Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务六

Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务


第五部分    安装配置 xl2tp 集成 strongswan 支持 l2tp over ipsec


实验时间:2018年8月15日-2018年8月15日



拓扑图:


拓扑.PNG  


环境:

    防火墙1:FW1    USG2200

           

                IP地址外网:10.99.101.170    域名:strongswan.test.com

                IP地址内网:192.168.20.3    

    

    防火墙2:FW2    USG2200


     IP地址外网:10.99.101.129     域名:mystrongswan.test.com

    IP地址内网:192.168.20.2

   

    防火墙5:FW5    USG2200


     IP地址外网:10.99.101.167

    IP地址内网:131.107.0.1

 

    服务器:


     域控服务器:


        Windows Server2016

        IP地址:192.168.20.10         域名:dc.test.com

        

     strongswan服务器:


        Centos7

        IP地址:192.168.20.29

        Strongswan-5.6.3


     freeradius服务器:


        Centos7

        IP地址:192.168.20.27

        freeradius-4.0.0

        daloradius-0.9-9

        xl2tp



     客户端:Windows7

        

        自带客户端 ikev2 epa-mschapv2模式 、 计算机证书模式 、l2tp over ipsec模式



第六部分    安装配置 xl2tp 集成 strongswan 支持 l2tp over ipsec


实验时间:2018年8月15日-2018年8月15日




1、strongswan服务器安装ppp xl2tp


ssh 192.168.20.29


yum install -y ppp xl2tpd


vim /etc/strongswan/ipsec.conf


在本文章第一部分的ipsec.conf基础上修改


l2tp连接后ip由xl2tpd 分配


故注释或删除


#       rightsourceip=192.168.20.0/24 


增加如下配置


left填strongswan的ip地址192.168.20.29


leftid填防火墙地址


conn l2tp_ipsec

        compress=yes

        dpdaction=clear

        dpddelay=40

        dpdtimeout=130

        forceencaps=yes

        ikelifetime=8h

        keyingtries=10

        keylife=10800

        margintime=15m

        auto=add

        keyexchange=ikev1

        keyingtries=2

        left=192.168.20.29

        leftauth=psk

        leftcert=YIMIDESERVER.cert.pem

        leftid=10.99.101.170

        leftprotoport=udp/%any

        mobike=no

        rekey=no

        right=%any

        rightauth=psk

        rightsendcert=never

        rightsubnet=0.0.0.0/0

        type=transport


vim /etc/strongswan/ipsec.secret




vim /etc/xl2tpd/xl2tpd.conf



[global]


listen-addr = 192.168.20.29


ipsec saref = yes


[lns default]


ip range = 192.168.20.128-192.168.20.254


local ip = 192.168.20.29


assign ip =yes


require authentication = yes


name = ***


ppp debug = yes


pppoptfile = /etc/ppp/options.xl2tpd


length bit = yes




vim /etc/xl2tpd/l2tp-secrets 



*    *    12345678



vim /etc/ppp/options.xl2tpd




ipcp-accept-local

ipcp-accept-remote

ms-dns 8.8.8.8 # 推送的DNS

ms-dns 8.8.4.4


noccp

auth

crtscts

idle 1800

#mtu 1410

#mru 1410

mtu 1200

mru 1200

nodefaultroute

debug

lock

proxyarp

connect-delay 5000

login

vim /etc/ppp/chap-secrets



xl2tpuser    *    xl2tpuser    *



systemctl enable xl2tpd

systemctl start xl2tpd

systemctl status xl2tpd

firewall-cmd --add-port=1701/udp --permanent

firewall-cmd --reload

systemctl restart strongswan



猜你喜欢

转载自blog.51cto.com/yimiyinei/2379426
0条评论
添加一条新回复