在CentOS 7 上部署 L2TP/IPSec 服務(wù)

在CentOS 7 上部署 L2TP/IPSec 服務(wù)

安裝strongswan和xl2tpd(yum安裝需要啟用epel源)

yum?install?strongswan?xl2tpd

修改/etc/strongswan/ipsec.conf?文件,如下

config?setup

conn?%default

? ? ? ? ikelifetime=60m

? ? ? ? keylife=20m

? ? ? ? rekeymargin=3m

? ? ? ? keyingtries=1

conn?l2tp

? ? ? ? keyexchange=ikev1

? ? ? ? left=%defaultroute

? ? ? ? leftsubnet=0.0.0.0/0

? ? ? ? leftprotoport=17/1701

? ? ? ? authby=secret

? ? ? ? leftfirewall=no

? ? ? ? right=%any

? ? ? ? rightprotoport=17/%any

? ? ? ? type=transport

? ? ? ? auto=add

修改/etc/strongswan/ipsec.secrets?文件(沒(méi)有此文件就新建一個(gè))

#?ipsec.secrets?-?strongSwan?IPsec?secrets?file

:?PSK?'presharedkeys'

編輯/etc/xl2tpd/xl2tpd.conf文件的?[lns?default]?部分

[lns?default]

ip?range?=?172.16.0.100-172.16.0.199

local?ip?=?172.16.0.1

require?chap?=?yes

refuse?pap?=?yes

require?authentication?=?yes

name?=?LinuxVPNserver

ppp?debug?=?yes

pppoptfile?=?/etc/ppp/options.xl2tpd

ppp部分,這里只設(shè)定了chap驗(yàn)證部分

編輯/etc/ppp/options.xl2tpd

ms-dns??114.114.114.114

ms-dns??223.5.5.5

noccp

auth

crtscts

idle?600

mtu?1200

mru?1200

nodefaultroute

debug

lock

proxyarp

connect-delay?2500

編輯/etc/ppp/chap-secrets

#?Secrets?for?authentication?using?CHAP

#?client ? ? ? ? ? ? ? ?server ? ? ? ?secret ? ? ? ?IP?addresses

user ? ? ? ? ? ? ? ? ? ? * ? ? ? ? ? ? ? password ? ? ?*

設(shè)置防火墻,以iptables為例

iptables?-t?filter?-A?INPUT?-p?esp?-j?ACCEPT

iptables?-t?filter?-A?INPUT?-p?udp?--dport?500?-j?ACCEPT

iptables?-t?filter?-A?INPUT?-p?udp?--dport?1701?-j?ACCEPT

iptables?-t?filter?-A?INPUT?-p?udp?--dport?4500?-j?ACCEPT

iptables?-t?filter?-A?FORWARD?-s?172.16.0.0/24?-j?ACCEPT

iptables?-t?filter?-A?FORWARD?-d?172.16.0.0/24?-j?ACCEPT

iptables?-t?nat?-A?POSTROUTING?-s?172.16.0.0/24?-o?enp0s3?-j?MASQUERADE

開(kāi)啟IP轉(zhuǎn)發(fā),編輯?/etc/sysctl.conf

net.ipv4.ip_forward?=?1

執(zhí)行sysctl?-?p?使之生效

開(kāi)啟服務(wù)

systemctl?start?strongswan.service

systemctl?start?xl2tpd.service

systemctl?enable?strongswan.service

systemctl?enable?xl2tpd.service

客戶(hù)端連接的時(shí)候選L2TP/IPSec?VPN?with?pre-shared?keys?,PSK(預(yù)共享密鑰)是/etc/strongswan/ipsec.secrets中的PSK,用戶(hù)名和密碼在/etc/ppp/chap-secrets中

ipsec穿過(guò)nat很麻煩,如果服務(wù)器在nat后,可以只用l2tp,不啟用ipsec(strongswan)。只配置xl2tp和ppp,不配置ipsec。

iptables轉(zhuǎn)發(fā)過(guò)濾規(guī)則暫時(shí)沒(méi)時(shí)間試驗(yàn),可以設(shè)為默認(rèn)允許轉(zhuǎn)發(fā)。?iptables?-t?filter?-P?FORWARD?ACCEPT

nat外網(wǎng)1701映射到內(nèi)網(wǎng)1701

客戶(hù)端連接的時(shí)候選l2tp,而不是?L2TP/IPSec?VPN?with?pre-shared?keys。不需要PSK,用戶(hù)名和密碼和原來(lái)一樣。

如果服務(wù)器有多個(gè)網(wǎng)卡,/etc/xl2tpd/xl2tpd.conf?的?[global]部分指明VPN使用的網(wǎng)卡。

[global]

listen-addr?=?10.1.1.244

/etc/strongswan/ipsec.conf的conn部分把left改成VPN網(wǎng)卡的地址

…………

conn?l2tp

? ? ? ? keyexchange=ikev1

? ? ? ? left=10.1.1.244

…………

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • OS: CenotOS7 X86_64 1.安裝ipsec服務(wù) 1.1安裝openswan 1.yum安裝gmp ...
    dingfh閱讀 2,317評(píng)論 1 4
  • ftp 文件傳輸協(xié)議 跨平臺(tái) 上傳下載文件 vsftpd 工具:非常安全的文件傳輸協(xié)議;默認(rèn)的命令端口21號(hào),數(shù)據(jù)...
    柒夏錦閱讀 4,226評(píng)論 1 9
  • 故事開(kāi)始于一九零五年,這天日本大商行堤家的女主人堤倭文子過(guò)生日,她的弟弟章介也從中國(guó)的戰(zhàn)場(chǎng)(日俄戰(zhàn)爭(zhēng),但發(fā)生在中國(guó)...
    筱阿誠(chéng)閱讀 1,118評(píng)論 1 0
  • 當(dāng)我們跟孩子們說(shuō)起節(jié)氣時(shí),孩子們常常會(huì)問(wèn),“節(jié)氣是什么?” 面條是用什么做的呢? 酷暑當(dāng)頭,路邊的樹(shù)怕熱嗎? ……...
    書(shū)格子閱讀 13,965評(píng)論 0 2

友情鏈接更多精彩內(nèi)容