Debian环境下架设L2TP/IPSec

1、安装OpenSWAN
    安装过程中如问到: Use an X.509 certificate for this host, 回答NO.
1.1 配置sysctl参数
    ———–输入如下内容————-

 

1.2 加载sysctl参数
 

用文字编辑工具(如vim)打开/etc/ipsec.conf,改成如下样式:

 

 

 

用文字编辑器打开/etc/ipsec.secrets,改成如下格式:

把上面中文部分的东西替换成你自己的,保存。

然后运行以下命令:

检查一下 IPSec 能否正常工作:

除了最后一行Opportunistic Encryption Support可能显示为[DISABLED]外,其他全应该是OK,如果有遇到问题的请按照错误提示具体分析。

 

 

 

l2tp

 

 

重启openswan

或者

安装xl2tpd:

用文字编辑器打开/etc/xl2tpd/xl2tpd.conf,改成这样:

注意ip range里面出现的IP避免和已使用的IP重复,如果发现有重复就错开一个段即可。

如果你之前没有在服务器上安装过pptpd,那么下面这一步你要进行安装:

然后配置/etc/ppp/options.xl2tpd,如果没有就新建一个,内容如下:

其中dns我设置的是google的公共dns服务器,可以自行修改。

使用文字编辑器编辑/etc/ppp/chap-secrets,添加或修改用户

格式是这样:每一行是一个用户的信息,第一部分是用户名,第二部分是所使用的服务,第三部分是密码,第四部分是允许的IP地址,一般来说第二部分可以设置成l2tpd,这样就完全限制这个账号只能使用l2tp登陆,同时因为pptp和l2tp两种登陆方式是可以共存并且同时使用的,第二部分也就可以设置成pptpd,当然,设置成通配符*也是可以的,意思是所有协议都可以使用这个账号登陆,例子如下:

下面重启 xl2tpd:

设置 iptables 的数据包转发:

如果是OVZ构架的VPS,需要另外的方法:

设置自启动项,编辑/etc/rc.local,加入下面的语句:

 

常见问题处理:

错误1:pluto is running [FAILED]

 

 

错误2:NETKEY: Testing XFRM related proc values [FAILED]

 

你可能忘记修改网络策略:

 

错误3:Pluto listening for IKE on udp 500 [FAILED]

 

那么你需要安装lsof:

 

 

错误4,如图:

2222233333

这个是在Lindon的vps上出现的错误,按照报错很好理解,有RNG这个硬件支持,但是没有“rngd”或者“clrngd”在运行,简单来说,就是这两个东西没有运行;

这是什么呢?

rngd服务—熵值

是Linux里面一种加密机制,随即数,因为ipsec也是一种加密的,因此需要它的支持,有兴趣的可以了解一下《Linux 系统中随机数在 KVM 中的应用》

具体操作可以按照下面的来:

 

我是使用的第二种方法,加到/etc/rc.local里面让它开机运行的,因为不知道为什么,按照第一种方法,会提示服务不存在或者未知。

完成后重启ipsec服务,然后就正常了,如图:

l2tp

 

最后客户端连接的时候,可以看一下日志:

 

第一个是看ipsec的验证过程,如果出现这个的话,就是过了ipsec的验证过程了:

 

 

 

0000000

 

这个过程过了后,就是xl2tp来分配ip了,就是看下面的那个日志了:

afasfasf

可以看到图中的local ip和remote ip了,这个就是已经分配了ip给客户端了,到这里就说明客户端正常连接了。


 

 

注意,如果出现如图所示的报错,IOS无法连接,如图:

addf

 

同时检查配置文件,如图:

erth

这个是openswan的版本问题,

Debian 7.0 上最新的是 1:2.6.37-3+deb7u1 , 如果默认 apt-get install openswan 就是这个版本,这时候就需要降级:

 

配置文件这些都不用改,是一样的,重启一下ipsec和xl2tpd,再试一下,ios马上就OK了,这个问题我也是弄了好久才发现的……

You may also like...

发表评论

电子邮件地址不会被公开。 必填项已用*标注