注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

l2tp over ipsec vpn应用与理解之二  

2014-05-10 08:34:56|  分类: vpn技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

三、 L2TP Over IPSec VPN服务搭建

1、 安装IPSec

如上所述,IPsec会对会对数据包进行加密和验证。Linux开源软件中常用openswan 这个后台软件包来跑IPSec。

关于openswan:OpenSWan是Linux下IPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。

用以下命令安装openswan:

使用如下命令:sudo apt-get install openswan

注意安装软件的时候建议使用root用户(sudo就要以了)安装。

2、 用文字编辑器打开/etc/ipsec.conf,改成下面这样:

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

 

3、 用文字编辑器打开/etc/ipsec.secrets

注意:这里的IP地址请换成你自己服务器的大网IP地址,PSK后面的Gy48002477修改成自己的密码,这个密码即是IPSec进行加密和验证的密码(也叫预共享密钥)。实际应用的时候可以改复杂一些。

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

4、 运行以下命令:

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

5、 检查IPSec运行是否正常:

检查IPSec运行之前先对IPsec做重启操作,使之配置生效

然后运行下面的命令

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

敲回车后能够看到下面的界面,说明IPsec已经运行正常了。

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

做IPsec检查不一定完全都出现OK的情况,也有FAILED的,这个时候我们就需要根据情况进行排查IPsec的配置或者系统配置。

常见几种错误情况如下:

(1)

1 SAref kernel support [N/A]

后续在配置L2TP的时候在

/etc/xl2tpd/xl2tpd.conf这个文件里

1

2 [global]

ipsec saref = no

(2)

1

2 Two or more interfaces found, checking IP forwarding [FAILED]

Checking NAT and MASQUERADEing [OK]

ip转发检查失败。

用cat /proc/sys/net/ipv4/ip_forward 命令查看是否返回1,如果返回1,则使能了IP转发,可以不用关心该错误;如果返回0,则需要修改该值为1

修改方式如下:

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

然后回车即可。但是如果重启系统后又失效了,所以请将该命令放入/etc/rc.local 文件中,这样系统启动就能自动使能IP转发功能了。

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑

到这里为止,IPSec功能已经配置完了。

6、 安装L2TP

Linux系统中,常用的L2TP后台软件是xl2tpd,它和openswan是同一帮人写的。

运行以下命令:

sudo apt-get install xl2tpd

7、 用文字编辑器修改xl2tpd.conf文件

修改成如下内容:

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑
 

注意:这里的ip range一项里的IP地址不能和机器的IP地址重合,同时也不能与网络上的其他IP地址冲突。

8、 安装ppp

9、 检查一下/etc/ppp 目录有没有options.xl2tpd这个文件,如果没有请建一个

然后修改该文件内容如下:

l2tp over ipsec vpn应用与理解之二 - itoedr - itoedr的it学苑
 

这里的DNS请根据情况修改,如果在外网也可以用谷歌的公共DNS

10、 添加VPN用户

用文字编辑器打开/etc/ppp/chap-secrets:

按照这样的格式添加新的VPN用户。在添加新的VPN用户之前,需要确定该用户必须有访问系统的权限,也即存在系统用户中。

11、 打开xl2tpd的服务端口并重启


12、 检测L2TP运行状态


 
 

到这里,L2TP的配置已经全部完成,这个时候我们可以尝试用手机里的L2TP Over IPSec共享密钥方式连接。如果连接成功,那么恭喜你,大功告成!上面的配置我已经完全用windows xp client,Andorid 2.3.7/2.3.26以及IPhone 4连接成功,但是在Andorid 4.0.3的系统下连接超时,官网资料说4.0.3的VPN有问题,也没有再继续测该版本。

到了这一步,L2TP的配置确实已经完成了,那么如果只允许通过VPN的方式访问,你还需要多做一步,配置系统防火墙,否则在服务器上启动的服务会很不安全,非VPN用户如果知道服务器的IP地址,同样可以访问该服务器的服务。

  评论这张
 
阅读(180)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017