1、安装软件服务
yum install -y epel-release
yum install -y xl2tpd libreswan lsof
2、 修改ipsec的配置文件
vim /etc/ipsec.conf#
第56行
config setup#第 11行
nat_traversal=yes#要有TAB缩进,否则报错,其他行类似
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12#,第56行,这行可能不一样
3、建立ipsec 与 l2tp 服务关联的配置文件
vim /etc/ipsec.d/
l2tp_psk.conf #
此文件不存在 需要手动创建
添加以下内容:
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
dpddelay=30
dpdtimeout=120
dpdaction=clear
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=10.1.15.153#外网IP
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
4、当建立l2tp连接时,需要输入预共享密匙,以下为预共享密匙的配置文件
vim /etc/ipsec.d/linuxcc_l2tp.secrets #
没有的话自己创建
内容:
10.1.15.153 %any: PSK "123456"#/etc/ipsec.d/
l2tp_psk.conf
中left的ip %any: PSK “密码”
5
、修改内核配置vim /etc/sysctl.conf
添加内容:
vm.swappiness = 0
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
net.ipv4.conf.lo.arp_announce=2
net.ipv4.ip_forward = 1
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
使上述修改生效sysctl -p
6、
echo 0 > /proc/sys/net/ipv4/conf/virbr0/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/eno16777736/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/virbr0-nic/rp_filter
检验ipsec服务配置:
ipsec setup start
ipsec verify
正常输出
错误:
解决方案: echo 0> /proc/sys/net/ipv4/conf/virbr0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eno16777736/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/virbr0-nic/rp_filter
(所有空格必须有)
重复ipsec verify
7、启动服务
systemctl start ipsec
systemctl enable ipsec
8、配置xl2tpd服务
vim /etc/xl2tpd/xl2tpd.conf #修改l2tp的配置文件
修改内容:
[global]
listen-addr = 10.1.15.153#这行有,去掉分号,SERVER的外网IP
ipsec saref=yes#这行在22行,去掉分号
[lnsdefault]
ip range = 192.168.1.128-192.168.1.254#分配给客户端的IP
local ip = 192.168.99#服务端内网IP
9、修改xl2tpd属性配置文件
vim/etc/ppp/options.xl2tpd
10、添加用户名密码
vim /etc/ppp/chap-secrets
11、启动l2tp服务
systemctl start xl2tpd
systemctl enable
xl2tpd
重新启动后:
systemctl start ipsec
systemctl enable ipsec
systemctl start xl2tpd
systemctl enable
xl2tpd
windows7 64连接L2TP:
Win7 64位
解决办法:
修改注册表:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
在“编辑”菜单上,单击“新建”->“DWORD值”
在“名称”框中,键入“ProhibitIpSec”
在“数值数据”框中,键入“1”,然后单击“确定”
再找到AllowL2TPWeakCrypto,如果没有则新建“DWORD值”
修改值为1
退出注册表编辑器,然后重新启动计算机