Linux之L2TP VPN

一、简介
     第二次隧道协议L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议, 它使用UDP的1701端口进行通信。 L2TP本身并没有任何加密, 但是我们可以是用IPSec对L2TP包进行加密。 L2TP VPN比PPTP VPN搭建复杂一些。

二、安装IPsec, Openswan是Linux系统上IPsec的一个实现
     1. 查看系统版本及内核, 关闭selinux
[root@L2TP ~]# uname -r && cat /etc/redhat-release
2.6.32-358.el6.x86_64
CentOS release 6.4 (Final)
[root@L2TP ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux
[root@L2TP ~]# reboot

     2. 用yum安装L2TP所需软件包
[root@L2TP ~]# yum -y install gcc gmp-devel bison flex lsof openswan

     3. 编辑ipsec配置文件
[root@L2TP ~]# vim /etc/ipsec.conf
================在文件末尾行添加如下================
config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=服务器公网IPV4地址
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any
===================结           束===================

     4. 设置PSK预共享密钥
[root@L2TP ~]# vim /etc/ipsec.secrets
=====在文件末尾行添加如下=====
服务器公网IPV4地址 %any: PSK "123.com"
=========结      束=========

     5. 修改包转发设置
[root@L2TP ~]# vim /etc/rc.local
=====在文件末尾行添加如下=====
for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done
=========结      束=========
[root@L2TP ~]# source !$
[root@L2TP ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1          #将0改为1
[root@L2TP ~]# sysctl -p

     6. 重启IPSec测试
[root@L2TP ~]# /etc/init.d/ipsec start
[root@L2TP ~]# ipsec verify

Linux之L2TP VPN

file:///C:/Users/ADMINI~1/AppData/Local/Temp/enhtmlclip/Image.png
没有报[FAILED]就可以了。

     7. 可以尝试新建一个ipsec+l2tp的连接, 填好服务器地址和共享秘钥,但连接拨号查看

Linux之L2TP VPN

Linux之L2TP VPN

Linux之L2TP VPN

Linux之L2TP VPN

Linux之L2TP VPN

Linux之L2TP VPN

查看Linux服务器日志
[root@L2TP ~]# tail -f /var/log/secure
192.168.15.20 #4: STATE_QUICK_R2: IPsec SA established transport mode  
如果出现了类似记录即正常。


二、安装L2TP(xl2tpd和rp-l2tp)
     1. 安装关联包
[root@L2TP ~]# yum -y install libpcap-devel ppp

     2. 安装L2TP
[root@L2TP ~]# cd /usr/local/src/
[root@L2TP src]# wget http://downloads.sourceforge.net ... /rp-l2tp-0.4.tar.gz
[root@L2TP src]# tar -zxvf rp-l2tp-0.4.gz
[root@L2TP src]# cd rp-l2tp-0.4
[root@L2TP rp-l2tp-0.4]# ./configure
[root@L2TP rp-l2tp-0.4]# echo $?
0
[root@L2TP rp-l2tp-0.4]# make
[root@L2TP rp-l2tp-0.4]# echo $?
0
[root@L2TP rp-l2tp-0.4]# cp handlers/l2tp-control /usr/local/sbin/
[root@L2TP rp-l2tp-0.4]# mkdir /var/run/xl2tpd
[root@L2TP rp-l2tp-0.4]# ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control
[root@L2TP rp-l2tp-0.4]# cd ../
[root@L2TP src]# wget  http://www.xelerance.com/software/xl2tpd/xl2tpd-1.2.4.tar.gz
[root@L2TP src]# tar -zxvf xl2tpd-1.2.4.tar.gz
[root@L2TP src]# cd xl2tpd-1.2.4
[root@L2TP xl2tpd-1.2.4]# make install

     3. 配置
[root@L2TP xl2tpd-1.2.4]# mkdir /etc/xl2tpd
[root@L2TP xl2tpd-1.2.4]# vim /etc/xl2tpd/xl2tpd.conf
注意, ip range不要和你的lan ip冲突。
=====在文件末尾行添加如下=====
[global]
ipsec saref = yes
[lns default]
ip range = 10.10.10.10-10.10.10.20
local ip = 10.10.10.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
=========结      束=========


     4. 修改ppp配置
[root@L2TP xl2tpd-1.2.4]# vim /etc/ppp/options.xl2tpd
=====在文件末尾行添加如下=====
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
=========结      束=========


     5. 添加用户名/密码
[root@L2TP xl2tpd-1.2.4]# vim /etc/ppp/chap-secrets
=====在文件末尾行添加如下=====
# client          server     secret                  IP addresses
  vpnuser       l2tpd     vpnpasswd                 *
=========结      束=========


     6. 启用包转发
[root@L2TP xl2tpd-1.2.4]# iptables --table nat --append POSTROUTING --jump MASQUERADE
[root@L2TP xl2tpd-1.2.4]# /etc/init.d/iptables save

     7.启动l2tp
[root@L2TP xl2tpd-1.2.4]# /usr/local/sbin/xl2tpd -D     #以debug方式启动l2tp
显示如下：

Linux之L2TP VPN

说明已经在监听端口了。
[root@L2TP xl2tpd-1.2.4]# /usr/local/sbin/xl2tpd -s start          #启动l2tp
[root@L2TP xl2tpd-1.2.4]# lsof -i udp:1701                               #检查l2tp端口
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
xl2tpd  3324 root    3u  IPv4  19295      0t0  UDP *:l2tp

     8.扫尾工作
[root@L2TP xl2tpd-1.2.4]# vim /etc/rc.local
===============在文件末尾行添加如下===============
iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart
/usr/local/sbin/xl2tpd
===================结      束===================



     9.客户端验证
开启windows主机上的ipsec服务

Linux之L2TP VPN

Linux之L2TP VPN

Linux之L2TP VPN

file:///C:/Users/ADMINI~1/AppData/Local/Temp/enhtmlclip/Image(8).png
file:///C:/Users/ADMINI~1/AppData/Local/Temp/enhtmlclip/Image(9).png
file:///C:/Users/ADMINI~1/AppData/Local/Temp/enhtmlclip/Image(10).png
现在两个客户端都连接到vpn。 在服务端查看IP地址
[root@L2TP ~]# ifconfig
file:///C:/Users/ADMINI~1/AppData/Local/Temp/enhtmlclip/Image(11).png

Linux之L2TP VPN

需要把udp500，TCP/UDP4500发布到公网

给力啊~~~

支持版主!!!!

话说，楼主，你的windows是什么版本的 好像很老的说。。。

然后这个讲的很清楚，搭建vpn，恩恩，学习一下
对了，问一个问题，那个openswan直接yum安装的话，使用的是netkey的方式，如果我想要用别的方式呢

月是夜的明 发表于 2015-10-26 19:52
话说，楼主，你的windows是什么版本的 好像很老的说。。。

😄  这是win7系统

月是夜的明 发表于 2015-10-26 19:55
然后这个讲的很清楚，搭建vpn，恩恩，学习一下
对了，问一个问题，那个openswan直接yum安装的话，使用的是 ...

楼主只尝试过这种方法..

{:good:}{:good:}

攻城狮论坛的资料就是全，在这里找不到的资料在其他网站也很难找到！

多谢楼主分享