L2TP/IPSEC搭建详细步骤

已于 2023-03-01 10:08:39 修改
阅读量2.8w 收藏 73
点赞数 6
文章标签: L2TP
于 2019-09-12 17:18:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goinggo/article/details/100776493
版权

背景:长沙分公司访问北京总公司的办公OA业务,目前的方法是通过在北京总公司出口防火墙上配置OA业务的端口映射,然后在长沙分公司通过输入北京总部给的域名带上映射的端口即可访问,但该访问过程经过公网,存在数据被截取的风险,当前北京总公司空闲一台linux服务器,计划利旧该linux服务器搭建l2tp的方式来打通两地的内网,达到公网可以安全访问OA业务的目的。以下是在该linux服务器上搭建L2TP/IPSEC的配置过程,希望对有类似问题的公司相关运维人员有所帮助。

依赖环境

yum update
yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man

openswan(ipsec)

简单的说openswan就是ipsec,安装openswan也就是安装ipsec,这里不深入探讨openswan方案

yum install openswan

接下来配置ipsec。ipsec的配置文件是/etc/ipsec.conf,安装好openswan后,配置文件是默认内容。我们为了方便,把默认的配置文件备份到某个目录下,比如~/~etc/ipsec.conf,然后自己新建一个ipsec.conf,执行方法如下:

mkdir ~/~etc
mv /etc/ipsec.conf ~/~etc/ipsec.conf
vi /etc/ipsec.conf

接下来,就准备新建一个ipsec.conf,我们把下面的内容直接全部拷贝为新文件的内容

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.18.0/24
    oe=off
    protostack=netkey
 
conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
 
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=xxx.xxx.xxx.xxx
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

上面有一行是left=xxx.xx.xx.xx,这里要把left的值改为服务器的IP 地址,外网可以访问的IP地址。也就是客户端连接L2TP的时候,客户端会让填的公网IP

接下来配置密钥。L2TP比PPTP多了一个密钥项,这也是它比PPTP更安全的原因之一。这个密钥其实就是一个密码,不同于用户的登录密码,它相当于一个设备之间通信的密钥。它的配置文件是/etc/ipsec.secrets,按照相同的方法,我们先备份一下它,然后新建一个我们自己的:

mv /etc/ipsec.secrets ~/~etc/ipsec.secrets
vi /etc/ipsec.secrets

然后把下面的内容放到新建的配置文件中:

xxx.xxx.xxx.xxx %any: PSK "YourPsk"

同理,上面的xxx.xxx.xxx.xxx是服务器的公网IP,而后面的"YourPsk"中的YourPsk就是密钥的内容。你可以改为自己的任意字符串。反正在你连接登录VPN的时候,是需要这个PSK的。

运行ipsec.

ipsec setup restart
chkconfig ipsec on

这样,ipsec就跑起来了。网上还说需要使用ipsec verify去验证ipsec是否真的跑起来可以用,我觉得可以暂时不看,比较整个环境还没配完。

PPP

PPP就是一个拨号软件,用来提供用户登录的用户名和密码验证用的

yum install ppp

我们现在还没有搭建起整个VPN,但是可以先在PPP中把要用来登录的用户名和密码先安排好:

vi /etc/ppp/chap-secrets

在上面的文件中新增一行:

loginname *  loginpassword  *

有两个星号,第一个表示以后所有使用PPP作为用户认证的服务,都可以使用这个用户名和密码,包括PPTP和L2TP都可以使用loginname。第二个星号表示这个用户可以从任何IP登录。如果你希望控制一下,可以把星号改成具体的值来限制。

xl2tpd

就像pptp和pptpd一样,L2TP也依赖于xl2tpd。

yum install wget
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/Packages/x/xl2tpd-1.3.8-1.el6.x86_64.rpm
yum install xl2tpd-1.3.8-1.el6.x86_64.rpm

注:可以在pkgs.org这个网站上搜索xl2tpd找到你需要的版本

安装好xl2tpd之后,我们进行配置。它的配置文件有两个,一个是/etc/xl2tpd/xl2tpd.conf一个是/etc/ppp/options.xl2tpd,其实第一个文件把第二个文件包含进来而已。同样的道理,我们仍然采用备份和创建新文件的方法来修改配置文件:

mkdir ~/~etc/xl2tpd
mv /etc/xl2tpd/xl2tpd.conf ~/~etc/xl2tpd/xl2tpd.conf
vi /etc/xl2tpd/xl2tpd.conf

把下面的内容写进去:

[global]
ipsec saref = yes
listen-addr = xxx.xxx.xxx.xxx
[lns default]
ip range = 192.168.18.2-192.168.18.100
local ip = 192.168.18.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

和上面提到的一样xxx.xxx.xxx.xxx也要改成你自己的服务器外网IP。

mkdir ~/~etc/ppp
mv /etc/ppp/options.xl2tpd ~/~etc/ppp/opitons.xl2tpd
vi /etc/ppp/options.xl2tpd

写入下面的内容:

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

这样,xl2tpd的配置就好了。

启动xl2tpd服务:

service xl2tpd restart
chkconfig xl2tpd on

sysctl

sysctl的功能是开启转发。它能够将服务器内部的ip地址关系进行转发和映射,从而实现我们链接VPN之后的用户,能够通过内部的一些端口进行请求的转发。

vi /etc/sysctl.conf

找到下面几个选项,并把值改为我提供的值:

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1

如果没有找到某些选项,直接把它写到文件的末尾。保存之后,执行:

sysctl -p

这样配置就生效了。

iptables

iptables它是个防火墙软件,我们需要iptables来作为外部请求的转发。sysctl帮我们解决的是,一个用户通过ppp连接到服务器之后,他发的请求在服务器内部是怎样实现映射的,所以,没有iptables,用户通过上面的那些配置,就可以登录连接到L2TP VPN了,但是很有可能是连接上无法上网,因为外部的请求还没有转发啊。所以,我们执行下面的这些命令,来使iptables实现转发。

iptables -I INPUT -m policy --dir in --pol ipsec -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -m policy --dir out --pol none -j MASQUERADE
iptables -I FORWARD -i ppp+ -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -m policy --dir in --pol ipsec -p udp --dport 1701 -j ACCEPT
iptables -I INPUT -p udp --dport 500 -j ACCEPT
iptables -I INPUT -p udp --dport 4500 -j ACCEPT
iptables -t nat -I POSTROUTING -o enp4s0 -j MASQUERADE
iptables -t nat -I POSTROUTING -o enp3s0 -j MASQUERADE

上面的最后两条iptables中的enp4s0和enp3s0是对应的服务器网卡名称,需要修改成自己对应的网卡名称

service iptables save
service iptables restart

调整完,执行service iptables restart,以确保你的服务器外网转发OK。

总结

这个时候,我们在来运行一下:

ipsec setup restart 
ipsec verify

我们简单总结一下,我们这篇教程里面用到的软件有:

openswan(ipsec) : 提供一个密钥
ppp :提供用户名和密码
xl2tpd : 提供L2TP服务
sysctl : 提供服务器内部转发
iptables : 提供请求从服务器内部转向外部,外部响应转向服务器内部

涉及到的一些配置文件

ipsec配置文件监听IP:/etc/ipsec.conf
ipsec共享秘钥文件:/etc/ipsec.secrets
用户名和密码:/etc/ppp/chap-secrets
xl2tpd配置文件:/etc/xl2tpd/xl2tpd.conf
设置dns:/etc/ppp/options.xl2tpd

这就是我们搭建L2TP VPN的相关知识,结束

goinggo
关注
  • 6
    点赞
  • 73
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
CentOS_7环境搭建L2TP服务器
m0_71817514的博客
07-20 2万+
CentOS_7环境搭建L2TP服务器
l2tp vpn server搭建教程
weixin_46523990的博客
05-17 3053
安装l2tpsudo apt install xl2tpdsudo apt install strongswansudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpsudo apt install network-manager-l2tp修改配置文件然后是配置部分了,需要用sudo权限来修改下面几个文件:(1) 编辑/etc/ipsec.confconn L2TP-IPSEC authby=secret auto=add keyi
Linux系统安装L2TPIPSec一键安装脚本.docx
07-17
本脚本适用环境: 系统支持:CentOS6+,Debian7+,Ubuntu12+ 内存要求:≥128M 关于本脚本: 名词解释如下 L2TP(Layer 2 Tunneling Protocol) IPSec(Internet Protocol Security) IKEv2 (Internet Key Exchange v2) 能实现 IPsec 的目前总体上有 openswan,libreswan,strongswan 这3种。
centos7配置L2TP的服务端教程
最新发布
小丑鱼的专栏
05-28 925
注:10.10.0.0/24跟/etc/xl2tpd/xl2tpd.conf的设置相对应,eth0要改成你局域网的网络名字。替换为如下内容,把下面0.0.0.0换成VPN server的IP(注意一定要有字符缩进,距离不要改变)(5) 编辑 /etc/xl2tpd/xl2tpd.conf 这一步可以跳过。(6)配置用户名,密码:编辑 /etc/ppp/chap-secrets。(3)修改/添加 /etc/sysctl.conf并生效。连接方式和pptp的vpn连接方式相同!生效上面的修改使用如下命令。
【好奇心驱动力】内网搭建L2TP服务器及抓包数据分析
高冷的宅先生
06-20 5556
1.网络拓扑 192.168.2.109 win7虚拟机(客户端) 192.168.2.108 centos7双网卡虚拟机(NAT为10.10.10.136) 10.10.10.131 win7虚拟机(Web服务器) 目的: 客户端和L2TP服务器在同一网段 L2TP服务器和Web服务器在同一网段 实现客户端通过拨号连接L2TP服务器,访问Web服务器 2.环境搭建及连接 针对L2TP服务器(192.168.2.108/10.10.10.136) #下载l2tp.sh https://download.c
软路由之爱快基于L2TP 实现
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:CSDN
01-10 5920
很多接触过爱快的人都需要连接L2TP或PPTP,本文主要介绍通过爱快iKuai的L2TP 来实现异地组网。
L2TP一键搭建脚本天翼云IP搭建教程23年11月12日最新教程5分钟学会搭建纯独享工作室游戏IP适用多开雷电模拟器挂机等
weixin_59174698的博客
11-12 3898
此教程搭建不能用于非法用途,目前市面上天翼云是性价比最高最划算的服务商,开通最低折扣账户后,搭建IP成本仅需5元每月一条纯独享IP。拉动修改成1MB的,99元买的是5M的,改成1M可退78.81元,以实际共享IP价格为每月20.19元。下图线路显示已售罄,直接换地区搭建,避免服务器,共享宽带买好了,最后发现弹性IP售罄问题。建议大家买服务器之前,点下弹性公网IP查看,IP有没有售罄,如果售罄的话换地区搭建。注册账号,并且实名认证,然后联系勤奋,开通最低折扣权限,搭建专属独享 IP。
centos7 L2TP/ipsec 搭建
zerotoall的博客
06-07 4782
centos7 L2TP/ipsec 搭建
CentOS 8服务器搭建L2TP服务器(over IPsec)操作指南
衡水铁头哥的博客
04-11 1623
正文共:1234 字 14 图,预估阅读时间:2 分钟之前发过把我自己的服务器搬上公网的文章(我用100块钱把物理服务器放到了公网,省了几万块!),当时L2TP拨号用的是网络上的解决方案,也就是现成的脚本,一跑就OK了。像这样:输入几个关键信息,脚本就自动执行完成了。我看了一下,脚本一共810行,功能很强大,系统方面支持CentOS 6+、Debian 7+、Ubuntu 12+。但实际上有个隐藏...
Windowsserver 2019 pptp,l2tp,l2tp-cer搭建过程。
m0_57856520的博客
08-07 1189
Windowsserver 2019 pptp,l2tp,l2tp-cer搭建过程
RouterOS L2TP安装与配置
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:CSDN
01-07 5565
L2TP通过创建虚拟专用网络(VPN)连接,允许用户通过加密的通道访问远程网络,同时确保数据传输的机密性和完整性。它通常与其他协议(如IPsec)一起使用,以增强安全性。
L2TP/IPSec-cnetos-server.sh
11-17
配合https://blog.csdn.net/qq_37500838/article/details/121382517 使用
CentOS7.2 安装L2TP/IPSec 服务端/客户端 ( libreswan+xl2tpd )
03-02
配套说明: http://blog.csdn.net/gogoytgo/article/details/79420745
ipsec+l2tp安装配置及插件
06-01
linux下ipsec+l2tp安装配置及插件
SSL,L2TP,IPSEC神州数码
03-20
SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码
搭建 L2TP over IPSec VPN
dongsong1117的专栏
11-03 735
any: PSK "密钥"
linux系统搭建L2TP协议的vpn
weixin_55701556的博客
08-14 2396
将 <分配给 L2TP 客户端的 IP 范围> 替换为你希望为 L2TP 客户端分配的 IP 地址范围,建议为第二块网卡的ip段。将 < L2TP用户名 > 替换为你想要创建的 L2TP 用户名,< L2TP密码 > 替换为相应的密码。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址,<预共享密钥> 替换为你设置的预共享密钥。<服务器私网IP> 替换为你的服务器的私网 IP 地址,建议为第二块网的ip地址。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址。left=<服务器公网IP>
CentOS8服务器搭建L2TP服务器(over IPsec)操作指南
热门推荐
衡水铁头哥的博客
06-23 1万+
上次发了服务器上公网(低成本用L2TP把物理服务器放到了公网,省了几万块)的文章,当时L2TP拨号用的是网络上的解决方案,也就是现成的脚本,一跑就OK了。像这样: 输入几个关键信息,脚本就自动执行完成了。我看了一下,脚本一共810行,功能很强大,系统方面支持CentOS 6+、Debian 7+、Ubuntu 12+。 但实际上有个隐藏的问题。上次部署用的是CentOS 7的系统,一切正常,重新部署之后腾讯云的CentOS仅支持8.3的镜像,安装频...
l2tp/ipsec 绑定域名
05-20
要绑定域名到 L2TP/IPSec VPN 上,您需要具备以下条件: 1. 一个域名:您需要拥有一个域名,例如 example.com。 2. 一个公共 IP 地址:您需要一个公共 IP 地址,用于将域名映射到您的 VPN 服务器上。 3. 一个 SSL 证书:为了确保通信的安全性,您需要一个 SSL 证书。 4. 配置 DNS:您需要将域名指向您的公共 IP 地址,这样您的客户端才能够通过域名连接到 VPN 服务器。 一旦您准备好了以上条件,您可以按照以下步骤配置 L2TP/IPSec VPN 绑定域名: 1. 安装和配置 L2TP/IPSec VPN 服务器。 2. 从 SSL 证书颁发机构处获取 SSL 证书,并将其安装到您的 VPN 服务器上。 3. 配置您的 DNS 记录,将域名指向您的公共 IP 地址。 4. 在您的 VPN 客户端上配置域名,以便客户端可以通过域名连接到 VPN 服务器。 请注意,不同的 VPN 服务器软件可能有不同的配置步骤。您需要根据您使用的软件和操作系统进行相应的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值