CentOS 7 搭建 L2TP/IPsec VPN 服务器

一、前言

L2TP（Layer 2 Tunneling Protocol）结合 IPsec（Internet Protocol Security）可以在提供隧道功能的同时，确保数据传输的安全性，本文将详细介绍在 CentOS 7 系统上如何搭建一个安全稳定的 L2TP/IPsec VPN 服务器。

二、前置条件检查

1、操作系统：CentOS 7

2、公网 IP：确保服务器拥有公网 IP 地址

3、网络环境：允许必要的端口通过防火墙

三、安装相关软件

1. 安装 EPEL 源

EPEL（Extra Packages for Enterprise Linux）是一个由 Fedora 特殊兴趣小组维护的项目，为 RHEL/CentOS 及其衍生发行版提供额外的软件包，执行以下命令安装 EPEL 源：

sudo yum install y epelrelease

2. 安装 xl2tpd

xl2tpd 是xl2tpd 的一个分支，用于实现 L2TP 和PPP协议，执行以下命令进行安装：

sudo yum install y xl2tpd

3. 安装 libreswan

libreswan 是 OpenSWAN 的一个分支，实现了 IPsec 协议，执行以下命令进行安装：

sudo yum install y libreswan

四、配置 IPsec

1. 编辑 IPsec 配置文件

创建或编辑/etc/ipsec.conf 文件，添加以下内容以启用 NAT 遍历：

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

2. 创建 IPsec 与 L2TP 服务关联的配置文件

创建或编辑/etc/ipsec.d/l2tp_psk.conf 文件，添加以下内容：

conn L2TPPSKNAT
    rightsubnet=vhost:%priv
    also=L2TPPSKnoNAT
conn L2TPPSKnoNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=10.0.30.177    # 服务器的公网 IP 地址
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

3. 创建保存预共享密钥的文件

创建或编辑/etc/ipsec.d/ipsec.secrets 文件，添加以下内容：

: PSK "123456"

4. 设置 l2tp 的账号信息

创建或编辑/etc/ppp/chapsecrets 文件，添加 VPN 用户信息：

用户名      服务器         密码          客户端 IP 地址池
admin1       *              12345678      *
admin2       *              12345678      *
admin3       *              12345678

5. 修改内核参数以支持 IPsec

创建或编辑/etc/sysctl.conf 文件，添加以下内容：

net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0

使配置生效：

sudo sysctl p

6. 启动并验证 IPsec 服务

启动并设置开机自启 IPsec 服务：

sudo systemctl start ipsec
sudo systemctl enable ipsec

验证 IPsec 配置是否正确：

sudo ipsec verify

五、配置 L2TP

1. 编辑 L2TP 配置文件

创建或编辑/etc/xl2tpd/xl2tpd.conf 文件，修改以下内容：

[global]
;ifconfig显示的ip不是公网ip
listenaddr = 10.0.12.7
ipsec saref = yes
;修改分配的地址段
[lns default]
ip range = 192.168.7.7192.168.7.77
local ip = 192.168.7.10

2. 修改安全配置

创建或编辑/etc/ppp/options.xl2tpd 文件，添加以下内容：

requiremschapv2
msdns 8.8.8.8
msdns 114.114.114.114
logfile /var/log/xl2tpd.log

3. 停止 firewalld 服务并禁用

执行以下命令停止并禁用firewalld 服务：

sudo systemctl stop firewalld
sudo systemctl mask firewalld

4. 安装并配置 iptables 服务

安装iptablesservices：

sudo yum install y iptablesservices

配置防火墙规则：

#注意 ens33要是自己的网卡名称
sudo iptables t nat A POSTROUTING s 192.168.7.10/24 o eth0 j MASQUERADE
sudo iptables I FORWARD s 192.168.7.10/24 j ACCEPT
sudo iptables I FORWARD d 192.168.7.10/24 j ACCEPT
sudo iptables A INPUT p udp m policy dir in pol ipsec m udp dport 1701 j ACCEPT
sudo iptables A INPUT p udp m udp dport 1701 j ACCEPT
sudo iptables A INPUT p udp m udp dport 500 j ACCEPT
sudo iptables A INPUT p udp m udp dport 4500 j ACCEPT
sudo iptables A INPUT p esp j ACCEPT
sudo iptables A INPUT m policy dir in pol ipsec j ACCEPT
sudo iptables A FORWARD i ppp+ m state state NEW,RELATED,ESTABLISHED j ACCEPT
sudo iptables A FORWARD m state state RELATED,ESTABLISHED j ACCEPT
service iptables save

5. 启动并设置开机自启 L2TP 服务

启动并设置开机自启xl2tpd 服务：

sudo systemctl start xl2tpd
sudo systemctl enable xl2tpd

六、常见问题与解答 (FAQs)

Q1：如何更改预共享密钥？

A1：预共享密钥定义在/etc/ipsec.d/ipsec.secrets 文件中，找到对应的条目，修改为新的密钥即可。

: PSK "newpassword"

保存文件后，重启 IPsec 服务使更改生效。

sudo systemctl restart ipsec

Q2：如何更改 VPN 用户的密码？

A2：VPN 用户信息定义在/etc/ppp/chapsecrets 文件中，找到对应的用户条目，修改密码即可。

admin1 * newpassword

保存文件后，无需重启服务，更改即时生效。