一、安装前准备
1、系统要求:CentOS 7 及以上版本,内存至少 128MB,具备 root 权限或使用sudo 提权。
2、更新系统:确保系统软件包是最新的。
yum update y
3、安装 EPEL(Extra Packages for Enterprise Linux)库:EPEL 库提供了额外的软件包,对于安装一些必要的软件非常重要。
yum install epelrelease y
二、选择 VPN 协议并安装
1. OpenVPN 安装步骤
1、安装 OpenVPN:
yum install epelrelease y yum install openvpn y
2、生成服务器证书和密钥:
makecadir ~/openvpnca cd ~/openvpnca easyrsa initpki easyrsa buildca easyrsa genreq server nopass easyrsa signreq server server cp pki/ca.crt pki/private/ca.key pki/issued/server.crt pki/private/server.key /etc/openvpn/
3、配置 OpenVPN:
编辑/etc/openvpn/server.conf 文件,添加以下内容(根据实际情况修改 IP 地址):
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem server 10.8.0.0 255.255.255.0 ifconfigpoolpersist ipp.txt keepalive 10 120 persistkey persisttun status openvpnstatus.log verb 3
4、启动 OpenVPN:
systemctl start openvpn@server systemctl enable openvpn@server
2. L2TP/IPSec VPN 安装步骤
1、安装相关软件包:
yum install xl2tpd ppp ipsecmodxfrm y
2、修改 PSK(PreShared Key)文件:
编辑/etc/sysconfig/ipsec 文件,添加或修改预共享密钥:
vim /etc/sysconfig/ipsec PSK="your_psk_here"
3、配置 IPSec:
编辑/etc/ipsec.conf 文件,添加以下内容以启用 NAT 遍历:
nat_traversal=yes include /etc/ipsec.d/*.conf
4、创建 IPSec 配置文件:
在/etc/ipsec.d/ 目录下创建一个新的配置文件l2tp_psk.conf:
conn L2TPPSKNAT rightsubnet=vhost:%priv,vhost%home,!0.0.0.0/0 also=L2TPPSKnoNAT conn L2TPPSKnoNAT authby=secret pfs=no auto=add keyingtries=3 dpddelay=30 dpdtimeout=120 dpdaction=clear rekey=no ikelifetime=8h keylife=1h type=transport left=10.0.8.12 leftprotoport=17/1701 right=%any rightprotoport=17/%any
5、创建预共享密钥文件:
在/etc/ipsec.d/ 目录下创建一个新的密钥文件ipsec.secrets:
10.0.8.12 %any: PSK "your_psk_here"
6、调整内核参数:
编辑/etc/sysctl.conf 文件,确保以下参数被正确设置:
vm.swappiness = 0 net.ipv4.ip_forward = 1 net.ipv4.conf.all.arp_announce = 2 net.ipv4.conf.all.promote_secondaries = 1 net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.default.arp_announce = 2 net.ipv4.conf.default.promote_secondaries = 1 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.lo.arp_announce = 2 net.ipv6.conf.all.disable_ipv6 = 0 net.ipv6.conf.default.disable_ipv6 = 0 net.ipv6.conf.lo.disable_ipv6 = 0
7、重启服务并应用配置:
systemctl restart ipsec systemctl restart xl2tpd sysctl p
三、配置防火墙
1、开放 UDP 1701 端口:为了使 L2TP 正常工作,需要开放 UDP 1701 端口:
firewallcmd permanent zone=public addport=1701/udp firewallcmd reload
四、测试连接
1、查看 IPSec 状态:确保 IPSec 运行正常:
ipsec status
2、查看 IPSec 验证结果:检查 IPSec 配置是否正确:
ipsec verify
3、连接测试:使用支持 L2TP/IPSec 的客户端(如 Windows、macOS)连接到 VPN,使用默认的用户名和密码进行测试,如果一切配置正确,应该能够成功连接。
五、常见问题解答(FAQs)
Q1: 无法连接到 L2TP VPN,提示认证失败?
A1: 确保预共享密钥(PSK)在服务器和客户端上一致,检查/etc/sysconfig/ipsec 文件中的 PSK 设置,并在客户端配置中输入相同的密钥,确认防火墙规则允许 UDP 1701 端口的流量通过。
Q2: OpenVPN 连接后无法访问互联网?
A2: 确保 OpenVPN 配置文件中的路由设置正确,通常需要在客户端配置文件中添加push "redirectgateway def1 bypassdhcp",并在服务器配置文件中添加相应的推送指令,检查客户端和服务器之间的网络连接是否正常。
