centos7 L2TP/ipsec 搭建

已于 2024-04-01 11:43:40 修改
阅读量4.7k 收藏 14
点赞数 5
分类专栏: linux 文章标签: 服务器 linux centos
于 2023-06-07 15:28:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zerotoall/article/details/131084399
版权

 本站以分享各种运维经验和运维所需要的技能为主

《python零基础入门》:python零基础入门学习

《python运维脚本》: python运维脚本实践

《shell》:shell学习

《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战

《k8》暂未更新

《docker学习》暂未更新

《ceph学习》ceph日常问题解决分享

《日志收集》ELK+各种中间件

《运维日常》运维日常

《linux》运维面试100问

背景:

公司需要通内网,故此部署vpn

流程:

1.安装所需要的包:---这次部署使用的是腾讯云机器centos7.3

centos7 使用libreswan代替了以往的openswan

yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man
yum install xl2tpd 
yum install libreswan

2.修改ipsec的配置文件

[root@yyf ~]# vim /etc/ipsec.conf(只添加一行nat_traversal=yes即可)
# NAT-TRAVERSAL support
# exclude networks used on server side by adding %v4:!a.b.c.0/24
# It seems that T-Mobile in the US and Rogers/Fido in Canada are
# using 25/8 as "private" address space on their wireless networks.
# This range has never been announced via BGP (at least up to 2015)
nat_traversal=yes     ###在配置文件里加入这一行,充许传透nat建立l2tp连接      
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10

3.建立ipsec 与 l2tp 服务关联的配置文件

#因为这个文件没有所以需要手动创建
[root@yyf ~]# vim /etc/ipsec.d/l2tp_psk.conf

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=10.40.1.91   ###10.40.1.91 是自己的网卡Ip地址
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

4.当建立l2tp连接时,需要输入预共享密匙,以下为预共享密匙的配置文件。

[root@yyf ~]# vim /etc/ipsec.d/ipsec.secrets

#include /etc/ipsec.d/*.secrets
10.40.1.91 %any: PSK "123456789"
#111.81.11.5 是外网网卡地址,PSK是预存共享密匙

5.修改内核支持,可以对照以下配置修改,修改完后运行sysctl -p 使配置生效

[root@yyf ~]# cat /etc/sysctl.conf 

vm.swappiness = 0
net.ipv4.ip_forward = 1
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_source_route = 0

[root@yyf ~]# sysctl -p

6.检验ipsec服务配置

#重启ipsec
systemctl restart ipsec
#检验ipsec服务配置 
ipsec verify
[root@yyf ~]# ipsec verify
Verifying installed system and configuration files

Version check and ipsec on-path                   	[OK]
Libreswan 3.25 (netkey) on 3.10.0-1160.88.1.el7.x86_64
Checking for IPsec support in kernel              	[OK]
 NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects              	[OK]
         ICMP default/accept_redirects            	[OK]
         XFRM larval drop                         	[OK]
Pluto ipsec.conf syntax                           	[OK]
Two or more interfaces found, checking IP forwarding	[OK]
Checking rp_filter                                	[ENABLED]
 /proc/sys/net/ipv4/conf/eth0/rp_filter           	[ENABLED]
  rp_filter is not fully aware of IPsec and should be disabled
Checking that pluto is running                    	[OK]
 Pluto listening for IKE on udp 500               	[OK]
 Pluto listening for IKE/NAT-T on udp 4500        	[OK]
 Pluto ipsec.secret syntax                        	[OK]
Checking 'ip' command                             	[OK]
Checking 'iptables' command                       	[OK]
Checking 'prelink' command does not interfere with FIPS	[OK]
Checking for obsolete ipsec.conf options          	[OBSOLETE KEYWORD]
 Warning: ignored obsolete keyword 'nat_traversal'

ipsec verify: encountered 3 errors - see 'man ipsec_verify' for help
//报错处理,当出现以上几个[ENABLED]错误提示时 ,不用在意,可以继续。当然全部OK更好。

7.启动服务

#启动ipsec 
systemctl start ipsec
#设置为开机自启 
systemctl enable ipsec

8.修改L2tp的配置文件

[root@yyf ~]# vim /etc/xl2tpd/xl2tpd.conf 
[global]
 listen-addr = 10.40.1.91    ###本机外网网卡IP
 ipsec saref = yes      ###取消注释
[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.99
require chap = yes
refuse pap = yes
require authentication = yes
name = Linux×××server
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

9.修改xl2tpd属性配置文件

[root@yyf ~]# vim /etc/ppp/options.xl2tpd

require-mschap-v2   ###添加此行
ipcp-accept-local
ipcp-accept-remote
#dns 写自己的网卡DNS ,写成8.8.8.8也行
ms-dns 172.26.2.21 
#ms-dns  8.8.8.8
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

10.添加用户名和密码(**登录的用户名和密码)

建立xl2tpd连接的用户,建立l2tp连接需要输入的用户名和密码就在该文件里配置:

vim /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test      *  123 *

11.iptables安装配置

CentOS7默认的防火墙不是iptables,而是firewalle.

检查firewall是否stop

iptables -F

iptables -X

iptables -Z

-地址转换:

iptables -t nat -A POSTROUTING -s 10.40.1.0/24 -o eth0 -j MASQUERADE
iptables -I FORWARD -s 10.40.1.0/24 -j ACCEPT
iptables -I FORWARD -d 10.40.1.0/24 -j ACCEPT

iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 4500 -j ACCEPT
iptables -A INPUT -p esp -j ACCEPT
iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPT

iptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#这条比较关键,因为这条是转发访问流量的。
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

service iptables save
/bin/systemctl restart iptables.service

12.完成服务配置,启动服务

systemctl start xl2tpd

systemctl enable xl2tpd

客户端连上,如果需要打通与服务端想通的网段,需要自行在客户端添加路由

如mac上:

sudo route -n add 172.26.0.0/16 192.169.42.10

#172.26.0.0/16 这个是想要跳过去的下一跳路由网段

#192.169.42.10 这个是你vpn获取的ip

补:自定义客户访问登陆log信息:---通过man可以查看到信息

原理就是用户登录时会执行ip-up,这时保存一部分登录日志到一个用户单独的文件,到登录注销时会执行ip-down,再保存另外一部分的日志到用户单独文件,最后把这个用户单独文件内的日志添加到总日志内。最后的日志效果如下:

修改脚本 /etc/ppp/ip-up :

#!/bin/sh 
echo "****************************************************" > /var/log/pptpd-${1}.log
echo "username: $PEERNAME" >> /var/log/pptpd-${1}.log 
echo "clientIP: $6" >> /var/log/pptpd-${1}.log 
echo "device: $1" >> /var/log/pptpd-${1}.log 
echo "vpnIP: $4" >> /var/log/pptpd-${1}.log 
echo "assignIP: $5" >> /var/log/pptpd-${1}.log 
echo "logintime: `date -d today +%F_%T`" >> /var/log/pptpd-${1}.log

/etc/ppp/ip-down:

#!/bin/sh 
echo "downtime: `date -d today +%F_%T`" >> /var/log/pptpd-${1}.log 
echo "bytes sent: $BYTES_SENT" >> /var/log/pptpd-${1}.log 
echo "bytes received: $BYTES_RCVD" >> /var/log/pptpd-${1}.log 
echo "connect time: $CONNECT_TIME" >> /var/log/pptpd-${1}.log 
echo "****************************************************" >> /var/log/pptpd-${1}.log 
cat /var/log/pptpd-${1}.log >> /var/log/pptpd.log

结果:

# cat /var/log/pptpd-ppp3.log 
****************************************************
username: tt
clientIP: 
device: ppp3
vpnIP: 192.169.1.99
assignIP: 192.169.1.131
logintime: 2024-04-01_11:00:55
downtime: 2024-04-01_11:02:05
bytes sent: 129369
bytes received: 181571
connect time: 70
****************************************************

向往风的男子
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CentOS 7 搭建 L2TP/Ipsec
weixin_45150603的博客
07-29 1万+
L2TP具体的工作原理这里不再多说(可以自行百度或者GOOGLE),这里把经历过一些碰壁的问题在这里进行下梳理: 针对于阿里云的云服务器要在安全组上要把500、1701和4500的UDP端口放行 阿里云盾的内置服务要关闭。 我用的是foreign云,所以在云上不用做相应的安全策略,只需要加入防火墙策略。 配置文件里有涉及到TAB及空行的地方要注意! 构建环境:l2tp服务端 centos7.4...
linux系统搭建L2TP协议的vpn
weixin_55701556的博客
08-14 2399
将 <分配给 L2TP 客户端的 IP 范围> 替换为你希望为 L2TP 客户端分配的 IP 地址范围,建议为第二块网卡的ip段。将 < L2TP用户名 > 替换为你想要创建的 L2TP 用户名,< L2TP密码 > 替换为相应的密码。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址,<预共享密钥> 替换为你设置的预共享密钥。<服务器私网IP> 替换为你的服务器的私网 IP 地址,建议为第二块网的ip地址。将 <服务器公网IP> 替换为你的服务器的公网 IP 地址。left=<服务器公网IP>
Centos7配置L2TP/IPSEC服务器
anke的博客
03-13 5140
配置L2TP/IPSEC服务器 在开始配置前,最好确认服务器上SELINUX处于关闭状态,不然可能出现奇怪的报错 getenforce # 检查selinux状态,若输出:permissive或disabled 表示selinux已关闭 否则 执行 setenforce 0 # 设置SELINUX为permissive模式即可 查看主机是否支持pptp modprobe ppp-compre...
centos7配置L2TP的服务端教程
最新发布
小丑鱼的专栏
05-28 947
注:10.10.0.0/24跟/etc/xl2tpd/xl2tpd.conf的设置相对应,eth0要改成你局域网的网络名字。替换为如下内容,把下面0.0.0.0换成VPN server的IP(注意一定要有字符缩进,距离不要改变)(5) 编辑 /etc/xl2tpd/xl2tpd.conf 这一步可以跳过。(6)配置用户名,密码:编辑 /etc/ppp/chap-secrets。(3)修改/添加 /etc/sysctl.conf并生效。连接方式和pptp的vpn连接方式相同!生效上面的修改使用如下命令。
Centos7 搭建xl2tpd + ipsec vpn
qq_36491545的博客
01-12 1518
xl2tpd + ipsec
如何在CentOS上快速部署l2tp服务
黎先生的博客
01-13 1万+
CentOS上快速部署l2tp服务1. 安装必要的工具yum install vim net-tools wget unzip -y 2. 下载安装脚本,下载地址是http://files.cnblogs.com/files/think8848/StackScript.zip wget -O StackScript.zip http://files.cnblogs.com/files/think8
L2TP一键搭建脚本天翼云IP搭建教程23年11月12日最新教程5分钟学会搭建纯独享工作室游戏IP适用多开雷电模拟器挂机等
weixin_59174698的博客
11-12 3917
此教程搭建不能用于非法用途,目前市面上天翼云是性价比最高最划算的服务商,开通最低折扣账户后,搭建IP成本仅需5元每月一条纯独享IP。拉动修改成1MB的,99元买的是5M的,改成1M可退78.81元,以实际共享IP价格为每月20.19元。下图线路显示已售罄,直接换地区搭建,避免服务器,共享宽带买好了,最后发现弹性IP售罄问题。建议大家买服务器之前,点下弹性公网IP查看,IP有没有售罄,如果售罄的话换地区搭建。注册账号,并且实名认证,然后联系勤奋,开通最低折扣权限,搭建专属独享 IP。
L2TP and PPTP共存一键安装
a6713827的专栏
01-10 4368
一、 L2TP/IPSec vpn一键安装脚本。二、 PPTP vpn一键安装脚本。
l2tp vpn server搭建教程
weixin_46523990的博客
05-17 3057
安装l2tpsudo apt install xl2tpdsudo apt install strongswansudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpsudo apt install network-manager-l2tp修改配置文件然后是配置部分了,需要用sudo权限来修改下面几个文件:(1) 编辑/etc/ipsec.confconn L2TP-IPSEC authby=secret auto=add keyi
centos部署ipsec
XiaoMa_Ge2019的博客
05-11 3566
***(virtual private network,虚拟专用网)就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直接相连,但通常情况下他们会相隔较远的距离。***方式有三种:Site-to-Site(站点到站点或者网关到网关):如3个机构分布在互联网的3个不同的地方,各使用一个ipsec ***网关相互建立***隧道,企业内网(若干PC)之间的数据通过这些网关建立的...
Centos 安装 L2tp
藝術人生的筆記
01-19 1万+
wget --no-check-certificate https://raw.githubusercontent.com/teddysun/across/master/l2tp.sh chmod +x l2tp.sh ./l2tp.sh 如果你要想对用户进行操作,可以使用如下命令: l2tp -a 新增用户 l2tp -d 删除用户 l2tp -m 修改现有的用户的密码 l2tp -l 列...
centos7搭建基于strongswan ipsecl2tp服务器
08-22
centos7搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
虚拟私有网络L2tp搭建脚本
10-31
L2TP搭建脚本,适用于Ubuntu,运行后,按照提示即可设定所有参数。简单易用,已验证正确。
CentOS7.2 安装L2TP/IPSec 服务端/客户端 ( libreswan+xl2tpd )
03-02
配套说明: http://blog.csdn.net/gogoytgo/article/details/79420745
Linux系统安装L2TPIPSec一键安装脚本.docx
07-17
本脚本适用环境: ...L2TP(Layer 2 Tunneling Protocol) IPSec(Internet Protocol Security) IKEv2 (Internet Key Exchange v2) 能实现 IPsec 的目前总体上有 openswan,libreswan,strongswan 这3种。
Centos7搭建IPSEC上的L2TP服务器.pdf
07-13
Centos7搭建IPSEC上的L2TP服务器.pdf
CentOS7下java环境的搭建教程
08-31
至此,CentOS 7上的Java环境搭建完成。请注意,Oracle JDK的安装可能会涉及到许可协议,确保你已阅读并接受这些协议。同时,Oracle JDK的自动更新可能需要额外的配置,以确保系统始终使用最新且安全的Java版本。 在...
l2tp ipsec centos7
weixin_34417183的博客
11-15 2157
PPTP、L2TPIPsec的区别及优缺点 1、PPTP协议是点对点隧道协议:   其将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。 2、L2TP是国际标准隧道协议:   它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议...
CentOS7.2 安装L2TP/IPSec 服务端/客户端 和部分心得 ( libreswan+xl2tpd )
热门推荐
gogoytgo的博客
03-02 1万+
整体基于CentOS7.2实现。方案为“使用预共享密钥的L2TP/IPSec” 下载地址:http://download.csdn.net/download/gogoytgo/10266198 参考资料:https://teddysun.com/448.html 在此一键安装脚本上,删除了部分功能: 1)不配置防火墙,因为我们的业务不需要也不希望通过VPN直接转接到其他网络,而是通过程序实...
ubuntu l2tp server
09-17
要在Ubuntu上设置L2TP服务器,您可以按照以下步骤进行操作: 1. 安装必要的软件包: ``` sudo apt update sudo apt install strongswan xl2tpd ``` 2. 配置IPsec: - 编辑 `/etc/ipsec.conf` 文件,添加以下内容: ``` config setup charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=secret conn l2tp-ipsec left=%defaultroute auto=add compress=yes type=transport authby=secret ike=aes256-sha1-modp1024! esp=aes256-sha1! keyexchange=ikev1 leftprotoport=17/1701 rightprotoport=17/%any ``` - 创建并编辑 `/etc/ipsec.secrets` 文件,添加以下内容: ``` : PSK "your_pre_shared_key" ``` 将 `your_pre_shared_key` 替换为您自己的预共享密钥。 3. 配置XL2TP: - 编辑 `/etc/xl2tpd/xl2tpd.conf` 文件,添加以下内容: ``` [global] access control = no [lns default] ip range = 10.10.10.2-10.10.10.255 local ip = 10.10.10.1 refuse chap = yes refuse pap = yes require authentication = yes ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes ``` - 创建并编辑 `/etc/ppp/options.xl2tpd` 文件,添加以下内容: ``` require-mschap-v2 ms-dns 8.8.8.8 asyncmap 0 auth crtscts lock hide-password modem name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 ``` 4. 重启服务: ``` sudo service strongswan restart sudo service xl2tpd restart ``` 现在,您的Ubuntu服务器应该已经配置为L2TP服务器了。您可以使用L2TP客户端连接到该服务器
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值