配置L2TP+IPSec虛擬專用網

L2TP+IPSec虛擬專用網
特點：跨平臺，數據加密傳輸，安全
１，部署IPSec服務
1）安裝軟件包
[root@client ~]# yum -y install libreswan
2)新建IPSec密鑰驗證配置文件
[root@client ~]# cat /etc/ipsec.conf //僅查看一下該主配置文件
.. ..
include /etc/ipsec.d/.conf //加載該目錄下的所有配置文件
[root@client ~]# vim /etc/ipsec.d/myipsec.conf
//新建該文件，參考lnmp_soft/***/myipsec.conf
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //允許建立的×××虛擬網絡
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //加密認證
ike=3des-sha1;modp1024 //算法
phase2alg=aes256-sha1;modp2048 //算法
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=3h
type=transport
left=201.1.2.10 //重要，服務器本機的外網IP
leftprotoport=17/1701
right=%any //允許任何客戶端連接
rightprotoport=17/%any
3)創建IPSec預定義共享密鑰
[root@client ~]# cat /etc/ipsec.secrets //僅查看，不要修改該文件
include /etc/ipsec.d/.secrets
[root@client ~]# vim /etc/ipsec.d/mypass.secrets //新建該文件
201.1.2.10 %any: PSK "randpass" //randpass爲預共享密鑰
//201.1.2.10是×××服務器的IP
4)啓動IPSec服務
[root@client ~]# systemctl start ipsec
[root@client ~]# netstat -ntulp |grep pluto
udp 0 0 127.0.0.1:4500 0.0.0.0: 3148/pluto
udp 0 0 192.168.4.10:4500 0.0.0.0: 3148/pluto
udp 0 0 201.1.2.10:4500 0.0.0.0: 3148/pluto
udp 0 0 127.0.0.1:500 0.0.0.0: 3148/pluto
udp 0 0 192.168.4.10:500 0.0.0.0: 3148/pluto
udp 0 0 201.1.2.10:500 0.0.0.0: 3148/pluto
udp6 0 0 ::1:500 :::* 3148/pluto

3.2　部署XL2TP服務
1）安裝軟件包（軟件包參考lnmp_soft）
[root@client ~]# yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm
2) 修改xl2tp配置文件（修改3個配置文件的內容）
[root@client ~]# vim /etc/xl2tpd/xl2tpd.conf //修改主配置文件
[global]
.. ..
[lns default]
.. ..
ip range = 192.168.3.128-192.168.3.254 //分配給客戶端的IP池
local ip = 201.1.2.10 //×××服務器的IP地址
[root@client ~]# vim /etc/ppp/options.xl2tpd //認證配置
require-mschap-v2 //添加一行，強制要求認證
#crtscts //註釋或刪除該行
#lock //註釋或刪除該行
root@client ~]# vim /etc/ppp/chap-secrets //修改密碼文件
jacob 123456 //賬戶名稱 服務器標記 密碼 客戶端IP
3）啓動服務
[root@client ~]# systemctl start xl2tpd
[root@client ~]# netstat -ntulp |grep xl2tpd
udp 0 0 0.0.0.0:1701 0.0.0.0:* 3580/xl2tpd
4）設置路由轉發，防火牆
[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@client ~]# firewall-cmd --set-default-zone=trusted
5）×××設置（非必需操作）
[root@client ~]# iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to-source 201.1.2.10
3.3客戶端設置
１）新建網絡連接，輸入×××服務器賬戶與密碼。
設置×××連接的屬性，預共享密鑰是IPSec配置文件中填寫的randpass，具體操作如圖所示。（高版本不用這麼麻煩）

2）設置Windows註冊表（不修改註冊表，連接×××默認會報789錯誤），具體操作如下：（win7以上不用操作）
單擊"開始"，單擊"運行"，鍵入"regedit"，然後單擊"確定"
找到下面的註冊表子項，然後單擊它：
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
在"編輯"菜單上，單擊"新建"->"DWORD值"
在"名稱"框中，鍵入"ProhibitIpSec"
在"數值數據"框中，鍵入"1"，然後單擊"確定"
退出註冊表編輯器，然後重新啓動計算機
連接×××並測試網絡連通性。