Debian环境下架设L2TP/IPSec

用文字编辑工具（如vim）打开/etc/ipsec.conf，改成如下样式：

 

 

 

用文字编辑器打开/etc/ipsec.secrets，改成如下格式:

把上面中文部分的东西替换成你自己的，保存。

然后运行以下命令：

检查一下 IPSec 能否正常工作：

除了最后一行Opportunistic Encryption Support可能显示为[DISABLED]外，其他全应该是OK，如果有遇到问题的请按照错误提示具体分析。

 

 

 

 

 

重启openswan

或者

安装xl2tpd：

用文字编辑器打开/etc/xl2tpd/xl2tpd.conf，改成这样：

注意ip range里面出现的IP避免和已使用的IP重复，如果发现有重复就错开一个段即可。

如果你之前没有在服务器上安装过pptpd，那么下面这一步你要进行安装：

然后配置/etc/ppp/options.xl2tpd，如果没有就新建一个，内容如下：

其中dns我设置的是google的公共dns服务器，可以自行修改。

使用文字编辑器编辑/etc/ppp/chap-secrets，添加或修改用户

格式是这样：每一行是一个用户的信息，第一部分是用户名，第二部分是所使用的服务，第三部分是密码，第四部分是允许的IP地址，一般来说第二部分可以设置成l2tpd，这样就完全限制这个账号只能使用l2tp登陆，同时因为pptp和l2tp两种登陆方式是可以共存并且同时使用的，第二部分也就可以设置成pptpd，当然，设置成通配符*也是可以的，意思是所有协议都可以使用这个账号登陆，例子如下：

下面重启 xl2tpd:

设置 iptables 的数据包转发：

如果是OVZ构架的VPS，需要另外的方法：

设置自启动项，编辑/etc/rc.local，加入下面的语句：

 

常见问题处理：

错误1：pluto is running [FAILED]

 

 

错误2：NETKEY: Testing XFRM related proc values [FAILED]

 

你可能忘记修改网络策略：

 

错误3：Pluto listening for IKE on udp 500 [FAILED]

 

那么你需要安装lsof：

 

 

错误4，如图：

这个是在Lindon的vps上出现的错误，按照报错很好理解，有RNG这个硬件支持，但是没有“rngd”或者“clrngd”在运行，简单来说，就是这两个东西没有运行；

这是什么呢？

rngd服务—熵值

是Linux里面一种加密机制，随即数，因为ipsec也是一种加密的，因此需要它的支持，有兴趣的可以了解一下《Linux 系统中随机数在 KVM 中的应用》

具体操作可以按照下面的来：

 

我是使用的第二种方法，加到/etc/rc.local里面让它开机运行的，因为不知道为什么，按照第一种方法，会提示服务不存在或者未知。

完成后重启ipsec服务，然后就正常了，如图：

 

最后客户端连接的时候，可以看一下日志：

 

第一个是看ipsec的验证过程，如果出现这个的话，就是过了ipsec的验证过程了：

 

 

 

 

这个过程过了后，就是xl2tp来分配ip了，就是看下面的那个日志了：

可以看到图中的local ip和remote ip了，这个就是已经分配了ip给客户端了，到这里就说明客户端正常连接了。

---

 

 

注意，如果出现如图所示的报错，IOS无法连接，如图：

 

同时检查配置文件，如图：

这个是openswan的版本问题，

Debian 7.0 上最新的是 1:2.6.37-3+deb7u1 , 如果默认 apt-get install openswan 就是这个版本，这时候就需要降级：

 

配置文件这些都不用改，是一样的，重启一下ipsec和xl2tpd，再试一下，ios马上就OK了，这个问题我也是弄了好久才发现的……