CentOS7L2TP/IPSec
什么是L2TPVPN
L2TP VPN概述
什么是L2TP?
L2TP代表第2层隧道协议,它本身不提供任何加密。 L2TP VPN通常使用身份验证协议IPSec(Internet协议安全性)进行强大的加密和身份验证,这使其在某些其他最常用的协议(如PPTP)上具有最终优势。 L2TP协议使用UDP端口1701。
L2TP如何工作?
通过L2TP / IPSec协议传输的数据通常会进行两次身份验证。经由隧道传输的每个数据包均包含L2TP报头。结果,数据被伺服器解复用。数据的双重身份验证会降低性能,但是确实提供了最高的安全性。
1.配置yum源
yum服务
cd /etc/yum.repos.d/
ls
rm -rf *
vi dvd.repo
[dvd]
name=dvd
baseurl=file:///dvd
gpgcheck=0
enabled=1mkdir /dvd
mount /dev/cdrom /dvdyum install -y 服务
2.修改成网络源
下载阿里云
wget -O /etc/yum.repos.d/CentOS-Base-epel.repo http://mirrors.aliyun.com/repo/Centos-7.repo
清理缓存
yum clean all
重新生成缓存
yum makecache安装EPEL源(CentOS7官方源中已经去掉了xl2tpd)
yum install -y epel-release
3.安装依赖包
yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced manyum install -y xl2tpdyum install -y libreswan
4、修改ipsec的配置文件
vim /etc/ipsec.conf(只添加一行nat_traversal=yes即可)## 5、建立ipsec 与 l2tp 服务关联的配置文件vim /etc/ipsec.d/l2tp_psk.confconn L2TP-PSK-NATrightsubnet=vhost:%privalso=L2TP-PSK-noNAT
conn L2TP-PSK-noNATauthby=secretpfs=noauto=addkeyingtries=3dpddelay=30dpdtimeout=120dpdaction=clearrekey=noikelifetime=8hkeylife=1htype=transportleft=192.168.0.200 ###192.168.0.200 是自己的网卡Ip地址leftprotoport=17/1701right=%anyrightprotoport=17/%any
6、当建立l2tp连接时,需要输入预共享密匙,以下为预共享密匙的配置文件。
#如果这个文件也没有也需要手动创建,访问的IP地址和密码
vim /etc/ipsec.d/ipsec.secrets#include /etc/ipsec.d/*.secrets
192.168.0.200 %any: PSK "123456789"
7、修改内核支持,可以对照以下配置修改,修改完后运行sysctl -p 使配置生效
cat /etc/sysctl.confvim /etc/sysctl.confnet.ipv4.ip_forward = 1
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eno16777736.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0sysctl -p
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.send_redirects = 0
8、检验ipsec服务配置
#重启ipsec
systemctl restart ipsec#检验ipsec服务配置
ipsec verify
systemctl status ipsec``
9、启动服务
#启动ipsec
systemctl start ipsec#设置为开机自启
systemctl enable ipsec
10、修改L2tp的配置文件
vim /etc/xl2tpd/xl2tpd.conf [global]listen-addr = 192.168.0.197 ###本机外网网卡IPipsec saref = yes ###取消注释
[lns default]
ip range = 192.168.0.128-192.168.0.254
local ip = 192.168.0.99
require chap = yes
refuse pap = yes
require authentication = yes
name = Linux×××server
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
11、修改xl2tpd属性配置文件
vim /etc/ppp/options.xl2tpdrequire-mschap-v2 ###添加此行
ipcp-accept-local
ipcp-accept-remote
#dns 写自己的网卡DNS ,写成8.8.8.8也行
ms-dns 192.168.0.2
#ms-dns 8.8.8.8
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
12、添加用户名和密码(**登录的用户名和密码
vim /etc/ppp/chap-secrets# Secrets for authentication using CHAP
# client server secret IP addresses
test * 123 *
13、iptables安装配置
1.安装iptable iptable-service
yum install -y iptables
yum install iptables-services
2.禁用/停止自带的firewalld服务
#停止firewalld服务
systemctl stop firewalld#冻结firewalld服务
systemctl mask firewalld
3设置现有规则
#查看iptables现有规则
iptables -L -n#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT#清空所有默认规则
iptables -F#清空所有自定义规则
iptables -X#所有计数器归0
iptables -Z
4.开启地址转换(eth0为外网网卡,*根据实际情况替换*
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eno16777736 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -I FORWARD -d 192.168.0.0/24 -j ACCEPTiptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 4500 -j ACCEPT
iptables -A INPUT -p esp -j ACCEPT
iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPTiptables -A FORWARD -i ppp+ -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPTservice iptables save
/bin/systemctl restart iptables.service
14、完成服务配置
#启动xl2tp服务
systemctl start xl2tpd#设置开机自启
systemctl enable xl2tpd#查看状态
systemctl status xl2tpd
CentOS7L2TP/IPSec相关推荐
- DCN-2655 gre隧道 vpn 嵌入IPSec配置:
DCN-2655 gre隧道 vpn 嵌入IPSec配置: RT1配置: Ip route 183.203.10.128 255.255.255.252 183.203.10.2 Interface ...
- IPsec ××× 配置實例
試驗top: ipsec ***的配置包括一下幾個步驟: 1.配置ike的協商 2.配置ipsec的協商 3.配置端口的應用 4ike的調試和排錯 按照步驟 建立ike 的協商策略和參數 R1< ...
- 两分公支的IPSec***流量走总部测试
一.概述: 在论坛上看到一个朋友发帖希望两个分支的IPSEC ***流量经过总部,如是搭建拓扑测试了一下,因为跑两个VM版的ASA8.42机器性能不过,所以用PIX8.0来代替ASA,应该主要配置都跟 ...
- ipsec ***野蛮模式应用
IPSEC野蛮模式: 简介: IKE 的协商模式 在RFC2409(The Internet Key Exchange )中规定,IKE 第一阶段的协商可以采用 两种模式:主模式(Main Mode ...
- 配置隧道模式的IPSec.×××
一.拓扑及IP配置 二.配置清单 R1#show run Building configuration... Current configuration : 1449 bytes ! upgrade ...
- 利用IPSec实现网络安全之三(身份验证和加密数据)
作者:许本新 在上两篇中我们一起讨论了关于利用IPsec实现禁用协议和端口的相关知识,其实IPsec真正能够让用户感觉到安全放心的功能并不局限于此,IPsec的功能是相当的强大,今天我们就继续来讨论如 ...
- SSL ×××与IPSec ×××特点比较
首先让我们从SSL ×××和IPSec ×××两个阵营出发做一个比较. 1 SSL ×××相对于IPSec ×××的优势 1.1 SSL ×××比IPSec ×××部署.管理成本低 首先我们先认识一下 ...
- Cisco ××× 完全配置指南-连载-IPSec
Cisco ××× 完全配置指南-IPSec 详细内容见附件 转载于:https://blog.51cto.com/xuanbo/149020
- IPSec ports should be allowed
three primary IPSec protocols use ports that must not be blocked by ACLs: 1.ESP, protocol number 50 ...
最新文章
- ReentrantReadWriteLock读写锁的使用
- java struts 框架_java struts 框架编程
- 前端学习(170):无语义元素二
- finfoopen需要什么扩展 php_php获取文件mime类型的几种方法
- ADO Connection failure
- python request返回的响应_Python爬虫库requests获取响应内容、响应状态码、响应头...
- 树莓派上使用 LCD1602 显示状态
- 免费动态域名解析软件dnspod每步nat123体会
- 关于eml邮件解压使用
- 【编程题】【Scratch一级】2019.12 小狗长大记
- Uniapp|Vue-汉字转拼音|获取汉字的首字母js实现
- StarRocks 企业行|走进 58 同城,探索极速统一 3.0 时代的企业实践
- AlgLib 使用----稀里糊涂
- android相机实时滤镜,android 包含美颜等40余种实时滤镜相机
- html把图片做成导航条背景,DIV+CSS背景图片导航菜单的实现方法
- 百度被黑了,哈哈!!
- 【计算机毕业设计】45.医院挂号系统
- Tomcat工作原理详解
- 对3721上网助手的一些疑问建议
- php验证电话号码是否合法,js代码验证手机号码和电话号码是否合法_javascript技巧...