centos l2tp/ipsec *** 安装配置详解

centos l2tp/ipsec *** 安装配置详解

说到×××，就会想到google，满心的疼。以前写过一篇关于***的文单，请参考：centos5.5 *** 安装配置详解，这篇文章是讲pptp的，pptp走的是tcp，l2tp走的是udp。pptp用的时间长了，就会间断性的被墙。

一.安装xl2tpd openswan

1. # yum install xl2tpd openswan ppp  

如果没有安装包，安装epel源，在这里不多说了，在博客里面搜索一下

二.配置ipsec

1.配置ipsec.conf

1. [root@network ipsec.d]# cat /etc/ipsec.conf  

2. version 2.0  

3.   

4. config setup  

5.  nat_traversal=yes  

6.  virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12  

7.  oe=off  

8.  protostack=netkey  

9.   

10. conn L2TP-PSK-NAT  

11.  rightsubnet=vhost:%priv  

12.  also=L2TP-PSK-noNAT  

13.   

14. conn L2TP-PSK-noNAT  

15.  authby=secret  

16.  pfs=no  

17.  auto=add  

18.  keyingtries=3  

19.  rekey=no  

20.  ikelifetime=8h  

21.  keylife=1h  

22.  type=transport  

23.  left=192.168.10.202      //×××服务端IP，填外网IP就行了  

24.  leftprotoport=17/1701  

25.  right=%any  

26.  rightprotoport=17/%any  

2.设置 PSK共享密钥

1. [root@network ipsec.d]# cat /etc/ipsec.secrets  

2. 192.168.10.202 %any: PSK "sec123"  

外网IP，%any表示任何人可以连接，共享密码sec123，注意双引号

3.调整网络策略

1. # vim /etc/sysctl.conf  

2. net.ipv4.ip_forward = 1    //将0改为1  

3.   

4. # sysctl -p   //立马生效  

开启转发

1. # vim /etc/ipsec.d/net.sh  //加入以下内空  

2. for each in /proc/sys/net/ipv4/conf/*  

3. do  

4. echo 0 > $each/accept_redirects  

5. echo 0 > $each/send_redirects  

6. done  

7.   

8. # chmod +x /etc/ipsec.d/net.sh  

9. # sh /etc/ipsec.d/net.sh  

4.启动ipsec，并验证

1. [root@network ipv4]# /etc/init.d/ipsec start    

2.   

3. [root@network ipv4]# ipsec verify  

4. Checking your system to see if IPsec got installed and started correctly:  

5. Version check and ipsec on-path                                 [OK]  

6. Linux Openswan U2.6.32/K2.6.32-431.el6.x86_64 (netkey)  

7. Checking for IPsec support in kernel                            [OK]  

8.  SAref kernel support                                           [N/A]  

9.  NETKEY:  Testing for disabled ICMP send_redirects              [OK]  

10. NETKEY detected, testing for disabled ICMP accept_redirects     [OK]  

11. Checking that pluto is running                                  [OK]  

12.  Pluto listening for IKE on udp 500                             [OK]  

13.  Pluto listening for NAT-T on udp 4500                          [OK]  

14. Checking for 'ip' command                                       [OK]  

15. Checking /bin/sh is not /bin/dash                               [OK]  

16. Checking for 'iptables' command                                 [OK]  

17. Opportunistic Encryption Support                                [DISABLED]  

ipsec verify如果没有出现failed，就说明ipsec安装成功了。

三.配置xl2tpd

1. [root@network ipv4]# cat /etc/xl2tpd/xl2tpd.conf  

2. [global]  

3. ipsec saref = no  

4.   

5. [lns default]  

6. local ip = 192.168.10.202             //服务端IP，  

7. ip range = 192.168.0.128-192.168.0.254   //客户端IP段  

8. refuse chap = yes  

9. refuse pap = yes  

10. require authentication = yes  

11. ppp debug = yes  

12. pppoptfile = /etc/ppp/options.xl2tpd  

13. length bit = yes  

14.   

15. [root@network ipv4]# /etc/init.d/xl2tpd start  //启动  

四.配置ppp

1.配置options.xl2tpd

1. [root@network ipv4]# cat /etc/ppp/options.xl2tpd  

2. require-mschap-v2  

3. ms-dns 8.8.8.8  

4. ms-dns 8.8.4.4  

5. asyncmap 0  

6. auth  

7. crtscts  

8. lock  

9. hide-password  

10. modem  

11. debug  

12. name l2tpd  

13. proxyarp  

14. lcp-echo-interval 30  

15. lcp-echo-failure 4  

2.添加×××用户

1. # cat >>/etc/ppp/chap-secrets<<EOF  

2. > ***user * 111111 *  

3. > EOF  

五.配置iptables snet

1. # iptables -t nat -I POSTROUTING 1 -j SNAT -s 192.168.0.0/24 --to 192.168.10.202  

2. # iptables-save  

六.加入开机启动

1. # chkconfig ipsec on  

2. # chkconfig xl2tpd on  

3. # cat >>/etc/rc.local<<EOF  

4. sh /etc/ipsec.d/net.sh  

5. EOF  

看一下，win7连接的效果图，l2tp客户 端连接比较麻烦的。下篇文章会详细的说一下。

l2tp win7连接成功

转载请注明
作者:海底苍鹰

转载于:https://blog.51cto.com/soulful/1881882