如何在Ubuntu下配置L2TP VPN

如何在Ubuntu下配置L2TP VPN,第1张

安装软件包
sudo apt-get install xl2tpd openswan ppp
IPSec / Openswan
打开 /etc/ipsecconf 文件,做如下配置:
config setup
nat_traversal=yes
virtual_private=%v4:10000/8,%v4:19216800/16,%v4:1721600/12,%v4:!1015220/24
# 这里包含的网络地址允许配置为远程客户端所在的子网。换句话说,
# 这些地址范围应该是你的NAT路由器后面的客户端的地址。
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
# Apple 的 iOS 不会发送 delete 提醒,
# 所以我们需要通过死亡对端(dead peer)检测来识别断掉的客户端
dpddelay=30
dpdtimeout=120
dpdaction=clear
# 设置 ikelifetime 和 keylife 和 Windows 的默认设置一致
ikelifetime=8h
keylife=1h
type=transport
# 替换 IP 地址为你的本地IP (一般是,私有地址、NAT内的地址)
left=xxxx
# 用于升级过的 Windows 2000/XP 客户端
leftprotoport=17/1701
# 要支持老的客户端,需要设置 leftprotoport=17/%any
right=%any
rightprotoport=17/%any
# 强制所有连接都NAT,因为 iOS
forceencaps=yes
注意你的ipsecconf文件,"config setup" 和 "L2TP-PSK-NAT"、 "L2TP-PSK-NAT"应该顶着行头写,而其它行应该以8个空格缩进。
打开 /etc/ipsecsecrets,配置:
xxxx %any: PSK "somegoodpassword"
这里xxxx 替换为你的服务器的IP地址,并设置一个复杂的密码。
启动 IPSEC 服务:
/etc/initd/ipsec start
使用如下命令确认 ipsec 是否工作正常:
sudo ipsec verify
应该没有任何错误才行:
Checking your system to see ifIPsec got installed and started correctly:
Version check and ipsec on-path [OK]
LinuxOpenswan U2628/K2632-32-generic-pae (netkey)
CheckingforIPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500[OK]
Pluto listening for NAT-T on udp 4500[OK]
Checkingfor'ip' command [OK]
Checkingfor'iptables' command [OK]
OpportunisticEncryptionSupport[DISABLED]
在 /etc/initd 下创建一个名为 ipsec 的文件,内容如下:
case"$1"in
start)
echo "Starting my Ipsec "
iptables -t nat -A POSTROUTING -o eth0 -s 1015220/24-j MASQUERADE
echo 1>/proc/sys/net/ipv4/ip_forward
for each in/proc/sys/net/ipv4/conf/
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/initd/ipsec start
/etc/initd/xl2tpd start
;;
stop)
echo "Stopping my Ipsec "
iptables --table nat --flush
echo 0 > /proc/sys/net/ipv4/ip_forward
/etc/initd/ipsec stop
/etc/initd/xl2tpd stop
;;
restart)
echo "Restarting my Ipsec "
iptables -t nat -A POSTROUTING -o eth0 -s 1015220/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/initd/ipsec restart
/etc/initd/xl2tpd restart
;;
)
echo "Usage: /etc/initd/ipsec {start|stop|restart}"
exit 1
;;
esac
这会配置防火墙转发。记得修改上面文件的本地IP地址池1015220/24为你自己的。
然后给这个文件设置可执行权限:
sudo chmod 755 ipsec
禁止默认的 ipsec 服务脚本运行:
sudo update-rcd -f ipsec remove
然后,启用我们刚才定制的这个:
sudo update-rcd ipsec defaults
L2TP
修改 /etc/xl2tpd/xl2tpdconf :
[global]
ipsec saref =no
[lns default]
ip range =1015222-101522254
local ip =1015221
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile =/etc/ppp/optionsxl2tpd
length bit = yes
配置说明如下:
ip range = 可以连接服务的客户端IP地址范围
local ip = 服务器的IP,必须在客户端IP范围之外
refuse pap = 拒绝 pap 认证
ppp debug = 测试时打开
选择一个复杂的挑战-响应式验证字符串。虽然没有最短长度限制,不过它应该至少有16个字符,也应该足够复杂才能保证安全。
打开文件 /etc/xl2tpd/l2tp-secrets ,填入你的密码:
exampleforchallengestring
打开文件 /etc/ppp/optionsxl2tpd,做如下配置:
refuse-mschap-v2
refuse-mschap
ms-dns 8888
ms-dns 8844
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
ms-dns 选项设置要给客户端分配的 DNS 服务器,当客户端连接时,就会被分配这些 DNS。如果要加入多个 DNS,就每行一个,分别写几行。
如果你要给客户端推送wins设置,可以分别设置如下选项。
mtu 和 mru 按照openswanorg的说法,减小 mru/mtu 的大小非常重要。因为 l2tp/ipsec 会封装几次,可能导致性能下降,减小这个配置的大小可以一次性传输全部的包。
proxyarp 可以将连接的客户端的IP地址和以太网地址加入的系统的ARP表中。这会影响到本地局域网内其它客户端。
name l2tpd 用在 PPP验证文件里面。
添加用户
打开文件 /etc/ppp/chap-secrets ,做如下配置:
user1 l2tpd chooseagoodpassword
user2 chooseagoodpassword
每行包括如下字段:
客户端 = 用户名称
服务器 = 在上面的 /etc/ppp/optionsxl2tpd 定义的名字
密码 = 用户密码,你应该设置一个足够复杂的密码
IP 地址 = 表示用户可以从任何地址连接,否则设置用户只能从特定的地址连接
注意:你可以添加多个用户。
IP转发
打开文件 /etc/sysctlconf,修改配置:
netipv4ip_forward=1
载入新的配置:
sysctl -p
启动
sudo /etc/initd/ipsec restart
sudo /etc/initd/xl2tpd restart
排除故障
如果遇到了问题,以下命令可以帮助你找到问题:
sudo tcpdump -i ppp0
sudo tail -f /var/log/authlog
sudo tail -f /var/log/syslog
你可以可以在服务器上使用如下命令来监控:
sudo tcpdump -i eth0 host aaabbbcccddd andnot port ssh
这里aaabbbcccddd 是你的客户端的公网地址。

所需工具材料:路由器(艾泰路由器例)

、***拨客户端设置
1、打浏览器输入19216811(即路由器IP址)输入路由器帐号密码(参见路由器盒标签或说明书)
2、展***配置——PPTPL2TP
3、选择拨(客户端):
1)用户名:PPTP/L2TP隧道名称
2)密码:PPTP/L2TP隧道用户密码
3)协议类型:
L2TP:本客户端使用L2TP协议端服务器协商创建L2TP隧道
PPTP:本客户端使用PPTP协议端服务器协商创建L2TP隧道
4)远端内网IP址:PPTP/L2TP隧道端局域网所使用IP址(般填写PPTP/L2TP隧道端设备LAN口IP址)
5)隧道服务器址:PPTP/L2TP服务器IP址或者域名(般填写PPTP/L2TP隧道端设备WAN口IP址或者域名)
填写完点击保存
I


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13044664.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-29
下一篇 2023-05-29

发表评论

登录后才能评论

评论列表(0条)

保存