPTP を安全なものにするには MPPE 機能 (Microsoft Point-to-Point Encryption) を使います。MPPE はモジュールとして公式の Debian カーネルで利用できます。

10.2.4.2. サーバの設定

CAUTION PPTP とファイアウォール

中間ファイアウォールはプロトコル 47 番 (GRE) を使っている IP パケットを通過させるように設定されなければいけません。さらに、通信チャンネルを開くために PPTP サーバのポート 1723 番を開けることが必要です。
pptpd は Linux 用の PPTP サーバです。主設定ファイル /etc/pptpd.conf にはいくつかの変更が必要です。すなわち localip (ローカル IP アドレス) と remoteip (リモート IP アドレス) を変更する必要があります。以下の例では、PPTP サーバは常に 192.168.0.199 アドレスを使い、PPTP クライアントは 192.168.0.200 から 192.168.0.250 までの IP アドレスを受け取ります。

例 10.6 /etc/pptpd.conf ファイル

# TAG: speed
#
#       PPTP デーモンの通信速度を指定します。
#
speed 115200

# TAG: option
#
#       PPP オプションファイルの場所を指定します。
#       PPP はデフォルトで '/etc/ppp/options' を使います
#
option /etc/ppp/pptpd-options

# TAG: debug
#
#       syslog に詳細なデバッグ情報を出力します
#
# debug

# TAG: localip
# TAG: remoteip
#
#       ローカルとリモートの IP アドレス範囲を指定します。
#
#       コンマで区切ることで、単独の IP アドレスおよび
#       IP アドレス範囲を指定できます。以下は利用例です。
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#
#       以下の重要な制約事項に注意してください。
#
#       1. コンマ間およびアドレス内部で空白文字を使わないでください。
#
#       2. MAX_CONNECTIONS よりも多くの IP アドレス を指定した場合、
#          使われる IP アドレスはリストの先頭から MAX_CONNECTIONS
#          個までの IP アドレスです。それ以外は使われません。
#
#       3. アドレス範囲を略記しないでください! たとえば 234 から 238 の範囲を指定するために
#          234-8 と記述するのは間違いです。その代わり 234-238 と記述してください。
#
#       4. ローカル IP は 1 つだけでも構いません。この場合、すべてのローカル IP は
#          指定したものになります。しかしながら、同時接続中のクライアントには
#          必ず異なるリモート IP を割り振らなければいけません。
#
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
#localip 10.0.1.1
#remoteip 10.0.1.2-100
localip 192.168.0.199
remoteip 192.168.0.200-250
さらに /etc/ppp/pptpd-options を編集して、PPTP サーバの使う PPP 設定を変更します。重要なパラメータはサーバ名 (pptp)、ドメイン名 (falcot.com)、DNS と WINS サーバの IP アドレスです。

例 10.7 /etc/ppp/pptpd-options ファイル

## pppd の syslog デバッグを有効化します
#debug

## 「サーバ名」を chap-secrets 内の自分のサーバ名として指定したものに変更します
name pptp
## ドメイン名をローカルドメインに変更します
domain falcot.com

## 以下は WinXXXX クライアントに対して
## 適当とされるデフォルトセキュリティ関連設定です
# Debian の pppd パッケージは MSCHAP と MPPE の両方をサポートしています。そのため
# ここでは両方を有効化しています。カーネルの MPPE サポートが必須という点にも注意してください!
auth
require-chap
require-mschap
require-mschap-v2
require-mppe-128

## サービスに対応するアドレスを指定してください
ms-dns 192.168.0.1
ms-wins 192.168.0.1

## ネットマスクを指定してください
netmask 255.255.255.0

## 一部のデフォルト設定
nodefaultroute
proxyarp
lock
最後に、vpn ユーザ (と対応するパスワード) を /etc/ppp/chap-secrets ファイルに登録します。サーバ名だけは、アスタリスク (*) を使える他のインスタンスと異なり、明示的に指定しなければいけません。さらに、Windows PPTP クライアントはユーザ名ではなく DOMAIN\\USER という形を認証を行います。このため、/etc/ppp/chap-secrets ファイルに FALCOT\\vpn ユーザが追加されています。ユーザに割り当てる IP アドレスを明記することも可能です。IP アドレスフィールドのアスタリスクは動的にアドレスを割り当てることを意味します。

例 10.8 /etc/ppp/chap-secrets ファイル

# CHAP 認証用のログイン情報
# クライアント  サーバ  秘密情報    IP アドレス
vpn             pptp    f@Lc3au     *
FALCOT\\vpn     pptp    f@Lc3au     *

SECURITY PPTP 脆弱性

Microsoft の最初の PPTP 実装は多くのセキュリティ脆弱性を残していたためにさまざまな非難を浴びました。しかし、最近のバージョンではその多くが修正されています。この節で説明されている設定は PPTP プロトコルの最新のバージョンを使っています。いくつかのオプション (require-mppe-128require-mschap-v2 など) を無効化すると、サービスに脆弱性が生まれるという点に注意してください。