搭建L2tp/ipsec

用到的软件
openswan(ipsec) : 提供一个密钥
ppp :提供用户名和密码xl2tpd : 提供L2TP服务
sysctl : 提供服务器内部转发
iptables : 提供请求从服务器内部转向外部,外部响应转向服务器内部

准备
搭建L2TP需要环境支持,所以需要提前查看是否支持,不支持的自行Google

# 查看主机是否支持pptp,返回结果为yes就表示通过
modprobe ppp-compress-18 && echo yes
# 查看是否开启了TUN# 有的虚拟机主机需要开启,返回结果为**cat: /dev/net/tun: File descriptor in bad state**。就表示通过。
cat /dev/net/tun

安装

yum install -y epel-release
yum install -y xl2tpd libreswan lsof
yum install iptables

配置xl2tp

[root@qianxi ~]# egrep -v ";|#" /etc/xl2tpd/xl2tpd.conf
[global]
listen-addr   = 服务器内网ip地址
ipsec saref = yes
auth file = /etc/ppp/chap-secrets         
port = 1701      //监听端口
[lns default]
ip range = 192.168.1.128-192.168.1.254     //设置IP池,是分配给用户的ip,有多少个用户就需要多少个ip,建议分配多一点。
local ip = 192.168.1.99      //分配给本机的ip地址
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

配置ppp

[root@qianxi ~]# cat /etc/ppp/options.xl2tpd
ipcp-accept-local
ipcp-accept-remote
ms-dns  8.8.8.8
ms-dns  8.8.4.4
#ms-wins 192.168.1.2
#ms-wins 192.168.1.4
name xl2tpd
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
logfile /var/log/l2tpd.log
proxyarp
connect-delay 5000
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2      #Windows连接必须设置
persist

配置IPSec

cat /etc/ipsec.conf    \\有效行
config setup
        protostack=netkey
        dumpdir=/var/run/pluto/
        logfile=/var/log/pluto.log
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
include /etc/ipsec.d/*.conf
第一行config setup必须左对齐,即前面不能有空格,否则会报错
其他每一行都必须以Tab开头,否则会报错

设置预共享密钥PSK

[root@qianxi ~]# cat /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets
106.15.230.123 %any: PSK "xl2tpd"
格式为: 公网IP  %any:  PSK "预共享密钥"

配置服务器

[root@qianxi ~]# cat /etc/ipsec.d/l2tp_psk.conf
conn L2TP-PSK-NAT
        rightsubnet=vhost:%priv
        also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT 
        authby=secret
        pfs=no
        auto=add
        keyingtries=3
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear   
        rekey=no
        ikelifetime=8h
        keylife=1h
        type=transport
        left=2.2.2.2     //修改为服务器IP地址 
        right=%any
        right=%any       
        rightprotoport=17/%any
注意:conn开头的两行必须左对齐,开头不能有空格,其他每一行必须以Tab开头

添加账号密码

[root@qianxi ~]# cat /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client server secret IP addresses
vpn * 123456 *
配置类型为: 用户名     *   密码    *
第一个*代表的意思的服务类型,在这里是L2TP,因为PPTP的账号密码管理文件也是此文件,所以以通配符*代替更好。
第二个*代表的用户限制地址,如果填进去某个IP,则是限制只能此IP连接该VPN。

开启内核转发

cat /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
vm.swappiness = 0
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
kernel.sysrq=1
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1

使用sysctl   -p 重新加载内核配置项,使之生效

启动服务

[root@qianxi ~]# systemctl start ipsec
[root@qianxi ~]# systemctl start xl2tpd

查看状态:

防火墙配置

iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPT
iptables -A FORWARD -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -m policy --dir out --pol none -j MASQUERADE
iptables -A FORWARD -i ppp+ -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m policy --dir in --pol ipsec -p udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

service iptables save
service iptables restart

你可能感兴趣的:(搭建L2tp/ipsec)