使用Linux L2TP/IPsec VPN 服务器（2）

　　15 PPP认证、压缩和加密

　　IPsec被用来开L2TP隧道，L2TP在运行时开PPP隧道。PPP有几种认证方法。最常用的是PAP（不加密口令）和CHAP（基于认证的挑战/回应）。你可以自由地选择两者，最好是CHAP。如果你用PAP，Windows客户会提示口令没有加密。这有点离题，IPsec已经加密了。 PAP和CHAP都是IETE标准，但微软收购并增强了CHAP，推出一一个新的MS-CHAP（最近确定为MS-CHAPv2）。

　　默认情况下，Windows客户会使用MS-CHAP进行PPP认证。问题是大多数发行版包含的PPP服务不支持MS-CHAP，比如 Red Hat Linux 9或更早的版。一个解决方法是配置每个Windows客户使用CHAP。另一个解决方法是更新pppd到包含MS-CHAP (v2)的2.4.2或更高版本。如果你连接一个不支持MS-CHAP的服务器，客户端配置为使用MS-CHAP，pppd将会提示 “auth chap 81”和“peer will not authorize”。一但你安装一个支持MS-CHAP的pppd，你需要在 /etc/ppp/options.l2tpd增一行（根据你的pppd版本，参照man pppd）：

　　+mschap-v2

　　或者

　　require-chapms-v2

　　使用PAP或(MS-)CHAP最容易的方法是一个口令文件（secrets）。口令文件指定为/etc/ppp/chap-secrets或者 /etc/ppp/pap-secrets（分别对应于PAP还是CHAP/MS-CHAP）。当用户数量较多而更为复杂的情况下，你也许会寻找更为灵活的东西。这是来自文档（毕竟它是PPP出版）的一小部分，但是这有多种可能的解决方案：

　　在l2tpd.conf中使用“unix authentication”关键字。账户名和口令将依靠Linux用户数据库（/etc/passwd）来检查。为PPP选项增加“login”关键字后会它会做什么。记住，你最好使用PAP，因为(MS-)CHAP不能使用保存在/etc/pssswd文件中的预加密用户口令。账户名仍由/etc/ppp/pap-secrets指定，但是在这个文件中口令为空字符串（“”）时，pppd使用Unix口令。参见：man pppd。