在VPS上部署VPN有一段时间了,但用SSH较多,偶尔用手机连连VPN。最近用的时候遇到一些小问题:“断开VPN连接后再次连接的时候就连不上了”, 重启IPsec后才能恢复。当时安装的时候图省心,直接用的一键脚本,虽然过程中也遇到些小问题,但后来都谷歌解决了,之后也没有记录安装过程。今天连带解决这个问题转发一帖就当复习了。 考虑到很多网络环境的不确定已经一些移动通信网络对pptp的不支持,早晚要用得上L2tp,所以这次就顺便搭一下。 第二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,它使用UDP的1701端口进行通信。L2TP本身并没有任何加密,但是我们可以使用IPSec对L2TP包进行加密。 仅搭建L2tp即可实现大部分功能,但一般情况下L2tp都与IPSec配合使用,MacOS与iOS的设备貌似对L2tp的支持都必须使用IPSec,所以有必要部署IPSec。 部署IPSec 首先安装必备依赖包 yum -y install make gcc gmp-devel bison flex lsof 其次安装Openswan wget http://www.openswan.org/download/openswan-2.6.38.tar.gz tar -zxvf openswan-2.6.38.tar.gz cd openswan-2.6.38 make programs install 编辑配置文件/etc/ipsec.conf: vim /etc/ipsec.conf 查找protostack=auto,修改为: protostack=netkey 在最后加入: conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h keylife=1h type=transport left=YOUR.SERVER.IP.ADDRESS leftprotoport=17/1701 right=%any rightprotoport=17/%any “YOUR.SERVER.IP.ADDRESS”为外网IP,下同。 设置共享密钥PSK 编辑配置文件/etc/ipsec.secrets: vim /etc/ipsec.secrets 输入: YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret" 修改包转发设置 for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done echo 1 >/proc/sys/net/core/xfrm_larval_drop 修改内核设置,使其支持转发,编辑/etc/sysctl.conf文件: vim /etc/sysctl.conf 将“net.ipv4.ip_forward”的值改为1。 使修改生效: sysctl -p 重启IPSec: service ipsec restart 查看系统IPSec安装和启动的正确性: ipsec verify 一般情况下没有报[FAILED]就可以了。但是如果转发已经确认配置了,但仍检测checking IP Forwarding 失败,可以先忽略此项错误,虽然我此项FAIL,但不影响使用,根据邮件列表的内容来看很可能是一个未解决的判断BUG, 查看日志中出现 IPSec connection established此类字样基本没有问题。 部署L2TP(使用xl2tpd和rp-l2tp) xl2tpd是由Xelerance Corporation维护的l2tpd应用。但是xl2tpd没有l2tp-control,需要从rp-l2tp这个里面提取。所以要装这两个软件包。 虽然根据编译结果来看,目前最新版的xl2tpd已经含有l2tp-control了,但加上rp-l2tp也没什么问题。因为默认情况下可能会少创建一个目录导致启动不成功。 首先安装依赖软件: yum install libpcap-devel ppp policycoreutils 安装xl2tpd和rp-l2tp: wget http://sourceforge.net/projects/rp-l2tp/files/rp-l2tp/0.4/rp-l2tp-0.4.tar.gz tar -zxvf rp-l2tp-0.4.tar.gz cd rp-l2tp-0.4 ./configure make cp handlers/l2tp-control /usr/local/sbin/ mkdir /var/run/xl2tpd/ ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control xl2tpd用的是目前最新的xl2tpd-1.3.0(更新得不是很快) wget http://www.xelerance.com/wp-content/uploads/software/xl2tpd/xl2tpd-1.3.0.tar.gz tar -zxvf xl2tpd-1.3.0.tar.gz cd xl2tpd-1.3.0 make make install 建立xl2tpd配置文件: mkdir /etc/xl2tpd vim /etc/xl2tpd/xl2tpd.conf 加入: [global] ipsec saref = yes [lns default] ip range = 10.82.88.2-10.82.88.254 local ip = 10.82.88.1 refuse chap = yes refuse pap = yes require authentication = yes ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes 配置ppp 建立options.xl2tpd文件: vim /etc/ppp/options.xl2tpd 加入: #require-mschap-v2 #此处不是必须,在非MS环境下 ms-dns 8.8.8.8 ms-dns 8.8.4.4 asyncmap 0 auth crtscts lock hide-password modem debug name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 设置拨号用户名和密码: vim /etc/ppp/chap-secrets 此处注意的是第二列的 l2tpd 为上面配置的name,如果有改动也要修改此处。 # Secrets for authentication using CHAP # client server secret IP addresses myusername l2tpd mypassword * 最后添加iptables转发规则并保存重启 iptables --table nat --append POSTROUTING --jump MASQUERADE /etc/init.d/iptables save /etc/init.d/iptables restart 以debug方式启动l2tp,查看有无错误: xl2tpd -D 后继问题解决 部署成功后,可以使用并连接,但每天的连接并不稳定,经常需要重启IPSec。检查日志发现大量类似结果: Maximum retries exceeded for tunnel 50347. Closing. 经过这几天试验,终于解决,在/etc/ipsec.conf中的 conn L2TP-PSK-noNAT节 加入如下内容解决: dpddelay=40 dpdtimeout=130 dpdaction=clear leftnexthop=%defaultroute rightnexthop=%defaultroute 至此实现了备选方案的部署。 via fish176.com
时间: 2024-10-15 21:24:07