準備作業は、環境を確認します
1は、あなたのホストを見てみましょうサポート PPTPを、の値を返すはい、それが通じ言います。
modprobeはPPP-圧縮-18 &&エコーはい
2、チェック開かれたかどうか TUN 、いくつかの仮想マシンホストを開くために必要なのはの値を返すの/ dev / NET / TUN:CATの悪い状態でのファイル記述子。彼は通じ言います。
猫は/ dev /ネット/ TUN
開始インストール構成
1は、インストール yumのソースを、CentOSのの公式のソースは削除されましたxl2tpd、サーバー・インストールを使用している場合、あなたは自分自身をインストールする必要が公式ミラーをyumのソースを。しかし、アリテンセントクラウドやパブリッククラウドミラーインストールしたサーバを使用することはできません。
yumを-y EPEL-リリースをインストールします
2、インストール xl2tpd
yumをインストール-y xl2tpd libreswanのlsof
3、設定 xl2tpd
Vimの/etc/xl2tpd/xl2tpd.conf
[グローバル]
[LNSのデフォルト]
IP範囲= 192.168.1.128-192.168.1.254
ローカルIP = 192.168.1.99
はい= CHAPを要求
はい= PAPを拒否
はい=認証を必要とします
= LinuxVPNserverに名前を付けます
PPPデバッグ=はい
pppoptfile = /etc/ppp/options.xl2tpd
長ビット=はい
4、設定 PPP ないコメント、オプションが注釈されているところに注意を払って、ファイルを、それが与えられているが開始されます、またはロムにつながります
Vimの/etc/ppp/options.xl2tpd
IPCP-受け入れるローカル
IPCP-受け入れ、リモート
MS-DNS 8.8.8.8
名前xl12tpd
#noccp
認証
#crtscts
アイドル1800
1410年の1
MRU 1410
nodefaultroute
デバッグ
#ロック
PROXYARP
接続遅延5000
拒否-PAP
拒否-MSCHAP
必要-MSCHAP-V2
持続
ログファイル/var/log/xl2tpd.log
5、コンフィギュレーションのipsec ファイル
1)Vimの/etc/ipsec.conf
コンフィグ設定
protostack = netkey
nat_traversal =はい
インターフェイス= "%のdefaultroute" virtual_private =%V4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4 :! 10.254。 253.0 / 24
/etc/ipsec.d/*.confを含めます
2)Vimの/etc/ipsec.d/l2tp-ipsec.conf
CONNのL2TP-PSK
authby =秘密
PFS =なし
オート=追加
なし=リキー
タイプ=輸送
左= 47.75.104.65
leftprotoport = 1701分の17
右=%任意の
rightprotoport = 17 /%任意
rightsubnet =バーチャルホスト:%のPRIV、%なし
6、設定したユーザー名とパスワード
vimの/ etc / ppp / chap-secretsを
#クライアントサーバーの秘密のIPアドレス
ユーザー名*「123456」*
7、共有鍵
Vimの/etc/ipsec.d/default.secrets
:PSK "YourPSK"
8、ファイアウォールの設定
1)のyum#iptablesの-サービスをインストールダウンロードiptablesのサービス
2)VIMの/ etc /のsysconfig / iptablesの
* NAT
:PREROUTING [2:104] ACCEPT
:INPUT ACCEPT [2:104]
:OUTPUT [0:0] ACCEPT
:POSTROUTING [0:0] ACCEPT
-A POSTROUTING -mポリシーは--polなし-j MASQUERADEを--dir
-A POSTROUTING -s 192.168.1.0/24 -o eth0の-j MASQUERADE
コミット
*フィルタ
:INPUTはACCEPT [84:7150]
:FORWARD ACCEPT [0:0]
:OUTPUTは、[49:10368] ACCEPT
-A INPUT -m政策--dirで--polのipsec -j ACCEPTを
UDP -mポリシー-p -A INPUTは--dirで--polのipsec -m udpの--dport 1701 -j ACCEPTは、
-A INPUT -p udpの-m udpの--dport 500 -j ACCEPT
-A INPUT -p udpの-m udpの--dport 4500 -j ACCEPTは、
-A FORWARD -m政策--dirで--polのipsec -j ACCEPT
-A FORWARD -i PPP + ACCEPT -j ESTABLISHED -m状態--state NEW、RELATED、
-A FORWARD -m状態はACCEPT -j ESTABLISHED、RELATEDを--state
コミット
3)サービスのiptablesを再起動します
4)-S#iptablesのビューiptablesのルールを
9、カーネルパラメータを変更します
1)Vimのに/etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.send_redirects = 0
2)のsysctl -p#構成を検証
10、検査サービスを再起動します
1)サービスipsecの再起動#再起動のIPSec サービス
サービスのIPSec状態#のビューのIPSec サービスのステータス
IPSecの#を有効systemctl 問題はありません決定した後、サービスが起動するように設定されています
2)IPSecは##ベリファイチェックIPSecを
[ルートiZj6c7krv4f28m7t3p2f2tZ〜@]#ipsecの検証
インストールされたシステムおよび構成ファイルの確認
上のパスバージョンチェックおよびIPSec [OK]
3.10.0-957.5.1.el7.x86_64上Libreswan 3.25(netkey)
カーネルでIPsecサポートのチェック[OK]
NETKEY:テストXFRM関連のproc値
ICMPのデフォルト/ send_redirects [OK]
ICMPのデフォルト/ accept_redirects [OK]
XFRM幼虫ドロップ[OK]
構文にipsec.conf冥王星[OK]
見つかった二つ以上のインターフェース、IP転送を確認[OK]
チェックrp_filter [OK]
冥王星は、[OK]を実行していることを確認します
冥王星は、UDP 500上でIKEのために聞いて[OK]
冥王星は、UDP 4500にIKE / NAT-Tのリスニング[OK]
冥王星のipsec.secret構文[OBSOLETE]
003 WARNING:弱い秘密を使用して(PSK)
チェックのIP 'コマンド[OK]
'iptablesの' コマンドを確認し、[OK]
「prelinkの」コマンドをチェックすると、FIPS [OK]を妨げることはありません。
時代遅れにipsec.confオプションの確認[OBSOLETE KEYWORD]
警告:無視時代遅れキーワード「nat_traversal」
3)サービスxl2tpdの再起動#が再起動xl2tpdのサービスを
サービスxl2tpd状態#のビューxl2tpdのサービスのステータス
xl2tpd番号を有効systemctl 問題はありません決定した後、サービスが起動するように設定されています
11は、サーバやテンセントプラットフォームのような雲アリクラウドでは、あなたが設定する必要が 1701 ポートが開いて、プロトコルですUDP
12、に接続された VPN 。場合がありますのMac システム、それが必要である内の/ etc / ppp 新しいディレクトリオプション、それ以外の場合は、ROMます、ファイル:
sudoのvimのの/ etc / ppp /オプション
ではオプションのファイルを、次のコマンドを入力します。
プラグインL2TP.ppp
l2tpnoipsec