阿里云ECS部署L2TP/IPSEC,访问服务器内网

最新推荐文章于 2024-05-12 23:37:10 发布
最新推荐文章于 2024-05-12 23:37:10 发布
阅读量7.8k 收藏 23
点赞数 6
分类专栏: 运维 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35433926/article/details/103188830
版权

阿里云ECS部署L2TP/IPSEC,访问服务器内网

准备工作

三台阿里云ECS服务器,操作系统CentOS7

服务器名称内网ip公网
服务器A172.26.245.47
服务器B172.26.245.48
服务器C172.26.245.49

服务器A有弹性公网ip可以上网,在这个服务器上部署L2TP/IPSEC服务,服务器B和服务器C没有公网ip,需要通过服务器A上网

自建NAT网关

添加路由

按以下顺序打开路由表页面

阿里云控制台 - 专有网络管理控制台 - 路由表

路由表
管理,然后点添加路由条目

添加路由条目
按上图填写表单,然后确定

地址转换

登录服务器A,依次执行以下命令

  1. 阿里云ECS的防火墙默认没有开启,先开启防火墙
    1. systemctl enable firewalld
    2. systemctl start firewalld
  2. 地址转换
    1. firewall-cmd --add-masquerade --permanent
    2. firewall-cmd --reload
  3. ip转发
    1. echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
    2. sysctl -p
  4. 内网添加白名单(三台服务器都需要添加)
    1. firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.26.245.1/24' port protocol='tcp' port='0-65535' accept"
    2. firewall-cmd --reload

部署xl2tpd

以下在服务器A操作

安装服务

  1. 安装EPEL源(CentOS7官方源中已经去掉了xl2tpd):yum install -y epel-release
  2. 安装xl2tpd和libreswan(openswan已经停止维护):yum install -y xl2tpd libreswan lsof

修改配置

  • xl2tpd配置文件

vim /etc/xl2tpd/xl2tpd.conf,内容如下

# ip range是分配给vpn客户端的ip范围
# local ip是本机内网ip
[lns default]
ip range = 172.26.243.100-172.26.243.110 # 分配给vpn客户端的ip范围
local ip = 172.26.245.47 # 本机内网ip
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
  • pppoptfile文件

vim /etc/ppp/options.xl2tpd,内容如下

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 114.114.114.114
name xl2tpd
auth
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
proxyarp
connect-delay 5000
refuse-pap
refuse-mschap
require-mschap-v2
persist
logfile /var/log/xl2tpd.log
  • ipsec配置文件

vim /etc/ipsec.conf,内容如下

# config setup下的protostack=netkey和dumpdir=/var/run/pluto/为新增项
# 其他保持默认即可
# 缩进使用TAB
config setup
	plutodebug=none
	protostack=netkey # 此项新增
	dumpdir=/var/run/pluto/ # 此项新增
	virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10

include /etc/ipsec.d/*.conf
  • 新建/etc/ipsec.d/l2tp-ipsec.conf

内容如下

# left=172.26.245.47是本机内网ip
# 缩进使用TAB
conn L2TP-PSK-NAT
	rightsubnet=0.0.0.0/0
	dpddelay=10
	dpdtimeout=20
	dpdaction=clear
	forceencaps=yes
	also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
	authby=secret
	pfs=no
	auto=add
	keyingtries=3
	rekey=no
	ikelifetime=8h
	keylife=1h
	type=transport
	left=172.26.245.47 # 本机内网ip
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/%any
  • 设置用户名密码

vim /etc/ppp/chap-secrets,追加用户名密码

# 格式为:用户名 类型 密码 允许访问的ip
vpnuser * vpnpassword *
  • 设置预共享密钥PSK

vim /etc/ipsec.d/default.secrets,内容如下

# 将MyPSK替换为自己的秘钥
: PSK "MyPSK"
  • 防火墙配置
firewall-cmd --permanent --add-service=ipsec # 放行ipsec服务,安装时会自定生成此服务
firewall-cmd --permanent --add-port=1701/udp # xl2tp的端口,默认1701
firewall-cmd --permanent --add-port=4500/udp # ipsec的端口
firewall-cmd --permanent --add-port=500/udp # ipsec的端口
firewall-cmd --permanent --add-masquerade # 启用NAT转发功能,自建NAT网关时已经配置过
firewall-cmd --reload # 重载配置
  • 修改内核参数

vim /etc/sysctl.conf,追加以下内容

net.ipv4.ip_forward = 1 # ip转发,自建NAT网关时已经配置过
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.send_redirects = 0
  • 启动ipsec和xl2tpd
systemctl enable ipsec
systemctl start ipsec
systemctl enable xl2tpd
systemctl start xl2tpd
  • 安全组规则

按照下图配置,并将服务器A添加到此安全组

安全组规则

将vpn网段添加到白名单

分别在三台服务器执行以下命令

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.26.243.1/24' port protocol='tcp' port='0-65535' accept
firewall-cmd --reload

win10连接vpn

  • 打开网络和Internet设置,选择vpn选项卡,点添加vpn连接

添加vpn连接
按上图添加vpn连接

  • 适配器设置

适配器设置(安全)
适配器设置(网络)

  • 开启服务

IPsec Policy AgentRouting and Remote AccessRemote Access Connection Manager

启动以上三个服务,并改为自动启动

  • 修改注册表

注册表路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

新建ProhibitIpSec项,DWORD类型,值设置为1

新建AllowL2TPWeakCrypto项,DWORD类型,值设置为1

重启电脑

完成

连接vpn,即可通过内网访问访问服务器A、B、C

参考链接

centos7 搭建xl2tpd 服务
win10系统 L2TP连接尝试失败
centos7 阿里云专有网络利用firewalld自建NAT网关

薛凌康
关注
  • 6
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
关于使用阿里云centos7如何搭建L2TP用于学习2021年7月亲测
skyway16s的博客
07-20 4161
操作方法如下: 1-3是脚本操作,连接服务器后,直接复制,粘贴,回车, 4-7项可以直接回车默认 4-7项也可以自由设置 完全根据个人需要! 以下为操作的具体内容: 1.wget --no-check-certificate https://raw.githubusercontent.com/teddysun/across/master/l2tp.sh 2.chmod +x l2tp.sh 3.source l2tp.sh 4.输入本地IP段范围 5.输入PSK预共享密钥 6.输入第一个用户名
CentOS搭建L2TP-IPsec Server
hsai0206的博客
05-24 7645
CentOS搭建L2TP-IPsec SERVER 需求 无锡和扬州两地公司办公室需要使用SVN协作开发,通过V/P/N的方式将2边的办公网连接在一起。 一、环境准备 准备一台带有公网IP地址的云服务器,推荐用阿里云,好用便宜。 操作系统:CentOS7.6 1、开启tun cat /dev/net/tun 如果tun已经开启,则提示: cat: /dev/net/tun: File descriptor in bad state 如果没有以上提示,则执行以下命令: cd /dev mkdir net
L2TP 内网穿透(1)
最新发布
2401_84968529的博客
05-12 842
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
IPSEC L2TP连接阿里云平台,
qq_43595006的博客
04-19 134
遇到ping的通traceroute不通的情况需要查看安全组是否开启对应的端口,icmp报文默认开启。IPSEC L2TP连接阿里云平台,
IPsec
weixin_50887021的博客
07-03 904
IPsec拓扑图基本配置图形界面第一台防火墙网络-接口g1/0/0配置静态路由策略名称IPsec第二台防火墙测试查错 拓扑图 基本配置 ISP sy sy ISP int g0/0/0 ip add 200.1.1.1 24 int g0/0/1 ip add 200.1.2.1 24 q int l0 ip add 1.1.1.1 32 q 防火墙 初始用户名:admin 密码Admin@123 修改过的密码为QWEasd123 sy sys FW1 int g0/0/0 ip add 192.168
l2tp(不带ipsec)的方式实现云服务器到机器人的主动访问
画舸覆堤
03-22 1059
阿里云与华为USG防火墙IPSEC对接
zhisibuyudem的博客
07-13 1352
阿里云与华为USG防火墙IPSEC对接
阿里云ECS服务器部署django的方法
01-01
服务器安装的是Centos 系统。 uwsgi是使用pip安装的。 nginx是使用yum install nginx安装。 python 2.7, mysql 5.5使用 yum安装。 它们之间的逻辑关系如下: the web client <-> the web server <-> the ...
React项目部署阿里云服务器ECS
01-07
本来计划是将一个React工程部署在自己的Centos虚拟机中,但是因为一些网络和安全问题暂时停止了这个计划,于是就把该项目转移到阿里云服务器中,这篇笔记记载了如何从第一步开始直到浏览器通过IP可以访问你的React...
阿里云ecs服务器 修改php上传最大限制的方法
09-30
给大家介绍阿里云ecs服务器 修改php上传最大限制的方法,找到PHP.ini位置,可以通过phpinfo()查看,具体修改方法,大家可以通过本文学习下
详解如何在阿里云服务器部署程序并用域名直接访问
09-14
在本文中,我们将深入探讨如何在阿里云服务器部署应用程序,并通过域名实现直接访问。这个过程包括购买阿里云服务器和域名、设置域名解析、搭建服务器环境、配置服务器和应用,以及开放安全组规则。以下是一步步的...
阿里云的centos/linux服务器一键安装环境脚本
01-10
阿里提供的一键安装包,包括 nginx,php,mysql,vsftp,apache的一键安装及硬盘分区。测试过了,没有任何问题。
IPsec/Openswan连接各地机房的内网
Phoenix's blog
02-24 3319
<br /> <br />各地机房逐渐增多,每个机房都有几台机器,只通过外网IP进行机房之间的数据传输很麻烦,所以考虑用VPN把所有机房连接起来,由于没有一个合适的中心点,于是选择各地机房两两配对连接。看了一下OpenVPN和IPsecIPsec因为是在内核中进行的,性能稍微好一些,配合Openswan配置也不复杂。<br /> <br />目前的2.6内核都自带了Netkey模式,虽然没有KLIPS配置功能强,但是也足够用了。<br /> <br />假设有三个机房,节点用的机器选择每个网段的第一个IP
L2TP/IPSec 服务端安装
一只小小小小菜鸟
11-17 1806
非常感谢!L2TP/IPSec一键安装脚本 | 秋水逸冰 (teddysun.com) 使用上面的一键安装脚本就可以,CentOS Linux release 7.6.1810 (Core) 亲测可用 安装好之后,在mac 上连接使用 这时候查自己ip看下,应该已经变了 ...
天翼云应用实操-天翼云资源池间通过IPSEC实现高速互通
wangli的博客
01-16 8325
天翼云的资源池是2+31+N,分布在全国各地,每个省及大点的地市几乎都有资源池,如果你的客户在不同省份的资源池都部署了云上应用并且想把这些资源池共享数据,你可以首先通过互联网的EIP实现,其次如果想要数据安全传输,可以用天翼云云间高速产品通过专线实现不同云池间的高速安全连接,但是价格也非常感人,一般人是根本不敢用,那有么有既保障安全又可以高速连接的方法呢?下面的内容就是介绍如何实现在不同...
L2TP/IPSEC搭建详细步骤
热门推荐
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
linux系统搭建L2TP协议的vpn
weixin_55701556的博客
08-14 2216
将 <分配给 L2TP 客户端的 IP 范围> 替换为你希望为 L2TP 客户端分配的 IP 地址范围,建议为第二块网卡的ip段。将 < L2TP用户名 > 替换为你想要创建的 L2TP 用户名,< L2TP密码 > 替换为相应的密码。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址,<预共享密钥> 替换为你设置的预共享密钥。<服务器私网IP> 替换为你的服务器的私网 IP 地址,建议为第二块网的ip地址。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址。left=<服务器公网IP>
如何利用阿里云服务器搭建VPN?
聚搜云_上海聚搜信息技术有限公司
07-17 1万+
它可以创建一个加密的网络连接,使你可以安全地从公共网络或者不安全网络访问私人网络,并保证数据的安全传输。在今天的网络世界中,VPN的需求愈发旺盛,尤其是对于需要跨地区、跨网络访问互联网资源的用户来说。接下来,我将带大家一探究竟,如何在阿里云服务器搭建专业的VPN服务。想要在阿里云服务器搭建VPN,首先你得有一台阿里云服务器。登录VPN客户端,输入阿里云服务器的公网IP地址,以及刚刚设置的VPN用户名和密码,即可成功连接到VPN服务。希望通过上述步骤的详细讲解,可以帮助到有VPN需求的用户。
树莓派搭建L2TP/IPSec
晓龙想飞 的专栏
05-22 1万+
使用原因: 在pi上搭了SS,但是IOS大陆下不了SS客户端,OpenVpn也是同样的问题。所以就想到了pptp,l2tp/ipsec;考虑到安全性,选择了l2tp/ipsec方式。1. 环境 树莓派3(kernel 4.1.19-v7+) 使用WiFi接入家中路由器 Router IP: 192.168.1.1 Pi wlan0: 192.168.1.1012. 安装相关软件 apt-
阿里云ecs服务器部署javaweb项目整个流程
07-07
### 回答1: 阿里云ECS(Elastic Compute Service)服务器部署Java Web项目的整个流程如下: 1. 购买阿里云ECS服务器:首先,需要在阿里云官网购买一个ECS服务器。选择适合的配置和操作系统(如CentOS、Ubuntu等),并确保服务器已经成功启动。 2. 连接到ECS服务器:使用SSH(Secure Shell)工具,如Putty等,通过服务器的公网IP地址和默认的22端口,连接到ECS服务器。 3. 安装Java开发环境:在ECS服务器上安装Java开发环境,包括JDK(Java Development Kit)和JRE(Java Runtime Environment)。可以通过命令行方式或者下载安装包方式进行安装。 4. 配置服务器环境:根据需要,可以安装并配置容器化技术如Docker,以及服务器软件如Tomcat、Nginx等,用于部署和运行Java Web项目。 5. 上传项目文件:将Java Web项目的相关文件(如WAR包或者源代码)上传到ECS服务器。可以使用FTP(File Transfer Protocol)工具,如FileZilla等,将文件上传到服务器的指定目录。 6. 构建和部署项目:在ECS服务器上使用命令行工具,进入项目文件所在的目录,使用Maven或者Gradle等构建工具,运行构建命令,编译、打包Java Web项目。 7. 配置项目运行环境:根据项目要求,可能需要修改配置文件,如数据库连接信息、缓存配置等。可以使用文本编辑器或者命令行工具进行修改。 8. 启动项目:使用命令行工具,运行Java Web项目的启动命令,如启动Tomcat容器。可以查看启动日志,确认项目是否成功启动。 9. 监控和管理项目:使用阿里云的应用监控工具或者第三方工具,对Java Web项目进行监控和管理,如查看应用的性能指标、错误日志和访问日志等。 10. 绑定域名和配置SSL证书(可选):如果需要通过域名访问Java Web项目,可以在阿里云的域名服务中,将域名解析到ECS服务器的公网IP地址,并配置SSL证书,实现HTTPS访问。 总结起来,阿里云ECS服务器部署Java Web项目的流程包括购买服务器、连接服务器、安装Java开发环境、配置服务器环境、上传项目文件、构建和部署项目、配置项目运行环境、启动项目、监控和管理项目,以及绑定域名和配置SSL证书(可选)。 ### 回答2: 阿里云ECS服务器部署JavaWeb项目的整个流程如下: 1. 登录阿里云官网,购买一台ECS服务器,选择合适的配置和系统镜像。 2. 在云服务器ECS的控制台上,找到已购买的服务器实例,并记录下服务器实例的公网IP地址。 3. 在本地开发环境,将JavaWeb项目打包成war文件。 4. 使用FTP工具(如FileZilla)将war文件上传到ECS服务器。连接ECS服务器的方法为使用用户名和密码连接到服务器实例的公网IP。 5. 在ECS服务器上安装Java运行环境,执行以下命令: ``` yum update -y # 更新系统 yum install java-1.8.0-openjdk-devel -y # 安装Java环境 ``` 6. 配置ECS服务器的防火墙规则,允许对应的端口访问。通常JavaWeb项目使用的是8080端口,可以在ECS的安全组中开放对应的端口。 7. 在ECS服务器上启动Tomcat服务器,执行以下命令: ``` cd /usr/local # 进入Tomcat安装目录 wget http://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.52/bin/apache-tomcat-9.0.52.tar.gz # 下载Tomcat tar -zxvf apache-tomcat-9.0.52.tar.gz # 解压Tomcat cd apache-tomcat-9.0.52/bin # 进入Tomcat的bin目录 ./startup.sh # 启动Tomcat ``` 8. 在浏览器中输入ECS服务器的公网IP地址和Tomcat使用的端口号,例如:http://公网IP:8080/,即可访问部署好的JavaWeb项目。 以上就是阿里云ECS服务器部署JavaWeb项目的整个流程。当然,根据具体的项目和需求,可能会涉及到其他配置和操作,例如数据库的连接、SSL证书的安装等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值