linux,pptp的服务器.
配置文件/etc/pptpd.conf中,remoteip一项.看说明都是类似
remoteip 10.0.0.2-254
这样的.目前需求客户端数量大于255个,比如10万个客户端.显然这样配置客户端分配的ip是不够的.
不太懂网络这一块,有什么不对的请务必指出.
如果简单的就2个网段,参考这里可能这样分配
remoteip 10.0.0.2-254,10.0.1.2-254,10.0.2.2-254
但是如果多一个数量级,这种方式看上去就有点丑了.
看来一些pptpd的源代码,如果多于MAX_CONNECTIONS个remoteip的话必须修改这个宏.目前看上去这个数值是100.
但这不是重点,我想可能自己编译pptpd的程序,能自己改源代码.比如改成100000什么的,但各位大神有没有指点的,这里有没有什么坑,这个数值受那些因数限制? 望点拨 .
你已经研究到pptpd的源码了,我不能比你更专业。
不过我建议你调整一下网络拓扑和需求,即使你通过修改pptpd源码突破了100个remoteip的限制,让一台pptpd服务器接收成千上万个ppp拨号请求也是不好的。
因为每一个vpn客户端拨号进来,都会在pptpd服务端生成一个ppp虚拟网卡,并往路由表里增加一条路由。建议你在需要拨VPN的办公室里弄一台VPN Gateway,它负责VPN拨号,并为局域网内其它机器提供路由转发,其它机器只要把网关设置为这台拨了号的VPN Gateway的地址,就能通过VPN通道访问pptpd server所在的内网了。
这样做有几个好处:
1. VPN Server需要面对的客户端数量少,每个分公司一个,充其量也就是几十上百个。VPN Server的账号管理、性能管理都比较简单。不需要修改pptpd的源码,稳定性有保障。
2. 对终端用户来说,易用性更强,毕竟只改一个网关比搞VPN拨号简单多了。也无须为断线重拨烦恼,买个带VPN拨号功能的家用路由器放在那里,又稳定又简单。
3. 适应变化的能力强。如果VPN服务器有变化(如从PPTP改成L2TP、OpenVPN,或者换IP、改端口),每个分公司只有VPN Gateway机器需要修改拨号设置,真正的终端客户不需要修改任何东西,对他们是透明的。
4. 安全性强。只有VPN Gateway知道账号密码,泄露的可能性小。如果你让数万个终端直接拥有VPN账号,泄露了,安全隐患极大。pptpd的账号管理功能极其简陋,跟subversion差不多,账号密码都是明文写死在服务端的,客户自己不能改。如果你真的是数以万计的员工要在办公室之外的地方(异地出差,在家办公)拨VPN,那还是花点钱搞商业解决方案吧,每个人独立的VPN账号密码,跟LDAP/AD之类现存的账号体系整合,再加一个RSA令牌。