用l2tp(不带ipsec)的方式实现云服务器到机器人的主动访问

已于 2023-03-24 17:45:42 修改
阅读量1k 收藏 1
点赞数
分类专栏: ubuntu和shell相关 文章标签: L2TP
于 2023-03-22 15:20:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44445507/article/details/129710705
版权

最后更新于2023年3月24日 09:36:40

v*n不等于翻墙!

v*n不等于翻墙!

v*n不等于翻墙!

项目背景和概念定义

机器人使用5g模块(跟个路由器似的,能插一张5g电话卡,可以理解为手机开移动数据)上网;
5g卡是定向卡,定死了只能访问某个外网ip,这里设定是只能访问我们的云服务器;

阿里云服务器,下面简称CLD,因为这里跟v*n服务器很容易混淆;

v*n服务器,是一个托管在docker上的,负责提供ipsec-PSK,用户名,密码来让客户端连接到它;这里的客户端就是小车、红绿灯啥的。

要解决的问题

类似于我能上百度,但是百度上不了我:我就想让CLD主动访问小车,但是由于上面提到的限制,CLD是找不到小车的ip的。

大体思路

在CLD上使用hwdsl2/ipsec-vpn-server,创建基于docker容器的v*n服务器,再将机器人和云服务器设成客户端;

第一步:确定做v*n服务器的开源库

选择hwdsl2/ipsec-vpn-server做v*n服务器。

第二步:加深协议了解

经过多方拉扯,学到了一点姿势:
L当我们提到L2TP的时候,一定要分清,是L2TPv2,还是L2TP over ipsec,还是L2TPv3。
1、v3在商用上很少,暂不做考虑;
2、L2TPv2在很多语境下(尤其是跟深谙此道的5g模块供应商交流的情况下)也被简称为L2TP,是最普通的vn协议,如果发现连接这个L2TP的vn时,没地方填写ipsec pre-shared key,那八成是这种;
3、ipsec和L2TP一样,都是vn协议,L2TP over ipsec相当于在L2TP的基础上多包装了一层ipsec,相当于两层vn,对信息进行了加密,此时就需要用到ipsec pre-shared key(PSK)进行额外验证。

第三步:修改v*n服务器源码 & 编译docker镜像

机器人使用的5g模块仅支持L2TP协议(不使用ipsec的这种),但是hwdsl2/ipsec-vpn-server这个库考虑到安全性,是默认不支持L2TP-without-ipsec的,因此我们要对源码做些修改,请完全参考该github-issue,从源码开始编译docker镜像:l2tp without IPSec
总结一下是:

# 在docker-ipsec-vpn-server/run.sh里面,删除这两句
$ipi 1 -p udp --dport 1701 -m policy --dir in --pol none -j DROP 
$ipi 6 -p udp --dport 1701 -j DROP 
# 在docker-ipsec-vpn-server/Dockerfile.debian里面,暴露1701端口
EXPOSE 500/udp 4500/udp 1701/udp

里面有个小坑是:在docker build一个debian-based的镜像时,应该修改源码中的Dockerfile.debian这个文件,而不是Dockerfile
编译语句是:

docker build -f Dockerfile.debian -t ${image-tag-name}:${image-tag-version} .

第四步:根据docker镜像创建容器

这是我编译好的镜像:
在这里插入图片描述
不使用ipsec的情况下,是不支持--network=host这种网络模式的,不然我就不用把CLD设置成客户端了。

创建vpn.env文件,在里面设置PSK,用户名,密码,路径问题可以参考github上的内容:

VPN_IPSEC_PSK=${32位以下随便填一个字符串}
VPN_USER=${yonghuming}
VPN_PASSWORD=${mima}

运行容器的命令是:sudo docker run -d --privileged -p 1701:1701/udp -p 500:500/udp -p 4500:4500/udp --name vpn-container --restart=always --env-file ./vpn.env -v /lib/modules:/lib/modules:ro l2tp-no-ipsec
注意要把500, 1701, 4500端口全部打开,不要被防火墙拦截了。

完成后,用sudo docker logs vpn-container可以看到PSK,用户名,密码,拿这三个就可以在客户端登录力!不建议windows和linux登录,因为还要做额外配置;手机登录时建议使用高贵的华为或者荣耀,因为小米跟红米不支持L2TP,蒸虾头。

第五步:额外步骤,将CLD配置为客户端

这一步是因为,在默认的bridge模式下,从CLD无法直接ping到小车:
vn服务器的网络如图:
在这里插入图片描述
~~这里的ppp1 interface就是一个点到点的vn,可以把192.168.42.11看作是机器人的ip,而因为netmask是32,所以再怎么设置路由,从CLD也是没办法ping通机器人的。~~

将CLD设置为客户端,请参考:https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md
添加路由规则:route add -net 192.168.42.0 netmask 255.255.255.0 gw 192.168.42.1

最新更新:上述方法广义上可行,但是狭义上,不适合我们使用的5g模块,因此直接把机器人配成v*n客户端

DONE

以下内容均已废弃,用这个路由转发的方式转了半天搞不出来

阿里云主机通过Docker安装L2TP
按照这个来,但是创建容器的地方改一下。

在做l2tp 服务器映射,用桥接的方式把容器内部的客户端ip映射出来

sudo docker run --name l2tp-vpn-server --env-file ./vpn.env --net=host --restart=always -p 500:500/udp -p 4500:4500/udp -d --privileged hwdsl2/ipsec-vpn-server

创建容器的时候用这个来建。
如果需要不通过ipsec的l2tp,可以参考这个issue:https://github.com/hwdsl2/docker-ipsec-vpn-server/issues/191

苦涩花开5486
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenL2TP-开源
05-02
OpenL2TP是专门为Linux编写的L2TP客户端/服务器。 它被设计用作企业L2TP VPN服务器或用于基于Linux的商业嵌入式网络产品。
SSL,L2TP,IPSEC神州数码
03-20
SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码
通过Docker安装L2TP
qq_44539351的博客
03-10 7821
一. 获取镜像 # docker pull fcojean/l2tp-ipsec-vpn-server 二. 创建一个vpn.env文件 # vim /home/vpn.env VPN_IPSEC_PSK=这里填一个随机字符串,随便输吧,32位以内 VPN_USER=这里输入vpn的登录名 VPN_PASSWORD=这里输入vpn的登录密码 三. 容器启动之前,在宿主机中先执行 # sudo modprobe af_key 四.运行容器 docker run \ --name l2tp-vp
运维最新1分钟搭建VPN服务器_使用vp连接服务器 csdn,2024年Linux运维者未来的出路在哪里
最新发布
2401_84140485的博客
05-13 439
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
基于docker搭建l2tp
03-27 657
安装指南参考这里 https://github.com/hwdsl2/docker-ipsec-vpn-server 我使用时犯了两个问题 1,我自己写的docker-compose.yml文件,端口映射的是500/udp,4500/udp,我以为这样与500:500/udp,4500:4500/udp等效,后来查到没有冒号是随机映射的 2,我windows系统里的vpn客户端是有问题的,...
解决:L2TP服务器没有响应。请尝试重新连接。如果仍然有问题,请验证您的设置并与管理员联系。【聪明人都知道的】
weixin_44695611的博客
05-21 1万+
在连接公司vpn的时候一直报这个错误,先仔细确认服务器地址没有问题 解决方法: 在/etc/ppp目录下新建options文件:sudo vim /etc/ppp/options 然后按字母“i”(就是进入可编辑模式 可编辑options文件) 输入内容: plugin L2TP.ppp l2tpnoipsec 然后按 “esc” 发现光标在最下闪烁,继续输入:wp :wp (也就是保持并退出) 再重新连接,就好了 ...
在Linux中通过docker安装宝塔面板
weixin_43268590的博客
09-26 657
先在Linux中手动安装docker,然后在docker中安装宝塔面板,并进行docker网络端口映射。
centos7搭建基于strongswan ipsecl2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
ipsec+l2tp安装配置及插件
06-01
linux下ipsec+l2tp安装配置及插件
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
NetworkManager-l2tp:对NetworkManager的L2TPL2TPIPsec支持
02-22
NetworkManager-l2tp是用于NetworkManager 1.8及更高版本的VPN插件,它支持L2TPL2TP / IPsec(即,基于IPsecL2TP)连接。 对于L2TP支持,它使用xl2tpd( ) 为了获得IPsec支持,它使用以下任一方法: 利伯...
将手机和服务器连到同一网络下
MUZI的博客
06-23 1284
在该命令中,我们使用 docker run 的 -v 选项来创建一个名为 ikev2-vpn-data 的新 Docker 卷,并且将它挂载到容器内的 /etc/ipsec.d 目录下。如果你不想启用 IKEv2 而仅使用 IPsec/L2TPIPsec/XAuth (“Cisco IPsec”) 模式连接到 VPN,可以去掉上面 docker run 命令中的第一个 -v 选项。最后你可以到 这里 检测你的 IP 地址,应该显示为你的 VPN 服务器 IP。连接成功后,会在通知栏显示图标。
【逗老师的小技巧】我算是把Windows IPSec L2TP的问题玩明白了
热门推荐
逗老师的博客
02-07 1万+
关于这个问题! 网上一顿文章瞎叽霸写的都是些什么叽霸玩意! 如果你是自己搭建的IPSec L2TP服务器,而且你又在其他地方折腾了半天Windows连接L2TP的问题,那么这篇文章适合你! 今天,我们来好好说说Windows下的L2TP over IPSec的各种问题。 目前看来,默认配置下,几乎所有的windows都无法顺利连接L2TP over ipsec,解决Windows连接L2TP有两种方案, 方案一:直接禁用ipsec协商 方案二:允许L2TP唤醒ipsec,同时修改ipsec协商参数 网
VPN通信协议—L2TP协议之L2tpv3和L2tpv2的协议状态机区别
weixin_45851865的博客
05-05 1875
协议状态机对协议的开发至关重要,开发者必须严格遵守RFC标准规定的状态机流程。本文主要讲解L2TP协议的L2tpv3和L2tpv2的协议状态机及二者的对比(专业术语见文末附录)。 L2TP状态机主要指控制层面的状态机,分为隧道管理状态机和会话管理状态机,分别对应隧道建立维护和会话建立维护部分。 L2TP协议支持两个对端设备之间多隧道多会话的建立,如果继续深入挖掘到数据层面,则还需要根据具体协议深挖如PPP会话的状态机关联到L2tpv2会话的状态机等。因而状态机的维护较为复杂,开发时需要详细分析。
VPN通信协议—L2TP协议之L2tpv3和L2tpv2的主要区别(个人总结)
weixin_45851865的博客
05-04 1855
笔者前期开发过L2tpv2协议,近期在开发L2tpv3协议,本文主要介绍二者的历史演进过程和主要区别。 总体而言,目前市面上的路由器交换机等网络通信设备多为支持L2tpv2为主,L2tpv3一般需要单独购买License,部分设备或在较高级别的城域路由器(如HW的NE40X/AR1000V系列)单独支持L2tpv3。网上可接触到的L2tpv3资料非常少,笔者在查阅大量学术论文和操作相关设备后总结本文,欢迎阅读。
Mac连接L2TP访问公司内网的服务失败,能ping通,但是无法访问服务
格子的博客
03-08 3904
`Mac` 使用 `L2TP` 连接后,发现可以 `Ping` 通,访问内网具体的网站时就是打不开,访问外网的站点又可以使用,按照网上的文档移动网卡优先级以及添加删除路由等,都没有效果。发现这个问题基本在 `M1` `Monterey 12` 用户上。
docker应用篇(1):如何搭建VXXXN
不积跬步,无以至千里
03-17 6144
文章目录ipsec-vvv-server快速搭建VXXXN启动与配置测试 ipsec-vvv-server快速搭建VXXXN 启动与配置 在服务器上执行此命令 docker run \ --name ipsec-vpn-server \ --restart=always \ -e VPN_IPSEC_PSK=你的PSK密码 \ -e VPN_USER=你的VPN用户名 \ -e VPN_PASSWORD=你的VPN密码 \ -p 500:500/udp \
L2TPv3和L2TPv2的主要区别
A19771979的专栏
09-06 524
L2TPv3和L2TPv2的主要区别
l2tp/ipsec 绑定域名
05-20
要绑定域名到 L2TP/IPSec VPN 上,您需要具备以下条件: 1. 一个域名:您需要拥有一个域名,例如 example.com。 2. 一个公共 IP 地址:您需要一个公共 IP 地址,用于将域名映射到您的 VPN 服务器上。 3. 一个 SSL 证书:为了确保通信的安全性,您需要一个 SSL 证书。 4. 配置 DNS:您需要将域名指向您的公共 IP 地址,这样您的客户端才能够通过域名连接到 VPN 服务器。 一旦您准备好了以上条件,您可以按照以下步骤配置 L2TP/IPSec VPN 绑定域名: 1. 安装和配置 L2TP/IPSec VPN 服务器。 2. 从 SSL 证书颁发机构处获取 SSL 证书,并将其安装到您的 VPN 服务器上。 3. 配置您的 DNS 记录,将域名指向您的公共 IP 地址。 4. 在您的 VPN 客户端上配置域名,以便客户端可以通过域名连接到 VPN 服务器。 请注意,不同的 VPN 服务器软件可能有不同的配置步骤。您需要根据您使用的软件和操作系统进行相应的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值