L2TP+IPSec VPN 搭建
步骤一:部署IPSec服务
本次服务器IP: 201.1.2.200
1)安装软件包
#yum -y install libreswan
2)新建IPSec密钥验证配置文件
#vim /etc/ipsec.d/myipsec.conf //自己写个配置文件, 以下是模板
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //允许建立的VPN虚拟网络
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //加密认证
ike=3des-sha1;modp1024 //算法
phase2alg=aes256-sha1;modp2048 //算法
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=3h
type=transport
left=201.1.2.200 //重要,服务器本机的外网IP 以后只改这个
leftprotoport=17/1701
right=%any //允许任何客户端连接
rightprotoport=17/%any
3)创建IPSec预定义共享密钥
#vim /etc/ipsec.d/mypass.secrets //新建该文件
201.1.2.200 %any: PSK "haha " //haha为密钥
#systemctl start ipsec
#ss -antulp |grep pluto
步骤二:部署XL2TP服务
1)安装软件件包
#yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm
2) 修改xl2tp配置文件(修改3个配置文件的内容)
#vim /etc/xl2tpd/xl2tpd.conf //修改主配置文件
ip range = 192.168.3.128-192.168.3.254 //分配给客户端的IP池
local ip = 201.1.2.200 //VPN服务器的IP地址
#vim /etc/ppp/options.xl2tpd //认证配置
#crtscts //注释或删除该行
#lock //注释或删除该行
require-mschap-v2 //添加一行,强制要求认证
#vim /etc/ppp/chap-secrets //修改密码文件
haha 星 123456 星 //账户名称 服务器标记 密码 客户端IP
3)启动服务
#systemctl start xl2tpd
#ss -antulp |grep xl2tpd
4)设置路由转发,防火墙
#echo "1" > /proc/sys/net/ipv4/ip_forward
#firewall-cmd --set-default-zone=trusted
5)iptables 转发net(非必需操作)
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to-source 201.1.2.200
步骤二:客户端设置
设置Windows注册表(不修改注册表,连接VPN默认会报789错误),具体操作如下:
单击"开始",单击"运行",键入"regedit",然后单击"确定"
找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
在"编辑"菜单上,单击"新建"->"DWORD值"
在"名称"框中,键入"ProhibitIpSec"
在"数值数据"框中,键入"1",然后单击"确定"
退出注册表编辑器,然后重新启动计算机
设置VPN连接的属性,预共享密钥是IPSec配置文件中填写的haha,具体操作如图