linux搭建ipsec/xl2tpd

最新推荐文章于 2024-09-24 14:50:44 发布
最新推荐文章于 2024-09-24 14:50:44 发布
阅读量5.6k 收藏 15
点赞数 1
分类专栏: 代理服务器 文章标签: Ttpd
原文链接:https://blog.csdn.net/qq_33633013/article/details/89536431
版权
一、背景

二、步骤
1.先看看你的主机是否支持pptp,返回结果为yes就表示通过
modprobe ppp-compress-18 && echo yes
2.是否开启了TUN
cat /dev/net/tun
#返回结果为cat: /dev/net/tun: File descriptor in bad state。就表示通过
3.安装EPEL源
yum install -y epel-release
4.安装xl2tpd和libreswan
yum install -y xl2tpd libreswan lsof
5.编辑xl2tpd配置文件
vim /etc/xl2tpd/xl2tpd.conf

;# This is a minimal sample xl2tpd configuration file for use
;# with L2TP over IPsec.
;#
;# The idea is to provide an L2TP daemon to which remote Windows L2TP/IPsec
;# clients connect. In this example, the internal (protected) network
;# is 192.168.1.0/24. A special IP range within this network is reserved
;# for the remote clients: 192.168.1.128/25
;# (i.e. 192.168.1.128 … 192.168.1.254)
;#
;# The listen-addr parameter can be used if you want to bind the L2TP daemon
;# to a specific IP address instead of to all interfaces. For instance,
;# you could bind it to the interface of the internal LAN (e.g. 192.168.1.98
;# in the example below). Yet another IP address (local ip, e.g. 192.168.1.99)
;# will be used by xl2tpd as its address on pppX interfaces.

[global]
listen-addr = 192.168.11.95
;#
;# requires openswan-2.5.18 or higher - Also does not yet work in combination
;# with kernel mode l2tp as present in linux 2.6.23+
ipsec saref = yes
;# Use refinfo of 22 if using an SAref kernel patch based on openswan 2.6.35 or
;# when using any of the SAref kernel patches for kernels up to 2.6.35.
;# saref refinfo = 30
;#
;# force userspace = yes
;#
;# debug tunnel = yes

[lns default]
ip range = 10.0.0.2-10.0.254.254
local ip = 10.0.0.1
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

6.编辑pppoptfile文件
vim /etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns 202.101.172.35
ms-dns 114.114.114.114
ms-dns 8.8.8.8
name xl2tpd
noccp
auth
#crtscts
idle 1800
#mtu 1410
mru 1410
nodefaultroute
debug
#lock
proxyarp
connect-delay 5000
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
persist
logfile /var/log/xl2tpd.log
;# To allow authentication against a Windows domain EXAMPLE, and require the
;# user to be in a group “VPN Users”. Requires the samba-winbind package
;# require-mschap-v2
;# plugin winbind.so
;# ntlm_auth-helper ‘/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of=“EXAMPLE\VPN Users”’
;# You need to join the domain on the server, for example using samba:
;# http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients-lucid.html

7.编辑ipsec配置文件
vim /etc/ipsec.conf

;# /etc/ipsec.conf - Libreswan IPsec configuration file
;#
;# see ‘man ipsec.conf’ and ‘man pluto’ for more information
;#
;# For example configurations and documentation, see https://libreswan.org/wiki/

config setup
# Normally, pluto logs via syslog.
#logfile=/var/log/pluto.log
#
# Do not enable debug options to debug configuration issues!
#
# plutodebug=“control parsing”
# plutodebug=“all crypt”
plutodebug=none
#
# NAT-TRAVERSAL support
# exclude networks used on server side by adding %v4:!a.b.c.0/24
# It seems that T-Mobile in the US and Rogers/Fido in Canada are
# using 25/8 as “private” address space on their wireless networks.
# This range has never been announced via BGP (at least up to 2015)
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10

; # if it exists, include system wide crypto-policy defaults
; # include /etc/crypto-policies/back-ends/libreswan.config

;# It is best to add your IPsec connections as separate files in /etc/ipsec.d/
include /etc/ipsec.d/*.conf

8.编辑include的conn文件
vim /etc/ipsec.d/l2tp-ipsec.conf

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
rightsubnet=0.0.0.0/0
dpddelay=10
dpdtimeout=20
dpdaction=clear
forceencaps=yes
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=192.168.11.95

leftprotoport=17/1701
right=%any
rightprotoport=17/%any
9.设置用户名密码
vim /etc/ppp/chap-secrets

vpnuser * pass *
说明:用户名[空格]service[空格]密码[空格]指定IP

10.设置PSK
vim /etc/ipsec.d/default.secrets

192.168.11.95 %any: PSK “xxxxxxx”

11.CentOS7防火墙设置(重要)
firewall-cmd --permanent --add-service=ipsec
firewall-cmd --permanent --add-port=1701/udp
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
12.IP_FORWARD 设置
vim /etc/sysctl.d/60-sysctl_ipsec.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.conf.eth1.rp_filter = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth2.accept_redirects = 0
net.ipv4.conf.eth2.rp_filter = 0
net.ipv4.conf.eth2.send_redirects = 0
net.ipv4.conf.ip_vti0.accept_redirects = 0
net.ipv4.conf.ip_vti0.rp_filter = 0
net.ipv4.conf.ip_vti0.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.ppp0.accept_redirects = 0
net.ipv4.conf.ppp0.rp_filter = 0
net.ipv4.conf.ppp0.send_redirects = 0

##重启生效
systemctl restart network

13.ipsec启动&检查
systemctl enable ipsec
systemctl restart ipsec
14.检查
ipsec verify
15.xl2tpd启动
systemctl enable xl2tpd
systemctl restart xl2tpd
16.windows连接

https://ops.floa.vip/faq/pptp.html

17.mac连接
直接在网络偏好设置里添加。

三、问题总结
1.以上步骤搭建好,账号密码生成之后连接上,但是无法上外网,也无法上内网,只能ping通vpn所在内网服务器
注意第11步防火墙转发,一定要执行。自作聪明把防火墙关闭了。具体可查看/var/log/messages

四、win7 X64位操作系统拨 L2TP VPN遇到的一点问题(788、789错误)

在网上鼓捣了很久发现win7 x64位的操作系统拨L2tp总是出问题,不是788错误就是789 错误。总结一下网上的一些方法

1.services.msc组策略里面的 IPsec Policy Agent 开机启动

2.注册表里面的 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters.新建如下两个项(注意,如果已经有了,就直接修改值)

1)名称:ProhibitIpSec 值:1,

2)名称:AllowL2TPWeakCrypto 值:1。

我遇到的是788错误,修改完这些之后又显示是789错误,一直都没有好。这个方法2有个小选项大家得注意,网上很多人都没有指出这个小小的细节,那就是新建ProhibitIpSec值的时候右键有两个选项,一个是DWORD(32位),一个是QWORD(64位),我的x64位的操作系统,必须得新建DWORD(32位)的这个,要不然随便怎么折腾,都不会成功的,这研究了大概好几天,翻阅了大量资料,看到的这个选项,希望可以帮助大家。

yimenglin
关注
专栏目录
L2TP/IPSEC搭建详细步骤
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
## 使用strongswan和xl2tpd配置l2tp over ipsec和Xauth
nerdsu的博客
06-03 3347
使用strongswan和xl2tpd配置l2tp over ipsec和Xauth yum install -y strongswan xl2tpd 编辑 /etc/strongswan/ipsec.conf uniqueids = no conn %default ikelifetime=3600s keylife=28800s rekeymargin=3h keyingtries=1 keyexchange=ikev2 mobike=no
centos 6.5下搭建ipsec/xl2tpd ×××
weixin_34032827的博客
05-13 141
centos 6.5下搭建ipsec/xl2tpd ×××本文安装都是直接yum安装,省事,省心。一、安装(一条命令解决了) yum install openswan ppp xl2tpd 喜欢源码安装的朋友可去去http://pkgs.org 去下载相就的源码包。二、配置1.编辑/etc/ipsec.conf vim /etc/ipsec.conf 把下面...
阿里云ECS部署L2TP/IPSEC,访问服务器内网
薛凌康的博客
08-04 8895
自建NAT网关
在 Ubuntu Server 22.04 上配置 L2TP/IPSec 连接
最新发布
Ruan_9264的博客
09-24 815
确保你的网络设置正确,并且目标服务器 (192.168.96.6) 可访问。如果遇到问题,请检查日志文件。
Linux 2.6内核中IPSec支持机制分析.pdf
09-06
Linux 2.6内核中IPSec支持机制分析.pdf
Linuxipsec的支持
daa20的专栏
06-17 1807
转:https://blog.csdn.net/cxw06023273/article/details/83809492 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核的安全联盟(SA)和安全策略(SP)数据库, 以及和用户空间的接口。 以下内核代码版本为2.6.19.2, PF_KEY相关代...
Centos7 搭建xl2tpd + ipsec vpn
qq_36491545的博客
01-12 2686
xl2tpd + ipsec
linux c ike协议,Linux 中的 IPSec 协议
weixin_39761880的博客
05-15 120
The IPSEC protocols in LinuxThis section provides details of the IPSEC protocols which FreeS/WAN implementsThe basic idea of IPSEC is to provide security functions, authentication and encryption , at ...
Linux系统安装L2TPIPSec一键安装脚本.docx
07-17
本脚本适用环境: 系统支持:CentOS6+,Debian7+,Ubuntu12+ 内存要求:≥128M 关于本脚本: 名词解释如下 L2TP(Layer 2 Tunneling Protocol) IPSec(Internet Protocol Security) IKEv2 (Internet Key Exchange v2) 能实现 IPsec 的目前总体上有 openswan,libreswan,strongswan 这3种。
ubantu虚拟机搭建xl2tp服务
遇见你是我最美丽的意外
02-21 6937
在编译成功源码,安装完毕xl2tpd后,便可以配置xl2tpd服务。基本配置过程主要涉及两个配置文件:一个用来配置xl2tpd, 一个用来配置ppp协议。下面分别对这两个文件进行说明,最后添加xl2tpd服务搭建过程。 具体信息也可以通过man来查看: man xl2tpd :启动xl2tpd服务命令行传递参数说明 man xl2tpd-control : 对xl2...
ipsec(linux内核实现)
09-13
讲解linux内核最新代码中ipsec pfkey的实现过程。很具有参考价值。
xl2tpd-1.3.0开源源代码
12-20
xl2tpd-1.3.0可用于l2tp的lns或者服务器端,这是个开源的代码库
CentOS7.2 安装L2TP/IPSec 服务端/客户端 ( libreswan+xl2tpd
03-02
配套说明: http://blog.csdn.net/gogoytgo/article/details/79420745
xl2tpd:L2TPd 的官方 Xelerance 分叉
05-29
xl2tpd xl2tpd 是定义的第 2 层隧道协议的免费实现。 L2TP 允许您在 UDP 上建立 PPP 隧道。 一些 ISP 使用 L2TP 将用户会话从拨入服务器(调制解调器银行、ADSL DSLAM)传输到后端 PPP 服务器。 另一个重要的应用是虚拟专用网络,其中IPsec协议用于保护L2TP连接(L2TP / IPsec由定义。xl2tpd可以与IPsec实现(例如Openswan)结合使用。在示例目录中。 xl2tpd 使用伪 tty 与 pppd 通信。 它在用户空间运行,但支持内核模式 L2TP。 xl2tpd 支持 IPsec SA 参考跟踪,以启用由不同客户端(例如,所有客户端从其 linksys 内部 IP 192.168.1.101 连接的所有客户端)以及同一 NAT 路由器后面的多个客户端重叠的内部 NAT 转换 IP。 Xl2tpd 基于 Jeff
linux安装IPsec
08-23
- *1* *2* *3* [linux搭建ipsec/xl2tpd](https://blog.csdn.net/yimenglin/article/details/97795427)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...
CentOS7L2TP/IPSec
weixin_54537241的博客
04-12 2043
什么是L2TPVPN L2TP VPN概述 什么是L2TP? L2TP代表第2层隧道协议,它本身不提供任何加密。 L2TP VPN通常使用身份验证协议IPSec(Internet协议安全性)进行强大的加密和身份验证,这使其在某些其他最常用的协议(如PPTP)上具有最终优势。 L2TP协议使用UDP端口1701。 L2TP如何工作? 通过L2TP / IPSec协议传输的数据通常会进行两次身份验证。经由隧道传输的每个数据包均包含L2TP报头。结果,数据被伺服器解复用。数据的双重身份验证会降低性能,但是确实提供
虚拟专用网络(VPN):远程访问与点对点连接及其在Linux中的IPSec实现与日志管理
一起coding,一起嗨。
01-18 1079
虚拟专用网络(VPN):远程访问与点对点连接及其在Linux中的IPSec实现与日志管理
离线安装xl2tpd
06-27
Linux系统中,XL2TPD(Xen Lightweight Tunnelling Protocol Daemon)是一个用于在Xen虚拟化环境中提供第二层隧道协议(L2TP)服务的小型软件。如果你想离线安装XL2TPD,也就是不依赖于网络连接下载和安装包,你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值