Centos7 搭建xl2tpd + ipsec vpn

已于 2024-05-10 10:39:10 修改
阅读量2.6k 收藏 13
点赞数 9
文章标签: 运维 网络 网络协议
于 2024-01-12 16:03:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36491545/article/details/135553587
版权
本文详细指导如何在Linux系统上手动安装和配置xl2tpd、ipsec(Libreswan),包括配置文件、IPsec验证、iptables规则,以及Windows客户端的连接设置,以实现远程访问和安全通信。
摘要由CSDN通过智能技术生成

一、安装xl2tpd(ppp+xl2tpd) 和 ipsec (libreswan)
由于yum源中没有xl2tpd包,我们需要手动下载xl2tpd rpm安装包。
链接:https://pan.baidu.com/s/1QMsOeEWLpfwbEagiUE4kow?pwd=vnjf
提取码:vnjf

安装 ppp 
yum install wget lsof net-tools vim nss nss-devel ppp ppp-devel iptables iptables-services -y

安装 xl2tpd
yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm -y

安装 libreswan
yum install -y libreswan

二、配置 ipsec (libreswan)
2.1 新建文件并且配置 ipsec

vim /etc/ipsec.d/ipsec-vpn.conf

没有 vim 命令直接安装 yum install -y vim 配置内容如下( 需要修改ip):

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left = 这里填写服务器的外网 IP
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

2.2 新建文件并配置共享密钥

vim /etc/ipsec.d/ipsec-vpn.secrets

文件内容如下

# 这里填写公网ip %any: PSK "这里填写一个字符串作为密钥"
0.0.0.0 %any: PSK "这是你的共享密钥"

设置开机启动

# 开机启动
systemctl enable ipsec
# 启动服务
systemctl start ipsec
# 查看日志
journalctl -u ipsec -n 100 -f

2.3 启动 IPsec 后,还需要对 IPsec 进行验证,以确保 IPsec 能够正常工作:

ipsec verify

如果输出如下:

Verifying installed system and configuration files

Version check and ipsec on-path                   	[OK]
Libreswan 3.25 (netkey) on 3.10.0-1160.el7.x86_64
Checking for IPsec support in kernel              	[OK]
 NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects              	[NOT DISABLED]

  Disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will act on or cause sending of bogus ICMP redirects!

         ICMP default/accept_redirects            	[NOT DISABLED]

  Disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will act on or cause sending of bogus ICMP redirects!

         XFRM larval drop                         	[OK]
Pluto ipsec.conf syntax                           	[OK]
Two or more interfaces found, checking IP forwarding	[OK]
Checking rp_filter                                	[ENABLED]
 /proc/sys/net/ipv4/conf/all/rp_filter            	[ENABLED]
 /proc/sys/net/ipv4/conf/br-1467d2b70deb/rp_filter	[ENABLED]
 /proc/sys/net/ipv4/conf/default/rp_filter        	[ENABLED]
 /proc/sys/net/ipv4/conf/docker0/rp_filter        	[ENABLED]
 /proc/sys/net/ipv4/conf/eth0/rp_filter           	[ENABLED]
 /proc/sys/net/ipv4/conf/ip_vti0/rp_filter        	[ENABLED]
 /proc/sys/net/ipv4/conf/veth81161d5/rp_filter    	[ENABLED]
 /proc/sys/net/ipv4/conf/vethf9c527b/rp_filter    	[ENABLED]
  rp_filter is not fully aware of IPsec and should be disabled
Checking that pluto is running                    	[OK]
 Pluto listening for IKE on udp 500               	[OK]
 Pluto listening for IKE/NAT-T on udp 4500        	[OK]
 Pluto ipsec.secret syntax                        	[OBSOLETE]
  003 WARNING: using a weak secret (PSK)
Checking 'ip' command                             	[OK]
Checking 'iptables' command                       	[OK]
Checking 'prelink' command does not interfere with FIPS	[OK]
Checking for obsolete ipsec.conf options          	[OK]

ipsec verify: encountered 19 errors - see 'man ipsec_verify' for help

验证结果中会出现 各种结果。但是这里看不出这些字母颜色的区别,在 shell 中,分为绿色、红色、黄色。其中绿色、黄色不用管、红色需要解决错误。分别执行对应的命令(此处可能不同用户出现的问题不一致,不全的百度搜索)

#下方错误 
NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects              	[NOT DISABLED]
Disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will act on or cause sending of bogus ICMP redirects!
         ICMP default/accept_redirects            	[NOT DISABLED]
# 执行对应的命令(一次性复制完进行执行)
for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/send_redirects
    echo 0 > $each/accept_redirects
done

# ===============================================================================================================================
# 下方错误
Checking rp_filter                                	[ENABLED]
 /proc/sys/net/ipv4/conf/all/rp_filter            	[ENABLED]
 /proc/sys/net/ipv4/conf/br-1467d2b70deb/rp_filter	[ENABLED]
 /proc/sys/net/ipv4/conf/default/rp_filter        	[ENABLED]
 /proc/sys/net/ipv4/conf/docker0/rp_filter        	[ENABLED]
 /proc/sys/net/ipv4/conf/eth0/rp_filter           	[ENABLED]
 /proc/sys/net/ipv4/conf/ip_vti0/rp_filter        	[ENABLED]
 /proc/sys/net/ipv4/conf/veth81161d5/rp_filter    	[ENABLED]
 /proc/sys/net/ipv4/conf/vethf9c527b/rp_filter    	[ENABLED]
# 执行对应命令(上面的每一行都要执行  echo 0 >,我后面的省略了,)
echo 0 >/proc/sys/net/ipv4/conf/vethf9c527b/rp_filter

修改完成后,再进行一次 ipsec 验证即可看到结果,所有的输出项都变成绿色、黄色再执行之后步骤

2.4 开启 IPv4 的 ip_forward,这个选项用于做 IP 包的转发:

sysctl net.ipv4.ip_forward=1

sysctl -p

三、配置 xl2tpd
vi /etc/xl2tpd/xl2tpd.conf

# 注意这个 ip range 不要与本地 ip 和服务器的其他 ip 冲突
# 这是一个例子:
ip range = 192.168.79.100-192.168.79.200 #这里是VPN 分配给客户端的ip地址池
local ip = 192.168.79.1	# 这里是 VPN 服务器在 VPN 网络中的ip,不是公网ip

vi /etc/ppp/options.xl2tpd

# 修改 ms-dns,可以修改为其他合适的 dns 地址
ms-dns 114.114.114.114

# 增加 require-mschap-v2 选项,否则 windows 无法连接
require-mschap-v2

# 注释以下两个参数
# crtscts
# lock

# 增加日志保存路径 没有文件夹得手动创建
logfile /home/logs/vpn/xl2tpd.log

四、配置PPP
vim /etc/ppp/chap-secrets

# 按文件中说明填写用户名密码即可
# 例如
# 用户名	*	密码  分配给用户的ip(如果是* 则会是动态ip /etc/xl2tpd/xl2tpd.conf 这个里面配置了ip池)
# Secrets for authentication on server using CHAP
# client        server  secret                  IP addresses
test            *       "test"             192.168.79.100

# 下面的配置也得需要 不然服务会一直报错找不到密码
# Secrets for authentication on client using CHAP
# client        server  secret                  IP addresses
*               test     "test"

启动

# 开机启动
systemctl enable xl2tpd
# 启动服务
systemctl start xl2tpd
# 查看日志
journalctl -u xl2tpd -n 100 -f

五 配置防火墙

iptables -t filter -A INPUT -p udp -m multiport --dports 500,4500,1701 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

六、window 连接
第一次连接需要修改 注册表 ,
Win+R 输入 regedit 然后找到 这个变量 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
右键 新建 DWORD (32位)值
AssumeUDPEncapsulationContextOnSendRule=00000002
在这里插入图片描述
新建完保存之后就重启电脑,然后进行下图连接VPN
在这里插入图片描述

V六块腹肌的程序员
关注
CentOS 7 搭建 L2TP/Ipsec
weixin_45150603的博客
07-29 1万+
L2TP具体的工作原理这里不再多说(可以自行百度或者GOOGLE),这里把经历过一些碰壁的问题在这里进行下梳理: 针对于阿里云的云服务器要在安全组上要把500、1701和4500的UDP端口放行 阿里云盾的内置服务要关闭。 我用的是foreign云,所以在云上不用做相应的安全策略,只需要加入防火墙策略。 配置文件里有涉及到TAB及空行的地方要注意! 构建环境:l2tp服务端 centos7.4...
Centos7搭建L2TP与Win10连接测试
CodeSunShines
08-28 5611
看了很多文章,也踩了很多坑,可能因为环境的不同导致,但也有一部分是文章本身就有很多错误,还好最终自己把这浑水蹚过去了 1、安装EPEL源 yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man yum install -y xl2tpd yum install -y libreswan 2、修改ipsec配置文件 打开文件 vim /etc/ipsec.conf 在conf
centos7搭建基于strongswan ipsec的 l2tp服务器
08-22
centos7搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
基于Centos7安装PPTP-VPN,亲测有效。
l1677516854的博客
02-05 3642
临近节假日大批量员工离岗,部分部署在内网的业务没有进行公网映射,需要进行访问,如果每一个业务都进行映射也不是很安全。这里需要注意的是sysctl.conf打开后只有上半部分蓝色的注释需要将下面的整段配置粘贴进来,否则可能导致拨号连接失败。以Windows10为例,打开网络设置找到VPN,添加VPN连接,具体设置如下。ONBOOT=yes ##这里配置网卡启用把no改为yes。IPADDR=192.168.1.254 ##这里配置静态IP地址。重启iptables、设置开机自启动。
Centos7安装xl2tpd客户端
最新发布
SDJN_ONE的博客
08-21 1040
因需要访问公司的服务器获取所需数据,运营商提供的公网IP会出现间歇性访问卡顿,导致业务有时会超时,故公司服务器安装L2TP服务端,机房安装客户端进行数据的交互。
centos7 L2TP/ipsec 搭建
zerotoall的博客
06-07 5843
centos7 L2TP/ipsec 搭建
CentOS7.2 安装L2TP/IPSec 服务端/客户端 ( libreswan+xl2tpd
03-02
配套说明: http://blog.csdn.net/gogoytgo/article/details/79420745
centos7安装xl2tpd
奔跑的犀牛
03-19 9901
1.先看看你的主机是否支持pptp,返回结果为yes就表示通过。 modprobe ppp-compress-18 && echo yes 2.是否开启了TUN,有的虚拟机主机需要开启,返回结果为cat: /dev/net/tun: File descriptor in bad state。就表示通过。 cat /dev/net/tun 3安装EPEL源(CentOS...
CentOS7搭建OpenVPN
gyfghh的博客
01-15 5002
参考文档。
centos 7安装openvpn服务端,以及用到的一些问题。
wei042的博客
04-12 2322
安装centos 7系统,配置好局域网静态ip,然后在公司路由器配置端口映射,访问代理服务器,记录的ip地址是代理服务器的ip。
Centos 7 搭建L2TP/Ipsec
lijun_work的博客
12-15 5982
1. 先看看你的主机是否支持pptp,返回结果为yes就表示通过。 modprobe ppp-compress-18 && echo yes 2.是否开启了TUN,有的虚拟机主机需要开启,返回结果为cat: /dev/net/tun: File descriptor in bad state,就表示通过。 cat /dev/net/tun 3.安装EPEL源(CentOS7官方源中已经去掉了xl2tpd) yum install -y epel-release 4.安装xl2tpd和l
centos7 L2TP/ipsec ***搭建
weixin_34400525的博客
01-18 7704
公司原来的服务器是pptp+freeaduis。后来由于苹果更新系统IOS无法接入PPTP模式服务器,所以研究了这个L2TP/IPSEC的V×NL2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多...
CentOS_7虚拟机搭建L2TP和PPTP服务器
m0_71817514的博客
01-31 1301
在CentOS_7环境同时搭建L2TP和PPTP服务器
推荐开源项目:xl2tpd - 强大的L2TP协议实现
gitblog_00022的博客
05-21 1178
推荐开源项目:xl2tpd - 强大的L2TP协议实现 项目地址:https://gitcode.com/gh_mirrors/xl/xl2tpd 1、项目介绍 xl2tpd是一个按照RFC 2661定义的Layer 2 Tunneling Protocol(L2TP)的实现。这个项目旨在提供一种方法,使PPP协议能够通过UDP进行隧道传输。在ISP领域,xl2tpd常用于将用户的拨入会话从调制解...
CentOS 7上搭建VPN服务器
毛豆的博客
03-27 1744
这是一个基本的流程,你可能需要根据具体情况调整步骤。务必参考最新的OpenVPN文档和CentOS文档,以获取最新和更详细的指导。客户端配置文件需要包括客户端密钥、证书和CA证书。这些文件需要从服务器复制到客户端,并确保客户端配置文件指向这些文件的正确位置。然后,从样板配置文件创建你的OpenVPN服务器配置。文件,确保关键的证书和密钥路径正确,还可能需要根据你的需求调整其他配置。生成服务器密钥和证书,记得将。将必要的证书和密钥文件复制到。为客户端生成密钥和证书,将。
centos7搭建OpenVpn服务实现通信
czpp666666的博客
07-08 825
如何知道是选择53还是67,大部分的校园网只是因为没认证把你的流量重定向了,DNS解析服务并没有失效,在cmd中使用域名解析,如果成功解析说明53端口可用。想要通过哪一个端口进行vpn连接,这个看应用场景,如果是需要越过校园网认证上网就需要选择53或者67这类端口就行,这里模拟校园网认证,客户端安装openvpn,把aa.open文件复制到openvpn的config文件夹中。将其拷贝到需要使用vpn连接的客户端使用ssh客户端的sz命令即可。由于使用的是私网地址所以问咱们要公网,直接回车就行。
centOS7下linux系统搭建pptp协议的vpn
weixin_55701556的博客
08-09 1181
所有的配置都完成了,连接之后如果是在内网的话网速可能会很慢。2.修改localip和remoteip的ip地址。1.输入以下命令,按G到最底下。4.给虚拟网卡配ip地址。2.下载pptp协议包。3.添加一块虚拟网卡。
如何在Cent OS 7上设置和配置OpenVPN服务器
zq13646205435的博客
08-01 5573
如果该文件丢失,您就不能再信任来自该证书颁发机构的任何证书,如果任何人能够访问该文件,他们就可以签署新的证书并在您不知情的情况下访问您的VPN。为了避免每次需要生成证书时都要重新配置,您可以修改Easy RSA的配置,以定义它将用于证书字段的默认值,包括您的国家、城市和首选电子邮件地址。一台CentOS 7服务器,一个sudo非root用户,一个用firewalld设置的防火墙,您可以通过我们的CentOS 7服务器初始设置指南和新CentOS 7服务器的其他建议步骤来实现。将这些文件复制到您的客户机上。
CentOS 搭建V皮N服务,一次性成功,收藏了
热门推荐
民工哥的博客
01-26 5万+
点击上方“民工哥技术之路”,选择“设为星标”回复“1024”获取独家整理的学习资料!VPN 介绍虚拟私人网络(英语:Virtual Private Network,缩写为VPN)是一种常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值