CentOS Linux VPS安装IPSec+L2TP VPN

CentOS Linux VPS安装IPSec+L2TP VPN

时间 2011-08-28 14:39:48 天使羊波波闪耀光芒相似文章 (0) 原文  http://www.live-in.org/archives/818.html

第二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,它使用UDP的1701端口进行通信。L2TP本身并没有任何加密,但是我们可以使用IPSec对L2TP包进行加密。L2TP VPN比PPTP VPN搭建复杂一些。

一、安装IPsec,Openswan是Linux系统上IPsec的一个实现。
官网: http://www.openswan.org/

1、安装必备软件:

yum install make gcc gmp-devel bison flex lsof

make,gcc我们都知道是干什么用的了。
gmp-devel: Development tools for the GNU MP arbitrary precision library.
bison: A GNU general-purpose parser generator.
flex: A tool for creating scanners (text pattern recognizers).
看上去好像都和编译器有关?

2、安装Openswan:
由于更新源上的版本是2.6.21-5.el5_6.4较老,这里使用源码安装,目前最新版是2.6.35。

cd /tmp
wget http://www.openswan.org/download/openswan-2.6.35.tar.gz
tar -zxvf openswan-2.6.35.tar.gz
cd openswan-2.6.35
make programs install

PS:进openswan-2.6.35目录看到已经有Makefile文件了,阅读目录内的INSTALL写着
Building userland:
make programs install

3、配置IPSec
编辑配置文件/etc/ipsec.conf:

cp /etc/ipsec.conf /etc/ipsec.conf.bak
vim /etc/ipsec.conf

查找protostack=auto,修改为:

protostack=netkey

在最后加入:

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=YOUR.SERVER.IP.ADDRESS
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

“YOUR.SERVER.IP.ADDRESS”换成VPS的外网IP。其中一些设置含义可以参考/etc/ipsec.d/examples/l2tp-psk.conf文件的内容。

4、设置共享密钥PSK
编辑配置文件/etc/ipsec.secrets:

vim /etc/ipsec.secrets

输入:

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"

5、修改包转发设置
复制以下两段代码在终端里运行:

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done

echo 1 >/proc/sys/net/core/xfrm_larval_drop

修改内核设置,使其支持转发,编辑/etc/sysctl.conf文件:

vim /etc/sysctl.conf

将“net.ipv4.ip_forward”的值改为1。

使修改生效:

sysctl -p

6、重启IPSec:

/etc/init.d/ipsec restart

查看系统IPSec安装和启动的正确性:

ipsec verify

没有报[FAILED]就可以了。

我用的这个VPS结果显示如下:

二、安装L2TP(xl2tpd和rp-l2tp)
xl2tpd是由Xelerance Corporation维护的l2tpd应用。但是xl2tpd没有l2tp-control,需要从rp-l2tp这个里面提取。所以要装这两个软件包。

1、安装必备软件:

yum install libpcap-devel ppp policycoreutils

2、安装xl2tpd和rp-l2tp:

cd /tmp
wget http://sourceforge.net/projects/rp-l2tp/files/rp-l2tp/0.4/rp-l2tp-0.4.tar.gz
tar -zxvf rp-l2tp-0.4.tar.gz
cd rp-l2tp-0.4
./configure
make
cp handlers/l2tp-control /usr/local/sbin/
mkdir /var/run/xl2tpd/
ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control

xl2tpd用的是目前最新的xl2tpd-1.3.0:

cd /tmp
wget http://www.xelerance.com/wp-content/uploads/software/xl2tpd/xl2tpd-1.3.0.tar.gz
tar -zxvf xl2tpd-1.3.0.tar.gz
cd xl2tpd-1.3.0
make
make install

显示安装了如下一些内容:

3、建立xl2tpd配置文件:

mkdir /etc/xl2tpd
vim /etc/xl2tpd/xl2tpd.conf

加入:

[global]
ipsec saref = yes

[lns default]
ip range = 10.82.88.2-10.82.88.254
local ip = 10.82.88.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

4、配置ppp
建立options.xl2tpd文件:

vim /etc/ppp/options.xl2tpd

加入:

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

5、设置拨号用户名和密码:

vim /etc/ppp/chap-secrets

6、添加iptables转发规则:

iptables --table nat --append POSTROUTING --jump MASQUERADE

保存iptables转发规则:

/etc/init.d/iptables save

重启iptables:

/etc/init.d/iptables restart

7、以debug方式启动l2tp,查看有无错误:

xl2tpd -D

显示如下:
xl2tpd[9647]: Enabling IPsec SAref processing for L2TP transport mode SAs
xl2tpd[9647]: IPsec SAref does not work with L2TP kernel mode yet, enabling forceuserspace=yes
xl2tpd[9647]: setsockopt recvref[22]: Protocol not available
xl2tpd[9647]: This binary does not support kernel L2TP.
xl2tpd[9647]: xl2tpd version xl2tpd-1.3.0 started on myserver.localdomain PID:9647
xl2tpd[9647]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
xl2tpd[9647]: Forked by Scott Balmos and David Stipp, (C) 2001
xl2tpd[9647]: Inherited by Jeff McAdams, (C) 2002
xl2tpd[9647]: Forked again by Xelerance (www.xelerance.com) (C) 2006
xl2tpd[9647]: Listening on IP address 0.0.0.0, port 1701
说明已经在监听端口了。现在可以在windows上建立L2TP拨号连接了。

三、设置开机启动

vim /etc/rc.local

加入:

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done

echo 1 >/proc/sys/net/core/xfrm_larval_drop

/etc/init.d/ipsec restart

/usr/local/sbin/xl2tpd

四、建立连接时遇到的问题
windows下新建一个VPN连接,属性-网络-VPN类型选择L2TP IPSec VPN,安全-IPSec设置-输入共享密钥。

提示“错误 768:因为加密数据失败连接尝试失败。”
IPSEC services被关掉了。开始-运行-输入services.msc,然后在服务中启用“IPSEC services”即可。

参考资料:
http://hi.baidu.com/wzypunk/blog/item/4566903cf418663b96ddd8b0.html
http://www.wifay.com/blog/2010/08/21/centos-install-ipsec-l2tp-vpn/

时间: 2024-10-12 21:18:50

CentOS Linux VPS安装IPSec+L2TP VPN的相关文章

(转)【IPSEC】CentOS/Ubuntu一键安装IPSEC/IKEV2 VPN服务器

转载自quericy的博客(https://quericy.me) 花了点时间将上次的Ubuntu.CentOS搭建IPSec/IKEv2 VPN服务器全攻略整理成了一份一键安装的脚本.适用于WindowsPhone,iOS,Android和PC设备.有需要的童鞋可以拿来食用~ ~ ~ ~ CetnOS测试了下貌似没什么问题,Ubuntu的手里暂时没有空闲vps就没试了,其实也差不多的,欢迎测试和反馈 最新更新内容请见Github上的项目说明:https://github.com/quericy

CENTOS/UBUNTU一键安装IPSEC/IKEV2 VPN服务器

1.在azure上创建ubuntu虚拟机 选择v15.04 server 版本 2.添加端口号 3.远程桌面到ubuntu 命令行 输入 sudo su  输入创建 ubuntu虚拟机 时候的 密码 切换到root身份. 4.开始创建 ipsec/ikev2 vpn 服务器 [注] 我选择的是  Xen.KVM 的vps类型 [注]修改后 文件 不生效 则重新启动虚拟机 [注]win7客户端连接vpn 需要证书安装到  计算机账户的 受信任的根证书颁发机构 具体如下:1.下载脚本: wget h

setting up a IPSEC/L2TP vpn on CentOS 6 or Red Hat Enterprise Linux 6 or Scientific Linux

This is a guide on setting up a IPSEC/L2TP vpn on CentOS 6 or Red Hat Enterprise Linux 6 or Scientific Linux 6 using Openswan as the IPsec server, xl2tpd as the l2tp provider and ppp for authentication. We choose the IPSEC/L2TP protocol stack because

CentOS 6、7下IPSEC/L2TP VPN一键安装脚本(openswan+xl2tpd)

CentOS 6.7下IPSEC/L2TP VPN一键安装脚本(openswan+xl2tpd) 概念性的东西这里不再赘述,网上有太多,一键安装脚本也有很多,但是很多不能用,能用的也仅仅只是在CentOS6下使用,CentOS7基本没看到这些安装脚本.于是花了一些时间来折腾测试,写这个脚本方便以后VPN的一键安装搭建.其中用的开源软件包是openswan和xl2tpd,,中间碰到过很多很多问题,如openswan和xl2tpd之间的兼容性问题. 请容许我这样做,脚本依赖<OneinStack>

怎样在CentOS linux下安装MPEG-1 Layer 3 (MP3)解码器

怎样在CENTOS linux下安装MPEG-1 Layer 3 (MP3)解码器 提片上的信息显示我们没有安装解码器,这是因为版权问题软件 没有自带解码器 我的是centos 32位系统所以用下面第一个源 32位系统 第三方源 rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm 64位系统 第三方源 rpm -ivh http://pkgs.repoforge.

Centos | Linux 下安装启动 mysql 出现 8618 [ERROR] Aborting,查看日志:Plugin &#39;FEDERATED&#39; is disabled.

1.试试启动时指定配置文件 ./bin/mysqld_safe --defaults-file=mysql.cnf 或 ./bin/mysqld_safe --defaults-file=mysql.cnf $ 2.试试修改 mysql.cnf(也可能是my.cnf) 在 [mysqld]下指定tmpdir tmpdir = youTmpdir Centos | Linux 下安装启动 mysql 出现 8618 [ERROR] Aborting,查看日志:Plugin 'FEDERATED'

警惕IPSec/L2TP VPN被GFW干扰后变明文

原文地址:http://insight-labs.org/?p=990 警惕IPSec/L2TP VPN被GFW干扰后变明文 Posted by [email protected] on August 17, 2013Leave a comment (0)Go to comments 昨天拿服务器搭了个ipsec/l2tp的vpn给朋友翻墙,朋友说连上之后只要一上国外网站,facebook,youtube之类的就会断线,我觉得很不可思议,明明都是加密了的,这不科学. 后来把debug打开,tai

CentOS(Linux)下安装dmidecode包

安装代码: yum install dmidecode 安装完成后,查看总体信息: dmidecode 查看服务器类型,测试环境为DELL R610: dmidecode -s system-product-name 确认是否使用MegaRAID卡: dmidecode |grep "RAID" CentOS(Linux)下安装dmidecode包

CentOS6.8下搭建Ipsec+L2TP VPN服务

第二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,它使用UDP的1701端口进行通信.L2TP本身并没有任何加密,但是我们可以使用IPSec对L2TP包进行加密. l2tp就用xl2tpd,官网:http://www.xelerance.com/services/software/xl2tpd/ IPSec就是openswan,提供IPSec加密,官网是:http://www.openswan.org/code/ ,在cent