如何在 DebianUbuntu 服务器上架设 L2TPIPSec VPN
Ubuntu / Debian:自己把点换成
1
2
3
wget mirrorzeddicus点com/auto-l2tp/12/ubuntu/l2tpsh
chmod +x l2tpsh
/l2tpsh
此时需要输入IP段与PSK,值得注意的是,如果希望L2TP的IP段是 10000 的话,则在脚本的IP-RANGE中输入 “1000″。PSK 是 l2tp client 共同使用的密匙,同样是必填的。
输入了IP段和PSK之后,程序会显示你的VPS当前的IP(IPV4)、L2TP的本地IP、分配给客户端的IP段以及你所设置的PSK,请确认无误后,按任意键,程序便会开始自动配置。
安装完毕后会运行 ipsec verify,前面是OK,最后一个为DISABLED,证明配置成功!用于测试的用户名与密码分别是:test / test123,记录于 /etc/ppp/chap-secrets 文件当中。
先登录进群晖(Synology) DSM系统,在套件中心安装“*** Server”
然后在主菜单里就可以设置你所需要的***服务了
设置完毕后,如果你的群晖服务器是在局域网内,那么别忘记打开对应***服务的防火墙/路由器端口,让外网能访问你的NAS。
这是一个简短的教程,目的是为了快速搭建一个可用的***,本文并不涉及有关***的正常使用内容。本简短教程基于以下硬件条件:
一台安装了Debian GNU/Linux 50的VPS。
当然理论上所有可以安装pptpd包的nix系统都可以作为主机,教程中安装方式是基于Debian的apt-get命令,其他发行版请自行对照使用。
这台VPS的物理位置是Fremont, CA。
物理位置作为***这个应用本身并不重要,在这里提出只是多此一举。
安装服务器端软件
# apt-get install pptpd
Debian的包管理是所有发行版里最好的,所以这条命令打完就安装完毕了我们的pptp服务器端程序。
配置IP地址范围
编辑/etc/pptpdconf,在最后添加如下地址:
localip 19216801remoteip 1921680234-238,1921680245
这两句设置了当外部计算机通过pptp联接到***后所能拿到的ip地址范围和服务器的ip地址设置。
增加一个用户
编辑/etc/ppp/chap-secrets,在下面增加类似的条目:
username pptpd password
上面内容很好理解,最后那个星号是说允许从任何IP地址联接,如果你想单独设定IP地址也可以。
重启pptpd服务
# /etc/initd/pptpd restar
理论上到这里一个***就已经搭建完毕了。无论你用的是Windows还是OSX,或者是iPhone OS,都可以通过建立一个pptp链接来联入这个***。不过你并不能通过这个来上Internet,因为所有的数据都作用于那台pptpd的服务器上,而不会传入拨入的计算机设备上。要上Internet还需要这么干:
dns解析支持
编辑:/etc/ppp/options,在里面找一下“ms-dns”项目:
ms-dns 20867222222 ms-dns 20867220220
我填写的是OpenDNS的地址,当然你也可以填写电信的DNS。
允许转发
编辑/etc/sysctlconf,看一下netipv4ip_forward参数是不是1。
netipv4ip_forward=1
最后的最后,运行一下这条命令来打开iptables的转发支持:
/sbin/iptables -t nat -A POSTROUTING -s 19216800/24 -o eth0 -j MASQUERADE
注意:来自@LEMONed的消息,只有Xen的VPS可以搭建pptp,OpenVZ的不行。
引用来自@LEMONed的话:
因为openvz下只有venet0,没有eth0,而绝大多数的vps都是openvz的,然后绝大多数的openvz vps都没有masqurade,只能搭建open***并且要自签证书什么的,根本不能用pptpd。我为了给iphone搭个***曾经把这个研究透彻了
1、首先应该配置服务器的外部接口。你应该已经知道如何做到这一点,并且可能已经完成了。如果你不这样做,那么现在就这样做。
2、现在我们调出内部接口。根据我们选择的数字,服务器的内部接口是19216840254。所以我们必须配置该接口。
3、设置路线。 我们现在可以与当地网络上的机器通信,但我们无法访问其他内部网络。这需要更多的代码行。
4、任何发往19216800网络的流量都应该输出eth1,并且它应该交给思科。我们的本地网络的流量仍然可以达到应有的位置,因为路由表按网络掩码的大小排序。如果我们在我们的网络中有其他内部网络,我们将为每个网络提供如上所述的线路。
5、现在我们可以访问我们可能需要的每台机器,我们需要编写允许或拒绝通过***服务器访问的防火墙过滤规则。
6、对于家庭用户来说,一切都可以在这里工作。但是对于远程办公室,我们需要做一些路由。首先,我们需要告诉主路由器或思科,远程办公室是***服务器的后面。因此,请指定Cisco上的路由,告知它将发往远程办公室的流量发送到***服务器。现在,我们必须告诉***服务器如何处理发往远程办公室的流量。
7、为此,我们在服务器上运行 route命令。唯一的问题是为了路线命令工作,链接必须是up,如果它关闭,路由将丢失。解决方案是在客户端连接时添加路由,或者更简单地,经常运行路由命令,因为运行它不是必要的问题。
0条评论