如何在CentOS上快速部署L2TP服务
L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)是一种常用于构建虚拟专用网络的隧道协议,结合IPsec加密后可以提供安全的数据传输通道。本文将以CentOS 7/8系统为例,介绍快速部署L2TP over IPsec服务的完整流程。
环境准备
开始部署前,请确认你的CentOS系统满足以下条件:
系统版本为CentOS 7或CentOS 8,且已更新到最新稳定版
服务器具备公网IP地址,防火墙已开放UDP 500、UDP 4500、UDP 1701端口
已获取root权限或具备sudo权限的普通用户
安装依赖组件
L2TP over IPsec服务需要依赖xl2tpd(L2TP守护进程)、strongSwan(IPsec密钥管理工具)等组件,首先执行以下命令安装所需依赖:
# CentOS 7/8通用安装命令 yum install -y epel-release yum install -y xl2tpd strongswan ppp
安装完成后,可以通过以下命令验证组件是否安装成功:
rpm -qa | grep -E "xl2tpd|strongswan|ppp"
配置IPsec服务(strongSwan)
IPsec负责对L2TP隧道传输的数据进行加密,避免明文传输带来的安全风险,首先修改strongSwan的主配置文件:
vi /etc/strongswan/strongswan.conf
将文件内容修改为如下配置,仅保留需要的功能模块:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
# 关闭不需要的模块,提升性能
dns1 = 8.8.8.8
dns2 = 8.8.4.4
}接下来配置IPsec的密钥和连接策略,修改/etc/strongswan/ipsec.conf文件:
vi /etc/strongswan/ipsec.conf
清空原有内容后,添加以下配置:
config setup charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=secret ike=aes128-sha1-modp1024,3des-sha1-modp1024 esp=aes128-sha1,3des-sha1 conn l2tp-psk left=%defaultroute leftid=你的服务器公网IP leftsubnet=0.0.0.0/0 right=%any rightsubnet=10.0.0.0/8 rightsourceip=10.0.0.2/24 auto=add dpdaction=clear dpddelay=300s dpdtimeout=1h rekey=no type=transport authby=secret pfs=no
注意将配置中的你的服务器公网IP替换为实际的服务器公网地址。然后配置IPsec预共享密钥,修改/etc/strongswan/ipsec.secrets文件:
vi /etc/strongswan/ipsec.secrets
添加以下内容,其中你的预共享密钥可以自定义复杂度较高的字符串:
%any %any : PSK "你的预共享密钥"
配置L2TP服务(xl2tpd)
修改xl2tpd的主配置文件/etc/xl2tpd/xl2tpd.conf:
vi /etc/xl2tpd/xl2tpd.conf
清空原有内容后,添加以下配置:
[global] ipsec saref = yes [lns default] ip range = 10.0.0.100-10.0.0.200 local ip = 10.0.0.1 require chap = yes refuse pap = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes
上述配置中,ip range是分配给客户端的IP地址池,local ip是L2TP服务器在隧道内的IP地址,可根据实际需求调整网段。
配置PPP认证参数
PPP负责处理客户端的用户名密码认证,首先修改/etc/ppp/options.xl2tpd文件:
vi /etc/ppp/options.xl2tpd
添加以下配置:
require-mschap-v2 ms-dns 8.8.8.8 ms-dns 8.8.4.4 noccp auth mtu 1200 mru 1200 nodefaultroute lock proxyarp connect-delay 5000
然后配置允许登录的用户名和密码,修改/etc/ppp/chap-secrets文件:
vi /etc/ppp/chap-secrets
按照格式添加用户信息,格式为:用户名 服务类型 密码 允许的IP范围,示例如下:
# 用户名 服务类型 密码 允许的IP test_user l2tpd test_password *
系统参数与防火墙配置
需要开启系统内核的IP转发功能,修改/etc/sysctl.conf文件:
vi /etc/sysctl.conf
添加或修改以下参数:
net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.eth0.accept_redirects = 0 net.ipv4.conf.eth0.send_redirects = 0
执行以下命令让参数生效:
sysctl -p
如果是CentOS 7,执行以下命令开放需要的端口并配置NAT转发:
# 开放端口 firewall-cmd --permanent --add-port=500/udp firewall-cmd --permanent --add-port=4500/udp firewall-cmd --permanent --add-port=1701/udp # 配置NAT转发,假设公网网卡为eth0,根据实际网卡名调整 firewall-cmd --permanent --add-masquerade firewall-cmd --reload
如果是CentOS 8,使用nftables的防火墙规则,执行以下命令:
# 开放端口 nft add rule inet filter input udp dport 500 accept nft add rule inet filter input udp dport 4500 accept nft add rule inet filter input udp dport 1701 accept # 配置NAT转发 nft add rule ip nat POSTROUTING oifname "eth0" masquerade
启动服务并设置开机自启
分别启动strongSwan和xl2tpd服务,并设置开机自动启动:
# 启动服务 systemctl start strongswan systemctl start xl2tpd # 设置开机自启 systemctl enable strongswan systemctl enable xl2tpd
可以通过以下命令检查服务运行状态:
systemctl status strongswan systemctl status xl2tpd
客户端连接测试
完成部署后,可以在Windows、macOS、Android、iOS等设备上添加L2TP over IPsec类型的VPN连接,填写以下信息:
服务器地址:你的CentOS服务器公网IP
VPN类型:L2TP/IPsec PSK
预共享密钥:你在ipsec.secrets中配置的密钥
用户名:你在chap-secrets中配置的用户名
密码:你在chap-secrets中配置的密码
连接成功后,访问https://www.ipipp.com可以查看当前出口IP是否为你的服务器公网IP,验证VPN是否正常工作。
常见问题排查
如果连接失败,首先检查防火墙端口是否开放,可通过
netstat -ulnp | grep -E "500|4500|1701"确认服务端口是否正常监听查看strongSwan日志排查IPsec协商问题:
journalctl -u strongswan -f查看xl2tpd日志排查L2TP连接问题:
journalctl -u xl2tpd -f如果是NAT网络环境,需要确认IPsec的NAT穿越功能是否正常开启