7 l2tp linux
2015-06-28 21:58:13 weixin_34049948 阅读数 2

一、简介

     第二次隧道协议L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议, 它使用UDP的1701端口进行通信。 L2TP本身并没有任何加密, 但是我们可以是用IPSec对L2TP包进行加密。 L2TP ×××比PPTP ×××搭建复杂一些。

二、安装IPsec, Openswan是Linux系统上IPsec的一个实现

     1. 查看系统版本及内核, 关闭selinux

[root@L2TP ~]# uname -r && cat /etc/redhat-release
2.6.32-358.el6.x86_64
CentOS release 6.4 (Final)

[root@L2TP ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux

[root@L2TP ~]# reboot


     2. 用yum安装L2TP所需软件包

[root@L2TP ~]# yum -y install gcc gmp-devel bison flex lsof openswan


     3. 编辑ipsec配置文件

[root@L2TP ~]# vim /etc/ipsec.conf

================在文件末尾行添加如下================

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=
服务器公网IPV4地址
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

===================结           束===================


     4. 设置PSK预共享密钥

[root@L2TP ~]# vim /etc/ipsec.secrets

=====在文件末尾行添加如下=====

服务器公网IPV4地址 %any: PSK "123.com"

=========结      束=========


     5. 修改包转发设置

[root@L2TP ~]# vim /etc/rc.local

=====在文件末尾行添加如下=====

for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done

=========结      束=========

[root@L2TP ~]# source !$

[root@L2TP ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1          #将0改为1

[root@L2TP ~]# sysctl -p


     6. 重启IPSec测试

[root@L2TP ~]# /etc/init.d/ipsec start

[root@L2TP ~]# ipsec verify

spacer.gifwKiom1WP_NOTRx3uAAIo2xyhITQ343.jpg

没有报[FAILED]就可以了。


     7. 可以尝试新建一个ipsec+l2tp的连接, 填好服务器地址和共享秘钥,但连接拨号查看

wKioL1WP_sKyM7n_AAODdI-4P-8734.jpg

wKioL1WP_tOju3fqAAGgT1Fb0z4010.jpg

wKiom1WP_RPzpnxPAAEcqZpTnpw251.jpg

wKioL1WP_tOje6UcAAGEbFuBtjs606.jpg

wKiom1WP_ROBiyn9AAF0ychbIco955.jpg

wKioL1WP_tODXOJCAAD77OL-7hI098.jpg查看Linux服务器日志

[root@L2TP ~]# tail -f /var/log/secure

192.168.15.20 #4: STATE_QUICK_R2: IPsec SA established transport mode  

如果出现了类似记录即正常。


二、安装L2TP(xl2tpd和rp-l2tp)

     1. 安装关联包

[root@L2TP ~]# yum -y install libpcap-devel ppp


     2. 安装L2TP

[root@L2TP ~]# cd /usr/local/src/

[root@L2TP src]# wget http://downloads.sourceforge.net/project/rp-l2tp/rp-l2tp/0.4/rp-l2tp-0.4.tar.gz

[root@L2TP src]# tar -zxvf rp-l2tp-0.4.gz

[root@L2TP src]# cd rp-l2tp-0.4

[root@L2TP rp-l2tp-0.4]# ./configure

[root@L2TP rp-l2tp-0.4]# echo $?
0

[root@L2TP rp-l2tp-0.4]# make

[root@L2TP rp-l2tp-0.4]# echo $?
0
[root@L2TP rp-l2tp-0.4]# cp handlers/l2tp-control /usr/local/sbin/
[root@L2TP rp-l2tp-0.4]# mkdir /var/run/xl2tpd
[root@L2TP rp-l2tp-0.4]# ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control
[root@L2TP rp-l2tp-0.4]# cd ../

[root@L2TP src]# wget  http://www.xelerance.com/software/xl2tpd/xl2tpd-1.2.4.tar.gz
[root@L2TP src]# tar -zxvf xl2tpd-1.2.4.tar.gz 

[root@L2TP src]# cd xl2tpd-1.2.4
[root@L2TP xl2tpd-1.2.4]# make install


     3. 配置

[root@L2TP xl2tpd-1.2.4]# mkdir /etc/xl2tpd
[root@L2TP xl2tpd-1.2.4]# vim /etc/xl2tpd/xl2tpd.conf

注意, ip range不要和你的lan ip冲突。

=====在文件末尾行添加如下=====

[global]
ipsec saref = yes

[lns default]
ip range = 10.10.10.10-10.10.10.20
local ip = 10.10.10.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

=========结      束=========


     4. 修改ppp配置

[root@L2TP xl2tpd-1.2.4]# vim /etc/ppp/options.xl2tpd

=====在文件末尾行添加如下=====

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

=========结      束=========


     5. 添加用户名/密码

[root@L2TP xl2tpd-1.2.4]# vim /etc/ppp/chap-secrets

 =====在文件末尾行添加如下=====

# client          server     secret                  IP addresses
  ***user       l2tpd     ***passwd                 *
=========结      束=========


     6. 启用包转发

[root@L2TP xl2tpd-1.2.4]# iptables --table nat --append POSTROUTING --jump MASQUERADE

[root@L2TP xl2tpd-1.2.4]# /etc/init.d/iptables save


     7.启动l2tp

[root@L2TP xl2tpd-1.2.4]# /usr/local/sbin/xl2tpd -D     #以debug方式启动l2tp

显示如下:

wKiom1WP_UWS-6xbAAI40r5CdFM945.jpg

说明已经在监听端口了。

[root@L2TP xl2tpd-1.2.4]# /usr/local/sbin/xl2tpd -s start          #启动l2tp

[root@L2TP xl2tpd-1.2.4]# lsof -i udp:1701                               #检查l2tp端口
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
xl2tpd  3324 root    3u  IPv4  19295      0t0  UDP *:l2tp

 

     8.扫尾工作

[root@L2TP xl2tpd-1.2.4]# vim /etc/rc.local

===============在文件末尾行添加如下===============

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart
/usr/local/sbin/xl2tpd

===================结      束===================


     9.客户端验证

开启windows主机上的ipsec服务

wKioL1WP_xfi_IOfAAITXXG74G8826.jpg

wKiom1WP_VfxmPmnAAFBjRpkAxU847.jpg

wKioL1WP_xjiQiZkAAF1lrDlPo4681.jpg

现在两个客户端都连接到***。 在服务端查看IP地址

[root@L2TP ~]# ifconfig

wKioL1WP_yDiDjAGAAIaEJiryyw520.jpg

需要把udp500,TCP/UDP4500发布到公网


转载于:https://blog.51cto.com/chenxiaojian/1668834

2018-01-17 17:53:19 pcjustin 阅读数 206

Linux 安装 l2tp

安装如下必要软件

sudo apt install \
git \
intltool \
libtool \
network-manager-dev \
libnm-util-dev \
libnm-glib-dev \
libnm-glib-vpn-dev \
libnm-gtk-dev \
libnm-dev \
libnma-dev \
ppp-dev \
libdbus-glib-1-dev \
libsecret-1-dev \
libgtk-3-dev \
libglib2.0-dev \
xl2tpd \
strongswan  

下载 l2tp代码

git clone https://github.com/nm-l2tp/network-manager-l2tp.git

编译代码且安装

cd network-manager-l2tp 
./autogen.sh
./configure \
  --disable-static --prefix=/usr \
  --sysconfdir=/etc --libdir=/usr/lib/x86_64-linux-gnu \
  --libexecdir=/usr/lib/NetworkManager \
  --localstatedir=/var \
  --with-pppd-plugin-dir=/usr/lib/pppd/2.4.7
make  
sudo make install

设置环境

sudo apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.charon  
sudo apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.stroke

应该就可以在network-manager 看到

2015-11-02 14:35:59 weixin_34221073 阅读数 0

http://help.aliyun.com/knowledge_detail.htm?knowledgeId=5974459

可以参考这个文章设置

1、下载xl2tp

http://pkgs.org/search/?query=xl2tp&type=smart选择相应的版本进行下载

 

 

2、安装xl2tp和ppp

yum install xl2tpd

yum install ppp

 

3、 配置xl2tpd.conf

文件地址: /etc/xl2tpd/xl2tpd.conf

为了保险,在修改配置文件之前先备份原有文件,原始的xl2tpd.conf里面有[lns default],这个好像是用来将xl2tpd当做l2tpd服务器的关键语句。

要将xl2tpd作为l2tp的client话,我把xl2tpd.conf里面的所有东西都删掉了,加入了下面几行

vi /etc/xl2tpd/xl2tpd.conf将下面内容直接复制到里面,注意填写正在的×××账号和服务器地址,保存退出

[lac test***(×××名称)]

name = l2tp_user_name                                  ; l2tp帐号

lns = 192.168.11.1                                           ; l2tp server的IP

pppoptfile = /etc/ppp/peers/test***.l2tpd         ; pppd拨号时使用的配置文件

ppp debug = yes

 

4、设置拨号配置文件:

文件路径:xl2tpd.conf文件中pppoptfile =/etc/ppp/peers/test***.l2tpd

用vi /etc/ppp/peers/test***.l2tpd进行编辑

将下面内容直接复制到里面然后保存退出

remotename test***

user "l2tp_user_name"如果服务器是windows下面域环境这里的写法应为“域名\\用户名”用 用\ 对\进行转义

password "l2tp_user_password"

unit 0

lock

nodeflate

nobsdcomp

noauth

persist

nopcomp

noaccomp

maxfail 5

debug

5、 配置文件都建好后,可以启动xl2tpd了,注意启动不代表拨号

运行方式1: 运行/etc/init.d/xl2tpd start即可,这种启动方式会自动去找/etc/xl2tpd/xl2tpd.conf这个配置文件,

运行方式2:# xl2tpd -c "/your/config_file/path",如果使用此方法,要确保存在/var/run/xl2tpd/这个目录,其实看看/etc/init.d/xl2tpd这个文件也可以看出来,如果不存在,脚本会创建这个目录

6、 开始拨号:

# echo 'c test***' > /var/run/xl2tpd/l2tp-control

拨号成功的话,通过ifconfig可以看见有个ppp0的接口

 

7、 断开连接:

# echo 'd test***' > /var/run/xl2tpd/l2tp-control

8、启动xl2tpd到拨号,整个过程可查看日志

tail -f /var/log/message

 

 

参考来源:http://nanjingabcdefg.is-programmer.com/posts/25458.html


转载于:https://blog.51cto.com/zhangfang526/1708796

2018-08-24 10:20:13 weixin_33841722 阅读数 8

linux 部署l2tp ipsec×××

L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。

L2TP自身不提供隧道验证,从L2TP的包头可以看出。隧道认证是由PPP(pap或chap)协议提供!而PPTP则支持隧道验证,PPTP自身就是PPP的扩展!但是当L2TP或PPTP与IPsec共同使用时,可以由IPsec提供隧道验证,不需要在第2层协议上验证隧道.

关闭selinux

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

重启生效reboot;

setenforce 0 
临时关闭selinux,这样就不用重启了。

停止NetworkManager

systemctl stop NetworkManager
systemctl disable NetworkManager

查看主机是否支持pptp

[root@localhost ~]# modprobe ppp-compress-18 && echo yes
yes
# 返回yes 代表支持

是否开启了TUN

[root@localhost ~]# cat /dev/net/tun 
cat: /dev/net/tun: File descriptor in bad state

yum安装epel

yum -y install epel-release

安装xl2tpd

yum install -y xl2tpd libreswan

libreswan提供ipsec服务
以前是openswan提供ipsec服务。

编辑xl2tpd配置文件

[root@localhost ~]# cat /etc/xl2tpd/xl2tpd.conf | grep -v "^;"

[global]

[lns default]
# 设置给***客户端分配的地址段
ip range = 172.16.200.100-172.16.200.200
# 设置***客户端分配的网关
local ip = 172.16.200.1
require chap = yes
refuse pap = yes
require authentication = yes
name = Linux×××server
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

编辑pppoptfile options.xl2tpd文件

[root@localhost ~]# cat /etc/ppp/options.xl2tpd 
ipcp-accept-local
ipcp-accept-remote
#设置dns
ms-dns  119.29.29.29
# ms-dns  192.168.1.1
# ms-dns  192.168.1.3
# ms-wins 192.168.1.2
# ms-wins 192.168.1.4
#noccp
auth
# crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
# lck
proxyarp
connect-delay 5000
# To allow authentication against a Windows domain EXAMPLE, and require the
# user to be in a group "××× Users". Requires the samba-winbind package
# require-mschap-v2
# plugin winbind.so
# ntlm_auth-helper '/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of="EXAMPLE\\××× Users"' 
# You need to join the domain on the server, for example using samba:
# http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients-lucid.html
# 添加以下内容
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
persist

编辑ipsec配置文件

[root@localhost ~]# cat /etc/ipsec.conf | grep -v "^#" | grep -v "^[[:space:]]#"

config setup
        virtual_private=%v4:172.16.200.0/24
        # 主要指定拨号分配给客户端的私有地址

include /etc/ipsec.d/*.conf

编辑include的conn文件

[root@localhost ~]# cat /etc/ipsec.d/l2tp-ipsec.conf 
conn L2TP-PSK-NAT
    rightsubnet=0.0.0.0/0
    dpddelay=10
    dpdtimeout=20
    dpdaction=clear
    forceencaps=yes
    also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=172.16.200.1   # 设置l2tp的内网网关地址
    leftprotoport=17/1701  # 17代表协议号;1701代表udp端口号
    right=%any
    rightprotoport=17/%any

设置用户名密码

[root@localhost ~]# cat /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
***2018 * Centos7 *
用户名 空格 * 空格 密码 空格 *

linux 部署l2tp ipsec×××

设置IPSec预共享密钥PSK

[root@localhost ~]# cat /etc/ipsec.d/default.secrets 
: PSK "test***"

firewalld防火墙设置

1701 :L2TP udp端口 (Virtual Private Networking)
4500 :IPSec NAT Traversal udp端口 ,是一种解决IP地址转换问题的方法
500   :isakmp udp端口,密钥交换协议(IKE)用于在两个通信实体协商和建立安全相关,交换密钥

firewall-cmd --permanent --add-service=ipsec
firewall-cmd --permanent --add-port=1701/udp
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

路由转发设置

[root@localhost ~]# cat /etc/sysctl.d/60-sysctl_ipsec.conf 
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.conf.eth1.rp_filter = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth2.accept_redirects = 0
net.ipv4.conf.eth2.rp_filter = 0
net.ipv4.conf.eth2.send_redirects = 0
net.ipv4.conf.ip_vti0.accept_redirects = 0
net.ipv4.conf.ip_vti0.rp_filter = 0
net.ipv4.conf.ip_vti0.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.ppp0.accept_redirects = 0
net.ipv4.conf.ppp0.rp_filter = 0
net.ipv4.conf.ppp0.send_redirects = 0

重启网卡服务生效

systemctl restart network

配置rsyslog转发xl2tpd日志

echo "xl2tpd;pppd                                             /var/log/xl2tpd.log" >> /etc/rsyslog.conf

systemctl restart rsyslog

ipsec启动

systemctl enable ipsec
systemctl restart ipsec

ipsec检查

[root@localhost ~]# ipsec verify                    
Verifying installed system and configuration files

Version check and ipsec on-path                         [OK]
Libreswan 3.23 (netkey) on 3.10.0-862.el7.x86_64
Checking for IPsec support in kernel                    [OK]
 NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects                    [OK]
         ICMP default/accept_redirects                  [OK]
         XFRM larval drop                               [OK]
Pluto ipsec.conf syntax                                 [OK]
Two or more interfaces found, checking IP forwarding    [OK]
Checking rp_filter                                      [ENABLED]
 /proc/sys/net/ipv4/conf/ens192/rp_filter               [ENABLED]
 /proc/sys/net/ipv4/conf/ens224/rp_filter               [ENABLED]
  rp_filter is not fully aware of IPsec and should be disabled
Checking that pluto is running                          [OK]
 Pluto listening for IKE on udp 500                     [OK]
 Pluto listening for IKE/NAT-T on udp 4500              [OK]
 Pluto ipsec.secret syntax                              [OBSOLETE]
  003 WARNING: using a weak secret (PSK)
Checking 'ip' command                                   [OK]
Checking 'iptables' command                             [OK]
Checking 'prelink' command does not interfere with FIPS [OK]
Checking for obsolete ipsec.conf options                [OK]

ipsec verify: encountered 5 errors - see 'man ipsec_verify' for help

启动xl2tpd

systemctl enable xl2tpd
systemctl restart xl2tpd

windows客户端连接

建立的网卡适配器属性修改内容:

安全 → 安全类型→选择ipsec L2tp 第2层隧道协议,勾选允许使用协议 pap、chap、chap version 2

linux 部署l2tp ipsec×××

网络→internet协议版本4→属性→高级→ 去掉 在远程网络上使用默认网关的 对勾(如果希望通过从l2tpd服务器端上网,可以不取消。)

linux 部署l2tp ipsec×××

最后点击连接,输入用户名和密码。

linux 部署l2tp ipsec×××

客户端验证:

linux 部署l2tp ipsec×××

查看xl2tpd日志

[root@localhost ~]# more /var/log/xl2tpd.log 
类似...
Aug 21 14:37:45 localhost pppd[8038]: rcvd [IPCP ConfAck id=0x1 <addr 172.16.200.1>]
Aug 21 14:37:45 localhost pppd[8038]: rcvd [IPCP ConfReq id=0x7 <addr 0.0.0.0> <ms-dns1 0.0.0.
0> <ms-dns2 0.0.0.0>]
Aug 21 14:37:45 localhost pppd[8038]: sent [IPCP ConfNak id=0x7 <addr 172.16.200.100> <ms-dns1
 119.29.29.29> <ms-dns2 119.29.29.29>]
Aug 21 14:37:45 localhost pppd[8038]: rcvd [IPCP ConfReq id=0x8 <addr 172.16.200.100> <ms-dns1
 119.29.29.29> <ms-dns2 119.29.29.29>]
Aug 21 14:37:45 localhost pppd[8038]: sent [IPCP ConfAck id=0x8 <addr 172.16.200.100> <ms-dns1
 119.29.29.29> <ms-dns2 119.29.29.29>]
Aug 21 14:37:45 localhost pppd[8038]: Cannot determine ethernet address for proxy ARP
Aug 21 14:37:45 localhost pppd[8038]: local  IP address 172.16.200.1
Aug 21 14:37:45 localhost pppd[8038]: remote IP address 172.16.200.100
...

转载于:https://blog.51cto.com/506554897/2163726

2018-07-30 09:57:16 xqhrs232 阅读数 1942

原文地址::https://blog.csdn.net/qq_39265492/article/details/80404693

相关文章

1、WIN7下VPN的建立方法(PPTP与L2TP)----https://jingyan.baidu.com/article/fdbd427713f4a2b89f3f487b.html

 

首先配置网络YUM源:

通过下面这条命令get到阿里云的网络yum源到/etc/yum.repos.d/epel.repo文件下。

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

 

 

1、一些预先准备的环境

yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man

yum install openswan ppp xl2tpd

2、配置

(1)vi /etc/ipsec.conf
替换为如下内容,把下面0.0.0.0换成服务器的外网IP(注意一定要有字符缩进,距离不要改变)
config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey
conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=0.0.0.0  
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

 

(2)编辑/etc/ipsec.secrets

替换内容如下:(0.0.0.0换成服务器的外网IP)

include /etc/ipsec.d/*.secrets

0.0.0.0 %any: PSK "jelly"

(3)修改/添加 /etc/sysctl.conf并生效

在/etc/sysctl.conf的末尾加上如下内容

net.ipv4.ip_forward = 1

net.ipv4.conf.default.rp_filter = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

net.ipv4.conf.all.log_martians = 0

net.ipv4.conf.default.log_martians = 0

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.icmp_ignore_bogus_error_responses = 1

 

生效上面的修改使用如下命令

sysctl -p

 

(4)验证ipsec运行状态

ipsec restart

ipsec verify

如果出现如下内容,说明已经成功:

  1. Checking your system to see if IPsec got installed and started correctly:
  2. Version check and ipsec on-path                                 [OK]
  3. Linux Openswan U2.6.32/K2.6.32-431.20.3.0.1.el6.centos.plus.x86_64 (netkey)
  4. Checking for IPsec support in kernel                            [OK]
  5. SAref kernel support                                           [N/A]
  6. NETKEY:  Testing for disabled ICMP send_redirects              [OK]
  7. NETKEY detected, testing for disabled ICMP accept_redirects     [OK]
  8. Checking that pluto is running                                  [OK]
  9. Pluto listening for IKE on udp 500                             [OK]
  10. Pluto listening for NAT-T on udp 4500                          [OK]
  11. Checking for 'ip' command                                       [OK]
  12. Checking /bin/sh is not /bin/dash                               [OK]
  13. Checking for 'iptables' command                                 [OK]
  14. Opportunistic Encryption Support                                [DISABLED]

 

(5) 编辑 /etc/xl2tpd/xl2tpd.conf  这一步可以跳过
ip range 写客户端的内网IP段,local ip写客户端内网IP

[lns default]

ip range = 10.10.0.2-10.10.0.100

local ip = 10.10.0.1

require chap = yes

refuse pap = yes

require authentication = yes

name = LinuxVPNserver

ppp debug = yes

pppoptfile = /etc/ppp/options.xl2tpd

length bit = yes

bps = 1000000

 

(6)配置用户名,密码:编辑 /etc/ppp/chap-secrets

# Secrets for authentication using CHAP

# client        server  secret                  IP addresses

username * "userpass" *

 

注:username换成你要登录的用户名,userpass换成密码

(7)重启xl2tp

service xl2tpd restart

(8)添加自启动

chkconfig xl2tpd on

chkconfig iptables on

chkconfig ipsec on

(9)转发规则(需要设置,否则连上VPN无法上网)

yum install iptables-services -y

iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

service iptables save

 

注:10.10.0.0/24跟/etc/xl2tpd/xl2tpd.conf的设置相对应,eth0要改成你内网的网络名字

(10)关闭防火墙

systemctl stop firewalld

 

 

接下来就可以用电脑连接:

首先,需要修改注册表regedit
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters]
ProhibitIPSec的值修改为1
如果没有ProhibitIPSec项,需要点击右键新建dword,重命名为ProhibitIPSec,值设置为1
其次,重启你的本地电脑(必须重启哦)

连接方式和pptp的vpn连接方式相同!!!

没有更多推荐了,返回首页