ubuntu linux 下建立L2TP 服务端

一、ipsec

1、源码下载 openswan 使服务器支持ipsec

https://download.openswan.org/openswan/

2、安装 openswan-2.6.50.tar.gz

a、tar -vxf openswan-2.6.50.tar.gz

b、从文件中openswan-2.6.50 README的
1. The GNU Math Precision Library:

   Debian package names: libgmp3, libgmp3-dev
   Rpm package names:    gmp, gmp-devel
   
知道要安装几个库,这里只安装了一个libgmp3-dev

c、apt-get install libgmp3-dev

3、编译

make programs install

4、配置文件

a、备份
mv /etc/ipsec.conf /etc/ipsec.conf.back 
修改

vi /etc/ipsec.conf

nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey
 
conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
 
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=xxx.xxx.xxx.xxx 
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

上面有一行是left=xxx.xx.xx.xx,这里要把left的值改为你的服务器的ip地址,外网可以访问的IP地址。

b、添加文件/etc/ipsec.secrets 

xxx.xxx.xxx.xxx %any: PSK "YourPsk"
上面的xxx.xxx.xxx.xxx是服务器的公网IP,而后面的"YourPsk"中的YourPsk就是密钥。L2TP比PPTP多了一个密钥项,这也是它比PPTP更安全的原因之一。这个密钥其实就是一个密码,不同于用户的登录密码,它相当于一个设备之间通信的密钥

你可以改为自己的任意字符串。客户端登录VPN的时候,需要这个PSK。

c、vi /etc/sysctl.conf 添加 

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1

执行生效 

sysctl -p

5、启动

ipsec setup restart

ipsec verify

root@ubuntu16:/etc# ipsec verify
Checking if IPsec got installed and started correctly:

Version check and ipsec on-path                         [OK]
Openswan U2.6.50/K4.4.0-127-generic (netkey)
See `ipsec --copyright' for copyright information.
Checking for IPsec support in kernel                    [OK]
 NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects                    [OK]
         ICMP default/accept_redirects                  [OK]
         XFRM larval drop                               [OK]
Hardware random device check                            [N/A]
Checking rp_filter                                      [ENABLED]
 /proc/sys/net/ipv4/conf/all/rp_filter                  [ENABLED]
 /proc/sys/net/ipv4/conf/ens33/rp_filter                [ENABLED]
Checking that pluto is running                          [OK]
 Pluto listening for IKE on udp 500                     [OK]
 Pluto listening for IKE on tcp 500                     [NOT IMPLEMENTED]
 Pluto listening for IKE/NAT-T on udp 4500              [OK]
 Pluto listening for IKE/NAT-T on tcp 4500              [NOT IMPLEMENTED]
 Pluto listening for IKE on tcp 10000 (cisco)           [NOT IMPLEMENTED]
Checking NAT and MASQUERADEing                          [TEST INCOMPLETE]
Checking 'ip' command                                   [OK]
Checking 'iptables' command                             [OK]

ipsec verify: encountered errors

这个时候,你可能就已经可以看到正常的信息了

二、ppp

一般服务器安装了,没有执行下面安装命令

apt-get install pptpd

修改

vi /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
2018    *       123     *
2017    *       456     *

2018 、2017 是客户端填写的登录名,123 、456是客户端填写的登录密码。每个空格都要用Tab键隔开。

三、xl2tpd

1、安装

就像pptp和pptpd一样,L2TP也依赖于xl2tpd。

apt-get install xl2tpd

如果更新不了,下载源码(xl2tpd-1.3.10.tar.gz)自己安装。

https://www.xelerance.com/archives/147

编译出错,需要安装下面的库。

apt-get install libpcap0.8-dev libpcap0.8 libcap-dev

make install 要修改makefile 文件的安装路径  xl2tpd /etc/init.d/ ,还有其他的一些文件,这边我没有试过,直接是

apt-get install xl2tpd ,这个安装完xl2tpd 是在 /etc/init.d/ 目录里。

2、修改配置

a、vi /etc/xl2tpd/xl2tpd.conf

[global]
ipsec saref = yes
listen-addr = xxx.xxx.xxx.xxx
[lns default]
ip range = 192.168.223.100-192.168.223.200
local ip = 192.168.223.10
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

xxx.xxx.xxx.xxx也要改成你自己的服务器外网IP ;这个主要在使用命令DEBUG: xl2tpd -D (debug 模式),可以监听客户端的登录。

b、vi /etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns  114.114.114.114
ms-dns  8.8.8.8
ms-wins 192.168.1.2
ms-wins 192.168.1.4
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

3、启动

service xl2tpd restart

4、iptables

iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPT
iptables -A FORWARD -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -m policy --dir out --pol none -j MASQUERADE
iptables -A FORWARD -i ppp+ -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m policy --dir in --pol ipsec -p udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.223.0/24 -o eth0 -j MASQUERADE

可以直接在终端执行每条命令,也可以把它写入文件vi /etc/rc.local

最后执行

service iptables save
service iptables restart

到这里所有的配置完成。

四、通过下面命令可以控制l2tp serve

Start: /etc/init.d/xl2tpd start
Stop: /etc/init.d/xl2tpd stop
Restart: /etc/init.d/xl2tpd restart
DEBUG: xl2tpd -D (debug 模式)

五、总结

openswan(ipsec) : 提供一个密钥
ppp :提供用户名和密码
xl2tpd : 提供L2TP服务
sysctl : 提供服务器内部转发

iptables : 提供请求从服务器内部转向外部,外部响应转向服务器内部

六、window 客户端的配置

1、首先在Windows上建立这个客户端。


2、双击


3、点击属性


框框里的是服务器的ip地址

4、点击安全


VPN:类型选择L2TP,在点击高级设置


密钥,添加刚才服务器配置的 YourPsk,这个值可随便更改,只要跟服务器保存一致就行,点击确定。

5、连接


用户名:2018或2017 填写服务器中有配置的就行。

密码:相同操作。

参考文章:https://segmentfault.com/a/1190000006125737


  • 3
    点赞
  • 0
    评论
  • 24
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

参与评论 您还未登录,请先 登录 后发表或查看评论
©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页

打赏作者

微尘hjx

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值