IPSec - Cento7 搭建L2TP/IPsec服务端 - 《CentOS7 维护笔记》

1. 先看看你的主机是否支持pptp，返回结果为yes就表示通过。
2.是否开启了TUN，有的虚拟机主机需要开启，返回结果为cat: /dev/net/tun: File descriptor in bad state,就表示通过。
3.安装EPEL源（CentOS7官方源中已经去掉了xl2tpd）
4.安装xl2tpd和libreswan(openswan已经停止维护)
5.编辑xl2tpd配置文件
6.编辑pppoptfile文件
7.编辑ipsec配置文件
8.编辑include的conn文件
9.设置用户名密码
10.设置预共享密钥PSK
11.CentOS7 防火墙设置(若关闭防火墙可不需要设置)
12.修改内核参数
13.启动ipsec
14.检查配置
15.启动xl2tp

1. 先看看你的主机是否支持pptp，返回结果为yes就表示通过。

modprobe ppp-compress-18 && echo yes
• 1

2.是否开启了TUN，有的虚拟机主机需要开启，返回结果为cat: /dev/net/tun: File descriptor in bad state,就表示通过。

cat /dev/net/tun

3.安装EPEL源（CentOS7官方源中已经去掉了xl2tpd）

yum install -y epel-release

4.安装xl2tpd和libreswan(openswan已经停止维护)

yum install -y xl2tpd libreswan lsof

5.编辑xl2tpd配置文件

vim /etc/xl2tpd/xl2tpd.conf # 以下配置增加到最后

[lns default]
ip range = 192.168.2.221-192.168.2.230  #分配连接客户端的地址
local ip = 192.168.2.220   #服务器内网IP，如果服务器没有固定的内网IP可以在外网IP上增加子接口
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

6.编辑pppoptfile文件

vim /etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns  218.104.111.114   #设置DNS
name xl2tpd
# ms-dns  192.168.1.1
# ms-dns  192.168.1.3
# ms-wins 192.168.1.2
# ms-wins 192.168.1.4
#noccp
auth
#obsolete: crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
#obsolete: lock
proxyarp
connect-delay 5000
# To allow authentication against a Windows domain EXAMPLE, and require the
# user to be in a group "VPN Users". Requires the samba-winbind package
# require-mschap-v2
# plugin winbind.so
# ntlm_auth-helper '/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1 --require-membership-of="EXAMPLE\\VPN Users"' 
# You need to join the domain on the server, for example using samba:
# http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients-lucid.html
refuse-pap
refuse-mschap
require-mschap-v2
persist
logfile /var/log/xl2tpd.log

7.编辑ipsec配置文件

vim /etc/ipsec.conf

#只修改一下选项，其他默认
protostack=netkey
dumpdir=/var/run/pluto/ #需要增加项

8.编辑include的conn文件

vim /etc/ipsec.d/l2tp-ipsec.conf #注意格式

conn L2TP-PSK-NAT
  rightsubnet=0.0.0.0/0
  dpddelay=10
  dpdtimeout=20
  dpdaction=clear
  forceencaps=yes
  also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
  authby=secret
  pfs=no
  auto=add
  keyingtries=3
  rekey=no
  ikelifetime=8h
  keylife=1h
  type=transport
  left=192.168.2.220    #服务器内网IP
  leftprotoport=17/1701
  right=%any
  rightprotoport=17/%any

9.设置用户名密码

vim /etc/ppp/chap-secrets

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test * 123456 *
# 格式为： 用户名  类型  密码  允许访问的ip
# 这个配置文件，也是pptpd的用户密码配置文件，直接类型上用*表示所有。因为这里我们只搭建l2tp/ipsec

10.设置预共享密钥PSK

vim /etc/ipsec.d/default.secrets 这里一定要注意格式冒号后面空格

: PSK "123456"  #123456为共享密钥，客户端连接时会用到此密码

11.CentOS7 防火墙设置(若关闭防火墙可不需要设置)

查看防火墙服务是否开启

systemctl status firewalld

Active:inactive(dead) 为关闭状态。

firewall-cmd --permanent --add-service=ipsec      # 放行ipsec服务
firewall-cmd --permanent --add-port=1701/udp      # xl2tp 的端口，默认1701
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-masquerade         # 启用NAT转发功能。必须启用此功能
firewall-cmd --reload                             # 重载配置

12.修改内核参数

vim /etc/sysctl.conf # 添加如下配置到文件中,参数后面不能有空格

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0

修改完成后

sysctl -p    # 加载内核参数使生效

13.启动ipsec

systemctl enable ipsec     # 设为开机启动
systemctl start ipsec     # 启动服务

14.检查配置

ipsec verify 检查状态
以下为命令输出：

Verifying installed system and configuration files
Version check and ipsec on-path                       [OK]
Libreswan 3.25 (netkey) on 3.10.0-693.11.6.el7.x86_64
Checking for IPsec support in kernel                  [OK]
 NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects                  [OK]
         ICMP default/accept_redirects                [OK]
         XFRM larval drop                             [OK]
Pluto ipsec.conf syntax                               [OK]
Two or more interfaces found, checking IP forwarding    [OK]
Checking rp_filter                                    [OK]
Checking that pluto is running                        [OK]
 Pluto listening for IKE on udp 500                   [OK]
 Pluto listening for IKE/NAT-T on udp 4500            [OK]
 Pluto ipsec.secret syntax                            [OK]
Checking 'ip' command                                 [OK]
Checking 'iptables' command                           [OK]
Checking 'prelink' command does not interfere with FIPS    [OK]
Checking for obsolete ipsec.conf options              [OK]

15.启动xl2tp

systemctl enable xl2tpd      # 设为卡机启动
systemctl start xl2tpd      # 启动xl2tp

针对于阿里云的云服务器要在安全组上要把500、1701和4500的UDP端口放行
阿里云盾的内置服务要关闭。
**