用到的軟件
openswan(ipsec) : 提供一個(gè)密鑰
ppp ：提供用戶名和密碼xl2tpd ： 提供L2TP服務(wù)
sysctl ： 提供服務(wù)器內(nèi)部轉(zhuǎn)發(fā)
iptables ： 提供請(qǐng)求從服務(wù)器內(nèi)部轉(zhuǎn)向外部，外部響應(yīng)轉(zhuǎn)向服務(wù)器內(nèi)部

準(zhǔn)備
搭建L2TP需要環(huán)境支持，所以需要提前查看是否支持，不支持的自行Google

# 查看主機(jī)是否支持pptp，返回結(jié)果為yes就表示通過(guò)
modprobe ppp-compress-18 && echo yes
# 查看是否開(kāi)啟了TUN# 有的虛擬機(jī)主機(jī)需要開(kāi)啟，返回結(jié)果為**cat: /dev/net/tun: File descriptor in bad state**。就表示通過(guò)。
cat /dev/net/tun

安裝

yum install -y epel-release
yum install -y xl2tpd libreswan lsof
yum install iptables

配置xl2tp

[root@qianxi ~]# egrep -v ";|#" /etc/xl2tpd/xl2tpd.conf
[global]
listen-addr? ?= 服務(wù)器內(nèi)網(wǎng)ip地址
ipsec saref = yes
auth file = /etc/ppp/chap-secrets? ? ? ? ?
port = 1701? ? ? //監(jiān)聽(tīng)端口
[lns default]
ip range = 192.168.1.128-192.168.1.254? ? ?//設(shè)置IP池，是分配給用戶的ip，有多少個(gè)用戶就需要多少個(gè)ip,建議分配多一點(diǎn)。
local ip = 192.168.1.99? ? ? //分配給本機(jī)的ip地址
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

配置ppp

[root@qianxi ~]# cat /etc/ppp/options.xl2tpd
ipcp-accept-local
ipcp-accept-remote
ms-dns? 8.8.8.8
ms-dns? 8.8.4.4
#ms-wins 192.168.1.2
#ms-wins 192.168.1.4
name xl2tpd
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
logfile /var/log/l2tpd.log
proxyarp
connect-delay 5000
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2? ? ? #Windows連接必須設(shè)置
persist

配置IPSec

cat /etc/ipsec.conf? ? \\有效行
config setup
????????protostack=netkey
????????dumpdir=/var/run/pluto/
????????logfile=/var/log/pluto.log
????????virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
include /etc/ipsec.d/*.conf
第一行config setup必須左對(duì)齊，即前面不能有空格，否則會(huì)報(bào)錯(cuò)
其他每一行都必須以Tab開(kāi)頭，否則會(huì)報(bào)錯(cuò)

設(shè)置預(yù)共享密鑰PSK

[root@qianxi ~]# cat /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets
106.15.230.123 %any: PSK "xl2tpd"
格式為： 公網(wǎng)IP? %any:? PSK "預(yù)共享密鑰"

配置服務(wù)器

[root@qianxi ~]# cat /etc/ipsec.d/l2tp_psk.conf
conn L2TP-PSK-NAT
????????rightsubnet=vhost:%priv
? ??????also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT?
? ? ? ? authby=secret
? ? ? ? pfs=no
? ? ? ? auto=add
? ? ? ? keyingtries=3
? ? ? ? dpddelay=30
? ? ? ? dpdtimeout=120
? ? ? ? dpdaction=clear? ?
? ? ? ? rekey=no
? ? ? ? ikelifetime=8h
? ? ? ? keylife=1h
? ? ? ? type=transport
? ? ? ? left=2.2.2.2? ? ?//修改為服務(wù)器IP地址?
? ? ? ? right=%any
? ? ? ? right=%any? ? ? ?
? ? ? ? rightprotoport=17/%any
注意：conn開(kāi)頭的兩行必須左對(duì)齊，開(kāi)頭不能有空格，其他每一行必須以Tab開(kāi)頭

添加賬號(hào)密碼

[root@qianxi ~]# cat /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client server secret IP addresses
vpn * 123456 *
配置類型為： 用戶名? ? ?*? ?密碼? ? *
第一個(gè)*代表的意思的服務(wù)類型，在這里是L2TP，因?yàn)镻PTP的賬號(hào)密碼管理文件也是此文件，所以以通配符*代替更好。
第二個(gè)*代表的用戶限制地址，如果填進(jìn)去某個(gè)IP，則是限制只能此IP連接該VPN。

開(kāi)啟內(nèi)核轉(zhuǎn)發(fā)

cat /etc/sysctl.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
vm.swappiness = 0
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.all.arp_announce=2
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_synack_retries = 2
kernel.sysrq=1
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1

使用sysctl? ?-p 重新加載內(nèi)核配置項(xiàng)，使之生效

啟動(dòng)服務(wù)

[root@qianxi ~]# systemctl start ipsec
[root@qianxi ~]# systemctl start xl2tpd

查看狀態(tài)：

防火墻配置

iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPT
iptables -A FORWARD -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -m policy --dir out --pol none -j MASQUERADE
iptables -A FORWARD -i ppp+ -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m policy --dir in --pol ipsec -p udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

service iptables save
service iptables restart