阿里云ECS部署L2TP/IPSEC,访问服务器内网

最新推荐文章于 2024-08-21 02:40:26 发布
最新推荐文章于 2024-08-21 02:40:26 发布
阅读量8.7k 收藏 25
点赞数 6
分类专栏: 运维 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35433926/article/details/103188830
版权

阿里云ECS部署L2TP/IPSEC,访问服务器内网

准备工作

三台阿里云ECS服务器,操作系统CentOS7

服务器名称内网ip公网
服务器A172.26.245.47
服务器B172.26.245.48
服务器C172.26.245.49

服务器A有弹性公网ip可以上网,在这个服务器上部署L2TP/IPSEC服务,服务器B和服务器C没有公网ip,需要通过服务器A上网

自建NAT网关

添加路由

按以下顺序打开路由表页面

阿里云控制台 - 专有网络管理控制台 - 路由表

路由表
管理,然后点添加路由条目

添加路由条目
按上图填写表单,然后确定

地址转换

登录服务器A,依次执行以下命令

  1. 阿里云ECS的防火墙默认没有开启,先开启防火墙
    1. systemctl enable firewalld
    2. systemctl start firewalld
  2. 地址转换
    1. firewall-cmd --add-masquerade --permanent
    2. firewall-cmd --reload
  3. ip转发
    1. echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
    2. sysctl -p
  4. 内网添加白名单(三台服务器都需要添加)
    1. firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.26.245.1/24' port protocol='tcp' port='0-65535' accept"
    2. firewall-cmd --reload

部署xl2tpd

以下在服务器A操作

安装服务

  1. 安装EPEL源(CentOS7官方源中已经去掉了xl2tpd):yum install -y epel-release
  2. 安装xl2tpd和libreswan(openswan已经停止维护):yum install -y xl2tpd libreswan lsof

修改配置

  • xl2tpd配置文件

vim /etc/xl2tpd/xl2tpd.conf,内容如下

# ip range是分配给vpn客户端的ip范围
# local ip是本机内网ip
[lns default]
ip range = 172.26.243.100-172.26.243.110 # 分配给vpn客户端的ip范围
local ip = 172.26.245.47 # 本机内网ip
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
  • pppoptfile文件

vim /etc/ppp/options.xl2tpd,内容如下

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 114.114.114.114
name xl2tpd
auth
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
proxyarp
connect-delay 5000
refuse-pap
refuse-mschap
require-mschap-v2
persist
logfile /var/log/xl2tpd.log
  • ipsec配置文件

vim /etc/ipsec.conf,内容如下

# config setup下的protostack=netkey和dumpdir=/var/run/pluto/为新增项
# 其他保持默认即可
# 缩进使用TAB
config setup
	plutodebug=none
	protostack=netkey # 此项新增
	dumpdir=/var/run/pluto/ # 此项新增
	virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10

include /etc/ipsec.d/*.conf
  • 新建/etc/ipsec.d/l2tp-ipsec.conf

内容如下

# left=172.26.245.47是本机内网ip
# 缩进使用TAB
conn L2TP-PSK-NAT
	rightsubnet=0.0.0.0/0
	dpddelay=10
	dpdtimeout=20
	dpdaction=clear
	forceencaps=yes
	also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
	authby=secret
	pfs=no
	auto=add
	keyingtries=3
	rekey=no
	ikelifetime=8h
	keylife=1h
	type=transport
	left=172.26.245.47 # 本机内网ip
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/%any
  • 设置用户名密码

vim /etc/ppp/chap-secrets,追加用户名密码

# 格式为:用户名 类型 密码 允许访问的ip
vpnuser * vpnpassword *
  • 设置预共享密钥PSK

vim /etc/ipsec.d/default.secrets,内容如下

# 将MyPSK替换为自己的秘钥
: PSK "MyPSK"
  • 防火墙配置
firewall-cmd --permanent --add-service=ipsec # 放行ipsec服务,安装时会自定生成此服务
firewall-cmd --permanent --add-port=1701/udp # xl2tp的端口,默认1701
firewall-cmd --permanent --add-port=4500/udp # ipsec的端口
firewall-cmd --permanent --add-port=500/udp # ipsec的端口
firewall-cmd --permanent --add-masquerade # 启用NAT转发功能,自建NAT网关时已经配置过
firewall-cmd --reload # 重载配置
  • 修改内核参数

vim /etc/sysctl.conf,追加以下内容

net.ipv4.ip_forward = 1 # ip转发,自建NAT网关时已经配置过
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.send_redirects = 0
  • 启动ipsec和xl2tpd
systemctl enable ipsec
systemctl start ipsec
systemctl enable xl2tpd
systemctl start xl2tpd
  • 安全组规则

按照下图配置,并将服务器A添加到此安全组

安全组规则

将vpn网段添加到白名单

分别在三台服务器执行以下命令

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='172.26.243.1/24' port protocol='tcp' port='0-65535' accept
firewall-cmd --reload

win10连接vpn

  • 打开网络和Internet设置,选择vpn选项卡,点添加vpn连接

添加vpn连接
按上图添加vpn连接

  • 适配器设置

适配器设置(安全)
适配器设置(网络)

  • 开启服务

IPsec Policy AgentRouting and Remote AccessRemote Access Connection Manager

启动以上三个服务,并改为自动启动

  • 修改注册表

注册表路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

新建ProhibitIpSec项,DWORD类型,值设置为1

新建AllowL2TPWeakCrypto项,DWORD类型,值设置为1

重启电脑

完成

连接vpn,即可通过内网访问访问服务器A、B、C

参考链接

centos7 搭建xl2tpd 服务
win10系统 L2TP连接尝试失败
centos7 阿里云专有网络利用firewalld自建NAT网关

人菜瘾大老薛
关注
专栏目录
关于使用阿里云centos7如何搭建L2TP用于学习2021年7月亲测
skyway16s的博客
07-20 4479
操作方法如下: 1-3是脚本操作,连接服务器后,直接复制,粘贴,回车, 4-7项可以直接回车默认 4-7项也可以自由设置 完全根据个人需要! 以下为操作的具体内容: 1.wget --no-check-certificate https://raw.githubusercontent.com/teddysun/across/master/l2tp.sh 2.chmod +x l2tp.sh 3.source l2tp.sh 4.输入本地IP段范围 5.输入PSK预共享密钥 6.输入第一个用户名
IPSEC L2TP连接阿里云平台,
qq_43595006的博客
04-19 253
遇到ping的通traceroute不通的情况需要查看安全组是否开启对应的端口,icmp报文默认开启。IPSEC L2TP连接阿里云平台,
远程出差办公必备之L2TP系列
最新发布
weixin_41284157的博客
08-21 272
前言在讲解虚拟专用网时候,提到过,分为两种组网方式,一种是站点到站点的,也就是之前我们一直在讲解的内容,另外一种就是client到站点的,也就是远程拨号系列,这就是接下来要讲解的内容了。作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)这种场景的特点为:客户端的地址不固定。且访问是单向的,即只有...
CentOS搭建L2TP-IPsec Server
hsai0206的博客
05-24 7989
CentOS搭建L2TP-IPsec SERVER 需求 无锡和扬州两地公司办公室需要使用SVN协作开发,通过V/P/N的方式将2边的办公网连接在一起。 一、环境准备 准备一台带有公网IP地址的云服务器,推荐用阿里云,好用便宜。 操作系统:CentOS7.6 1、开启tun cat /dev/net/tun 如果tun已经开启,则提示: cat: /dev/net/tun: File descriptor in bad state 如果没有以上提示,则执行以下命令: cd /dev mkdir net
Linux部署L2TP/IPsec服务
weixin_33800463的博客
11-30 335
环境 Linux+centos7.2 提示:首先保证你的服务器在外或能远征在外 方案1 1.直接大佬脚本. wget raw.githubusercontent.com/hwdsl2/setu… 2.下载后打开编辑前面的三个配置项 #vi vpnsetup_centos.sh YOUR_IPSEC_PSK=''//密钥 YOUR_USERNAME=''//密钥 YOUR_PASSWORD=''...
centos7 L2TP/ipsec 搭建
zerotoall的博客
06-07 5810
centos7 L2TP/ipsec 搭建
Ubuntu20.04 搭建L2TP+IPsec环境
qq_38933606的博客
10-23 5958
1) 编辑PPP配置文件(例如上文中的**/etc/ppp/options.xl2tpd**)。2)编辑**/etc/ipsec.secrets** , 设置ipsec的预共享秘钥。2)编辑**/etc/ppp/chap-secrets**,添加VPN访问用户密码。当客户端可以连接到VPN服务器时,需要添加路由才可以访问私有网络中的其它机器。编辑**/etc/xl2tpd/xl2tpd.conf**1)编辑**/etc/ipsec.conf**安装l2tp和strongswan。
阿里云ECS服务器部署django的方法
01-01
服务器安装的是Centos 系统。 uwsgi是使用pip安装的。 nginx是使用yum install nginx安装。 python 2.7, mysql 5.5使用 yum安装。 它们之间的逻辑关系如下: the web client <-> the web server <-> the ...
React项目部署阿里云服务器ECS
01-07
本来计划是将一个React工程部署在自己的Centos虚拟机中,但是因为一些网络和安全问题暂时停止了这个计划,于是就把该项目转移到阿里云服务器中,这篇笔记记载了如何从第一步开始直到浏览器通过IP可以访问你的React...
阿里云ECS环境下CentOS-linux 7.6系统Oracle 19C RAC双节点集群安装部署-优化-维护手册.pdf
12-17
阿里云ECS环境下的Oracle 19C RAC双节点集群安装部署是一个复杂的过程,涉及到多个环节和系统配置。在CentOS 7.6操作系统上搭建这样的环境,首先要确保满足Oracle 19C的软硬件需求。官方推荐的操作系统版本为Linux ...
阿里云ECS服务器入门使用流程(新手必看教程)
09-14
阿里云ECS(Elastic Compute Service)服务器阿里云提供的一种云计算服务,它允许用户按需获取计算资源,实现高效、灵活的云上计算。这篇新手必看教程将引导你了解如何入门使用阿里云ECS服务器,从选择合适的配置...
阿里云 ubuntu16.04搭建IPSec服务
09-14
IPSec是一组基于网络层的,应用密码学的安全通信协议族,这篇文章主要介绍了阿里云 ubuntu16.04搭建IPSec服务,需要的朋友可以参考下
阿里云的centos/linux服务器一键安装环境脚本
01-10
阿里提供的一键安装包,包括 nginx,php,mysql,vsftp,apache的一键安装及硬盘分区。测试过了,没有任何问题。
centos7配置L2TP的服务端教程
小丑鱼的专栏
05-28 2718
注:10.10.0.0/24跟/etc/xl2tpd/xl2tpd.conf的设置相对应,eth0要改成你局域网的网络名字。替换为如下内容,把下面0.0.0.0换成VPN server的IP(注意一定要有字符缩进,距离不要改变)(5) 编辑 /etc/xl2tpd/xl2tpd.conf 这一步可以跳过。(6)配置用户名,密码:编辑 /etc/ppp/chap-secrets。(3)修改/添加 /etc/sysctl.conf并生效。连接方式和pptp的vpn连接方式相同!生效上面的修改使用如下命令。
L2TP/IPSEC搭建详细步骤
热门推荐
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
IPsec
weixin_50887021的博客
07-03 1914
IPsec拓扑图基本配置图形界面第一台防火墙网络-接口g1/0/0配置静态路由策略名称IPsec第二台防火墙测试查错 拓扑图 基本配置 ISP sy sy ISP int g0/0/0 ip add 200.1.1.1 24 int g0/0/1 ip add 200.1.2.1 24 q int l0 ip add 1.1.1.1 32 q 防火墙 初始用户名:admin 密码Admin@123 修改过的密码为QWEasd123 sy sys FW1 int g0/0/0 ip add 192.168
阿里云与华为USG防火墙IPSEC对接
zhisibuyudem的博客
07-13 1504
阿里云与华为USG防火墙IPSEC对接
CentOS 7 搭建 L2TP/Ipsec
weixin_45150603的博客
07-29 1万+
L2TP具体的工作原理这里不再多说(可以自行百度或者GOOGLE),这里把经历过一些碰壁的问题在这里进行下梳理: 针对于阿里云的云服务器要在安全组上要把500、1701和4500的UDP端口放行 阿里云盾的内置服务要关闭。 我用的是foreign云,所以在云上不用做相应的安全策略,只需要加入防火墙策略。 配置文件里有涉及到TAB及空行的地方要注意! 构建环境:l2tp服务端 centos7.4...
IPsec/Openswan连接各地机房的内网
Phoenix's blog
02-24 3380
<br /> <br />各地机房逐渐增多,每个机房都有几台机器,只通过外网IP进行机房之间的数据传输很麻烦,所以考虑用VPN把所有机房连接起来,由于没有一个合适的中心点,于是选择各地机房两两配对连接。看了一下OpenVPN和IPsecIPsec因为是在内核中进行的,性能稍微好一些,配合Openswan配置也不复杂。<br /> <br />目前的2.6内核都自带了Netkey模式,虽然没有KLIPS配置功能强,但是也足够用了。<br /> <br />假设有三个机房,节点用的机器选择每个网段的第一个IP
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值