配置L2TP+IPSec虚拟专用网
L2TP+IPSec虚拟专用网
特点:跨平台,数据加密传输,安全
1,部署IPSec服务
1)安装软件包
[root@client ~]# yum -y install libreswan
[root@client ~]# cat /etc/ipsecconf //仅查看一下该主配置文件
include /etc/ipsecd/ conf //加载该目录下的所有配置文件
[root@client ~]# vim /etc/ipsecd/myipsecconf
//新建该文件,参考lnmp_soft//myipsecconf
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //允许建立的×××虚拟网络
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //加密认证
ike=3des-sha1;modp1024 //算法
phase2alg=aes256-sha1;modp2048 //算法
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=3h
type=transport
left=2011210 //重要,服务器本机的外网IP
leftprotoport=17/1701
right=%any //允许任何客户端连接
rightprotoport=17/%any
3)创建IPSec预定义共享密钥
[root@client ~]# cat /etc/ipsecsecrets //仅查看,不要修改该文件
include /etc/ipsecd/
secrets
[root@client ~]# vim /etc/ipsecd/mypasssecrets //新建该文件
2011210 %any: PSK "randpass" //randpass为预共享密钥
//2011210是×××服务器的IP
4)启动IPSec服务
[root@client ~]# systemctl start ipsec
[root@client ~]# netstat -ntulp |grep pluto
udp 0 0 127001:4500 0000: 3148/pluto
udp 0 0 192168410:4500 0000:
3148/pluto
udp 0 0 2011210:4500 0000: 3148/pluto
udp 0 0 127001:500 0000:
3148/pluto
udp 0 0 192168410:500 0000: 3148/pluto
udp 0 0 2011210:500 0000:
3148/pluto
udp6 0 0 ::1:500 ::: 3148/pluto
32 部署XL2TP服务
1)安装软件包(软件包参考lnmp_soft)
[root@client ~]# yum localinstall xl2tpd-138-2el7x86_64rpm
2) 修改xl2tp配置文件(修改3个配置文件的内容)
[root@client ~]# vim /etc/xl2tpd/xl2tpdconf //修改主配置文件
[global]
[lns default]
ip range = 1921683128-1921683254 //分配给客户端的IP池
local ip = 2011210 //×××服务器的IP地址
[root@client ~]# vim /etc/ppp/optionsxl2tpd //认证配置
require-mschap-v2 //添加一行,强制要求认证 物联网开发找 上海捌跃网络科技有限公司
#crtscts //注释或删除该行
#lock //注释或删除该行
root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件
jacob 123456 //账户名称 服务器标记 密码 客户端IP
3)启动服务
[root@client ~]# systemctl start xl2tpd
[root@client ~]# netstat -ntulp |grep xl2tpd
udp 0 0 0000:1701 0000: 3580/xl2tpd
4)设置路由转发,防火墙
[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@client ~]# firewall-cmd --set-default-zone=trusted
5)×××设置(非必需操作)
[root@client ~]# iptables -t nat -A POSTROUTING -s 19216830/24 -j SNAT --to-source 2011210
33客户端设置
1)新建网络连接,输入×××服务器账户与密码。
设置×××连接的属性,预共享密钥是IPSec配置文件中填写的randpass,具体操作如图所示。(高版本不用这么麻烦)
2)设置Windows注册表(不修改注册表,连接×××默认会报789错误),具体操作如下:(win7以上不用操作)
单击"开始",单击"运行",键入"regedit",然后单击"确定"
找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
在"编辑"菜单上,单击"新建"->"DWORD值"
在"名称"框中,键入"ProhibitIpSec"
在"数值数据"框中,键入"1",然后单击"确定"
退出注册表编辑器,然后重新启动计算机
连接×××并测试网络连通性。
转自:http://blog51ctocom/14050800/2314209
在server2003上把设置做好之后,在路由器上做端口映射就可以了,
但是系-统自带的***,功能很有限,而且设置起来很麻烦,要不然其他品牌的***就没有生存空间了。
向你推荐一款***。叫PacketiX (派克斯) ***。这是一款纯软件的产品,不需要你更换现有的网络设备。直接在总部的一台电脑上安装,简单设置,***server端就搭建完成。然后客户端再从外网拨入。一个完整的***网络就搭建完成了。。相对于硬件的***,管理简单,不需要更换设备,不需要重新设计拓扑图。成本低得多。维护也简
方法一:利用MMC控制台
第一步:点击“开始→运行”,在运行对话框中输入“MMC”,点击“确定”按钮后,启动“控制台”窗口。
第二步:点击菜单中的“文件→添加/删除管理单元”选项,弹出“添加/删除管理单元”对话框,点击“独立”标签页的“添加”按钮,弹出“添加独立管理单元”对话框
第三步:在列表框中选择“IP安全策略管理”,点击“添加”按钮,在“选择计算机”对话框中,选择“本地计算机”,最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。
方法二:利用本地安全策略
进入“控制面板→管理工具”选项,运行“本地安全设置”选项,在“本地安全设置”窗口中展开“安全设置”选项,就可以找到“IP安全策略,在本地计算机”。
三: 在“运行”中输入secpolmsc,同样打开“本地安全策略”。
0条评论