L2TP/IPSEC搭建详细步骤

原创 已于 2023-03-01 10:08:39 修改 · 3w 阅读 · 75 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#L2TP

于 2019-09-12 17:18:24 首次发布
部署运行你感兴趣的模型镜像

背景:长沙分公司访问北京总公司的办公OA业务,目前的方法是通过在北京总公司出口防火墙上配置OA业务的端口映射,然后在长沙分公司通过输入北京总部给的域名带上映射的端口即可访问,但该访问过程经过公网,存在数据被截取的风险,当前北京总公司空闲一台linux服务器,计划利旧该linux服务器搭建l2tp的方式来打通两地的内网,达到公网可以安全访问OA业务的目的。以下是在该linux服务器上搭建L2TP/IPSEC的配置过程,希望对有类似问题的公司相关运维人员有所帮助。

依赖环境

yum update
yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man

openswan(ipsec)

简单的说openswan就是ipsec,安装openswan也就是安装ipsec,这里不深入探讨openswan方案

yum install openswan

接下来配置ipsec。ipsec的配置文件是/etc/ipsec.conf,安装好openswan后,配置文件是默认内容。我们为了方便,把默认的配置文件备份到某个目录下,比如~/~etc/ipsec.conf,然后自己新建一个ipsec.conf,执行方法如下:

mkdir ~/~etc
mv /etc/ipsec.conf ~/~etc/ipsec.conf
vi /etc/ipsec.conf

接下来,就准备新建一个ipsec.conf,我们把下面的内容直接全部拷贝为新文件的内容

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.18.0/24
    oe=off
    protostack=netkey
 
conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
 
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=xxx.xxx.xxx.xxx
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

上面有一行是left=xxx.xx.xx.xx,这里要把left的值改为服务器的IP 地址,外网可以访问的IP地址。也就是客户端连接L2TP的时候,客户端会让填的公网IP

接下来配置密钥。L2TP比PPTP多了一个密钥项,这也是它比PPTP更安全的原因之一。这个密钥其实就是一个密码,不同于用户的登录密码,它相当于一个设备之间通信的密钥。它的配置文件是/etc/ipsec.secrets,按照相同的方法,我们先备份一下它,然后新建一个我们自己的:

mv /etc/ipsec.secrets ~/~etc/ipsec.secrets
vi /etc/ipsec.secrets

然后把下面的内容放到新建的配置文件中:

xxx.xxx.xxx.xxx %any: PSK "YourPsk"

同理,上面的xxx.xxx.xxx.xxx是服务器的公网IP,而后面的"YourPsk"中的YourPsk就是密钥的内容。你可以改为自己的任意字符串。反正在你连接登录VPN的时候,是需要这个PSK的。

运行ipsec.

ipsec setup restart
chkconfig ipsec on

这样,ipsec就跑起来了。网上还说需要使用ipsec verify去验证ipsec是否真的跑起来可以用,我觉得可以暂时不看,比较整个环境还没配完。

PPP

PPP就是一个拨号软件,用来提供用户登录的用户名和密码验证用的

yum install ppp

我们现在还没有搭建起整个VPN,但是可以先在PPP中把要用来登录的用户名和密码先安排好:

vi /etc/ppp/chap-secrets

在上面的文件中新增一行:

loginname *  loginpassword  *

有两个星号,第一个表示以后所有使用PPP作为用户认证的服务,都可以使用这个用户名和密码,包括PPTP和L2TP都可以使用loginname。第二个星号表示这个用户可以从任何IP登录。如果你希望控制一下,可以把星号改成具体的值来限制。

xl2tpd

就像pptp和pptpd一样,L2TP也依赖于xl2tpd。

yum install wget
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/Packages/x/xl2tpd-1.3.8-1.el6.x86_64.rpm
yum install xl2tpd-1.3.8-1.el6.x86_64.rpm

注:可以在pkgs.org这个网站上搜索xl2tpd找到你需要的版本

安装好xl2tpd之后,我们进行配置。它的配置文件有两个,一个是/etc/xl2tpd/xl2tpd.conf一个是/etc/ppp/options.xl2tpd,其实第一个文件把第二个文件包含进来而已。同样的道理,我们仍然采用备份和创建新文件的方法来修改配置文件:

mkdir ~/~etc/xl2tpd
mv /etc/xl2tpd/xl2tpd.conf ~/~etc/xl2tpd/xl2tpd.conf
vi /etc/xl2tpd/xl2tpd.conf

把下面的内容写进去:

[global]
ipsec saref = yes
listen-addr = xxx.xxx.xxx.xxx
[lns default]
ip range = 192.168.18.2-192.168.18.100
local ip = 192.168.18.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

和上面提到的一样xxx.xxx.xxx.xxx也要改成你自己的服务器外网IP。

mkdir ~/~etc/ppp
mv /etc/ppp/options.xl2tpd ~/~etc/ppp/opitons.xl2tpd
vi /etc/ppp/options.xl2tpd

写入下面的内容:

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

这样,xl2tpd的配置就好了。

启动xl2tpd服务:

service xl2tpd restart
chkconfig xl2tpd on

sysctl

sysctl的功能是开启转发。它能够将服务器内部的ip地址关系进行转发和映射,从而实现我们链接VPN之后的用户,能够通过内部的一些端口进行请求的转发。

vi /etc/sysctl.conf

找到下面几个选项,并把值改为我提供的值:

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1

如果没有找到某些选项,直接把它写到文件的末尾。保存之后,执行:

sysctl -p

这样配置就生效了。

iptables

iptables它是个防火墙软件,我们需要iptables来作为外部请求的转发。sysctl帮我们解决的是,一个用户通过ppp连接到服务器之后,他发的请求在服务器内部是怎样实现映射的,所以,没有iptables,用户通过上面的那些配置,就可以登录连接到L2TP VPN了,但是很有可能是连接上无法上网,因为外部的请求还没有转发啊。所以,我们执行下面的这些命令,来使iptables实现转发。

iptables -I INPUT -m policy --dir in --pol ipsec -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -m policy --dir out --pol none -j MASQUERADE
iptables -I FORWARD -i ppp+ -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -m policy --dir in --pol ipsec -p udp --dport 1701 -j ACCEPT
iptables -I INPUT -p udp --dport 500 -j ACCEPT
iptables -I INPUT -p udp --dport 4500 -j ACCEPT
iptables -t nat -I POSTROUTING -o enp4s0 -j MASQUERADE
iptables -t nat -I POSTROUTING -o enp3s0 -j MASQUERADE

上面的最后两条iptables中的enp4s0和enp3s0是对应的服务器网卡名称,需要修改成自己对应的网卡名称

service iptables save
service iptables restart

调整完,执行service iptables restart,以确保你的服务器外网转发OK。

总结

这个时候,我们在来运行一下:

ipsec setup restart 
ipsec verify

我们简单总结一下,我们这篇教程里面用到的软件有:

openswan(ipsec) : 提供一个密钥
ppp :提供用户名和密码
xl2tpd : 提供L2TP服务
sysctl : 提供服务器内部转发
iptables : 提供请求从服务器内部转向外部,外部响应转向服务器内部

涉及到的一些配置文件

ipsec配置文件监听IP:/etc/ipsec.conf
ipsec共享秘钥文件:/etc/ipsec.secrets
用户名和密码:/etc/ppp/chap-secrets
xl2tpd配置文件:/etc/xl2tpd/xl2tpd.conf
设置dns:/etc/ppp/options.xl2tpd

这就是我们搭建L2TP VPN的相关知识,结束

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

goinggo
关注
Linux IPv4 IPsec 输出处理机制深度解析
数字人生
09-16 166
模块化设计:各功能模块职责单一,接口清晰性能意识:充分考虑各种优化场景(GSO、条件执行)框架集成:与 Netfilter 等现有框架优雅集成错误恢复:健全的错误检测和处理机制扩展性:通过设计模式支持未来扩展这种精心设计的处理流程不仅保证了 IPsec 功能的正确性,也确保了网络性能的最优化,展现了 Linux 内核网络栈的成熟和稳健。通过深入理解这些机制,开发者可以更好地进行网络性能调优和功能扩展,也为学习其他网络协议处理提供了优秀范例。if (!goto out;
WindowServers2022 L2TP/IPSec(基于证书)
weixin_45564816的博客
02-19 2193
采用2022年全国职业院校技能大赛网络系统管理赛项模块B:Windows部署(样题8)
centos7搭建基于strongswan ipsecl2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
Centos7.5 系统使用L2TP/IPSec搭建服务器
weixin_34037515的博客
10-09 6757
一、L2TP介绍1、L2TP定义L2TP(Layer 2 Tunneling Protocol,二层隧道协议),通过公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信...
【异地组网专题】linux安装L2TP服务器
中国程序猿
09-06 609
1.先看看你的主机是否支持pptp,返回结果为yes就表示通过 modprobe ppp-compress-18 && echo yes 2.是否开启了TUN cat /dev/net/tun 有的虚拟机主机需要开启,返回结果为cat: /dev/net/tun: File descriptor in bad state。就表示通过。 3.更新一下再安装 yum install update yum update -y 4.安装EPEL源 yum install -
网络工程师——VPN
衍生星球的博客
10-23 3216
P 路由器是 MPLS 核心网中的路由器,在运营商网络中,这种路由器只负责依据MPLS标签完成数据包的高速转发,P 路由器只维护到 PE 路由器的路由信息,而不维护 VPN 相关的路由信点。传输模式下的AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头。多协议标记交换(Multi-Protocol Label Switching,MPLS)是核心路由器利用含有边缘路由器在IP分组内提供的前向信息的标签(Label)或标记(Tag),实现网络层交换的一种交换方式。
PPTP、L2TPIPSec、IPS 有什么区别?
Ssm2022的博客
07-11 3144
随着互联网的发展,保护网络通信的安全越来越重要。PPTP、L2TPIPSec、IPS是常见的网络安全协议和技术,在保护网络通信安全方面发挥着不同的作用和特点。下面介绍PPTP、L2TPIPSec、IPS之间的区别。
centos7 L2TP/ipsec 搭建
zerotoall的博客
06-07 7513
centos7 L2TP/ipsec 搭建
WIN电脑L2tp组建立 与远程路由器组网并映射路由器子网下设备到公网
一个不是码农的码农
05-30 2880
有时候我们需要远程访问家中设备亦或者需要远程访问异地的4G路由器下的设备,奈何没有没有openwrt路由器。且运营商死活不给公网IP.又或者因为蒲公英组网权限每个月只有3次。所以想有另外一种方式访问路由器下的设备。
如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec ***
weixin_33860553的博客
03-15 2281
原文地址:http://blog.youkuaiyun.com/simonjay2007/article/details/7563933 很多公司出于商业资料安全性的考虑,要求员工在移动办公过程中使用 ××× 接入互联网。目前国内用户比较熟悉的 ××× 接入方式是 PPTP,但有时你或许需要用安全性更强的 L2TP / IPSec 方式接入。本站的 Rio 最近在一台 Ubuntu 和一...
CentOS7部署l2tp/IPsec服务
weixin_30539835的博客
01-12 2718
1、安装必要的工具 yum install vim net-tools wget unzip -y 2. 下载安装脚本 wget -O StackScript.zip http://files.cnblogs.com/files/think8848/StackScript.zip 3. 解压文件 unzip StackScript.zip 4. 执行...
虚拟私有网络L2tp搭建脚本
10-31
L2TP搭建脚本,适用于Ubuntu,运行后,按照提示即可设定所有参数。简单易用,已验证正确。
基于Windows Server 2008 R2架设L2TP/IPsec ×××(预共享密钥)
chanbangsi7669的博客
06-22 6244
实验环境:一台Windows Server 2008 R2虚拟机(×××服务器),一台Windows XP虚拟机(内网客户端),一台Windows 7虚拟机(外网客户端)。在Windows Server 2008 R2上架设L2TP/IPsec ×××服务,实现外网客户端能与内网客户端通信,由于我是用VMware workstation做的实验,外网是物理机的网段为172.16.0.0/24,内网...
CentOS_7环境搭建L2TP服务器
m0_71817514的博客
07-20 2万+
CentOS_7环境搭建L2TP服务器
搭建L2TP-***
weixin_34240657的博客
02-13 1806
-------------L2TP ×××--------------1、搭建环境yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced manyum install openswan ppp xl2tpd -y2、安装openswanwget https...
CentOS7系统搭建L2TP VPN服务--服务端搭建
疏笃
11-25 3674
注意:提前将xl2tpd和openswan软件包和依赖包放在仓库里。安装完毕后通过启动服务测试是否安装正确。如果能正常启动表示没有部里,如果不能启动,建议重新安装。以下图组网为例,讲解L2TP VPN的搭建
l2tp vpn server搭建教程
weixin_46523990的博客
05-17 4149
安装l2tpsudo apt install xl2tpdsudo apt install strongswansudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpsudo apt install network-manager-l2tp修改配置文件然后是配置部分了,需要用sudo权限来修改下面几个文件:(1) 编辑/etc/ipsec.confconn L2TP-IPSEC authby=secret auto=add keyi
ubuntu linux 下建立L2TP 服务端
热门推荐
Jayson 博客
05-31 2万+
一、ipsec1、源码下载 openswan 使服务器支持ipsechttps://download.openswan.org/openswan/2、安装 openswan-2.6.50.tar.gza、tar -vxf openswan-2.6.50.tar.gz b、从文件中openswan-2.6.50 README的 1. The GNU Math Precision Library: ...
【物联网】 ubantu20.04 搭建L2TP服务器
最新发布
程序猿学社的博客
05-19 1897
vpn服务器搭建,以及通过有人设备连接vpn服务器
l2tp/lpsec
01-01
### L2TP/IPSec 协议介绍 L2TP (Layer Two Tunneling Protocol) 是一种用于支持虚拟私有拨号网络(VPDN, Virtual Private Dial-up Network) 的隧道协议[^1]。然而,单独使用L2TP并不提供足够的安全性来保护传输的数据流免受窃听或篡改攻击。 为了增强安全性,通常会将L2TPIPSec(Internet Protocol Security) 结合起来使用。这种组合不仅提供了L2TP的功能特性,而且利用了IPSec的安全机制,包括加密、身份验证以及数据完整性校验等功能[^2]。因此,L2TP over IPsec 成为了一种广泛应用于企业环境中的解决方案,特别是对于移动办公场景下的安全接入需求。 ### 实现原理 在实现过程中,客户端发起连接请求至LNS(L2TP Network Server),并通过预共享密钥或其他认证方式完成双方的身份确认过程;随后建立一条基于UDP封装的L2TP隧道,并在此基础上构建ESP(Encapsulating Security Payload)/AH(Authentication Header)形式的安全关联(SA)。整个通讯流程都受到严格的加密处理,从而确保了信息传递的安全性和隐私性。 ### 配置方法概述 #### 设备准备 - **硬件设备**:至少两台路由器/防火墙作为两端节点(例如华为AR系列) - **软件平台**:可以选用eNSP等仿真工具来进行实验部署 #### 基本配置步骤说明 ##### 客户端设置 以Windows操作系统为例: 1. 打开“控制面板”,选择“网络和Internet”-> “网络和共享中心” 2. 点击左侧菜单栏里的“设置新的连接或网络... ”选项 3. 选取“连接到工作区”,点击下一步按钮 4. 选中“使用我的Internet连接(Dial-up or VPN)”一项后继续操作 5. 输入远程访问服务器地址(IPv4 地址 或者域名), 并指定此链接名称 6. 在高级设置窗口勾选启用L2TP/IPSec 加密选项 ##### 服务端配置要点 针对华为设备而言: ```shell # 进入系统视图 system-view # 创建ACL规则匹配特定源目地址范围内的流量 acl number 3000 rule permit ip source any destination any # 开启IKE协商功能并定义相应参数集 ike proposal 1 encryption-algorithm aes-cbc-256 integrity-algorithm sha2-256 dh group19 # 设置本地ID标识符以便于远端识别 identity local address <Local_IP_Address> # 添加对端描述信息及其对应的PSK(pre-shared key) peer name RemotePeerName pre-shared-key cipher YourPreSharedKeyHere! # 启动IPSec策略模板 ipsec policy template-name TemplatePolicy 1 isakmp security acl 3000 pfs dh-group19 proposal 1 # 绑定L2TP组与上述创建好的IPSec SA之间关系 l2tp enable l2tp-group 1 authentication-mode pap virtual-template 1 remote-address pool_name ipsec sa bind l2tp-group 1 ipsec-policy TemplatePolicy ``` 以上命令片段展示了如何在一个典型的华为路由器上快速搭建起能够接受来自外部LAC(Client) 发来的L2TP-over-IPSec 请求的服务端环境。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值