美文网首页
配置L2TP+IPSec虚拟专用网

配置L2TP+IPSec虚拟专用网

作者: 4a873e424089 | 来源:发表于2018-11-08 13:43 被阅读0次

    L2TP+IPSec虚拟专用网

    特点:跨平台,数据加密传输,安全

    1,部署IPSec服务

    1)安装软件包

    [root@client ~]# yum -y install libreswan

    2)新建IPSec密钥验证配置文件

    [root@client ~]# cat /etc/ipsec.conf //仅查看一下该主配置文件

    .. ..

    include /etc/ipsec.d/.conf //加载该目录下的所有配置文件

    [root@client ~]# vim /etc/ipsec.d/myipsec.conf 

    //新建该文件,参考lnmp_soft/***/myipsec.conf 

    conn IDC-PSK-NAT

    rightsubnet=vhost:%priv //允许建立的×××虚拟网络

    also=IDC-PSK-noNAT

    conn IDC-PSK-noNAT

    authby=secret //加密认证

    ike=3des-sha1;modp1024 //算法

    phase2alg=aes256-sha1;modp2048 //算法

    pfs=no

    auto=add

    keyingtries=3

    rekey=no

    ikelifetime=8h

    keylife=3h

    type=transport

    left=201.1.2.10 //重要,服务器本机的外网IP

    leftprotoport=17/1701

    right=%any //允许任何客户端连接

    rightprotoport=17/%any

    3)创建IPSec预定义共享密钥

    [root@client ~]# cat /etc/ipsec.secrets //仅查看,不要修改该文件

    include /etc/ipsec.d/

    .secrets

    [root@client ~]# vim /etc/ipsec.d/mypass.secrets //新建该文件

    201.1.2.10 %any: PSK "randpass" //randpass为预共享密钥

    //201.1.2.10是×××服务器的IP

    4)启动IPSec服务

    [root@client ~]# systemctl start ipsec 

    [root@client ~]# netstat -ntulp |grep pluto

    udp 0 0 127.0.0.1:4500 0.0.0.0: 3148/pluto 

    udp 0 0 192.168.4.10:4500 0.0.0.0:

     3148/pluto 

    udp 0 0 201.1.2.10:4500 0.0.0.0: 3148/pluto 

    udp 0 0 127.0.0.1:500 0.0.0.0:

     3148/pluto 

    udp 0 0 192.168.4.10:500 0.0.0.0: 3148/pluto 

    udp 0 0 201.1.2.10:500 0.0.0.0:

     3148/pluto 

    udp6 0 0 ::1:500 :::* 3148/pluto

    3.2 部署XL2TP服务

    1)安装软件包(软件包参考lnmp_soft)

    [root@client ~]# yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm

    2) 修改xl2tp配置文件(修改3个配置文件的内容)

    [root@client ~]# vim /etc/xl2tpd/xl2tpd.conf //修改主配置文件

    [global]

    .. .. 

    [lns default]

    .. ..

    ip range = 192.168.3.128-192.168.3.254 //分配给客户端的IP池

    local ip = 201.1.2.10 //×××服务器的IP地址

    [root@client ~]# vim /etc/ppp/options.xl2tpd //认证配置

    require-mschap-v2 //添加一行,强制要求认证 物联网开发找上海捌跃网络科技有限公司

    #crtscts //注释或删除该行

    #lock //注释或删除该行

    root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件

    jacob 123456 //账户名称 服务器标记 密码 客户端IP

    3)启动服务

    [root@client ~]# systemctl start xl2tpd

    [root@client ~]# netstat -ntulp |grep xl2tpd 

    udp 0 0 0.0.0.0:1701 0.0.0.0:* 3580/xl2tpd

    4)设置路由转发,防火墙

    [root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

    [root@client ~]# firewall-cmd --set-default-zone=trusted

    5)×××设置(非必需操作)

    [root@client ~]# iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to-source 201.1.2.10

    3.3客户端设置

    1)新建网络连接,输入×××服务器账户与密码。

    设置×××连接的属性,预共享密钥是IPSec配置文件中填写的randpass,具体操作如图所示。(高版本不用这么麻烦)

    2)设置Windows注册表(不修改注册表,连接×××默认会报789错误),具体操作如下:(win7以上不用操作)

    单击"开始",单击"运行",键入"regedit",然后单击"确定"

    找到下面的注册表子项,然后单击它:

    HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters

    在"编辑"菜单上,单击"新建"->"DWORD值"

    在"名称"框中,键入"ProhibitIpSec"

    在"数值数据"框中,键入"1",然后单击"确定"

    退出注册表编辑器,然后重新启动计算机

    连接×××并测试网络连通性。

    转自:http://blog.51cto.com/14050800/2314209

    相关文章

      网友评论

          本文标题:配置L2TP+IPSec虚拟专用网

          本文链接:https://www.haomeiwen.com/subject/ttcwxqtx.html