配置L2TP+IPSec虚拟专用网

L2TP+IPSec虚拟专用网

特点：跨平台，数据加密传输，安全

1，部署IPSec服务

1）安装软件包

[root@client ~]# yum -y install libreswan

2)新建IPSec密钥验证配置文件

[root@client ~]# cat /etc/ipsecconf //仅查看一下该主配置文件

include /etc/ipsecd/ conf //加载该目录下的所有配置文件

[root@client ~]# vim /etc/ipsecd/myipsecconf 

//新建该文件，参考lnmp_soft//myipsecconf 

conn IDC-PSK-NAT

rightsubnet=vhost:%priv //允许建立的×××虚拟网络

also=IDC-PSK-noNAT

conn IDC-PSK-noNAT

authby=secret //加密认证

ike=3des-sha1;modp1024 //算法

phase2alg=aes256-sha1;modp2048 //算法

pfs=no

auto=add

keyingtries=3

rekey=no

ikelifetime=8h

keylife=3h

type=transport

left=2011210 //重要，服务器本机的外网IP

leftprotoport=17/1701

right=%any //允许任何客户端连接

rightprotoport=17/%any

3)创建IPSec预定义共享密钥

[root@client ~]# cat /etc/ipsecsecrets //仅查看，不要修改该文件

include /etc/ipsecd/

secrets

[root@client ~]# vim /etc/ipsecd/mypasssecrets //新建该文件

2011210 %any: PSK "randpass" //randpass为预共享密钥

//2011210是×××服务器的IP

4)启动IPSec服务

[root@client ~]# systemctl start ipsec 

[root@client ~]# netstat -ntulp |grep pluto

udp 0 0 127001:4500 0000:  3148/pluto 

udp 0 0 192168410:4500 0000:

 3148/pluto 

udp 0 0 2011210:4500 0000:  3148/pluto 

udp 0 0 127001:500 0000:

 3148/pluto 

udp 0 0 192168410:500 0000:  3148/pluto 

udp 0 0 2011210:500 0000:

 3148/pluto 

udp6 0 0 ::1:500 ::: 3148/pluto

32　部署XL2TP服务

1）安装软件包（软件包参考lnmp_soft）

[root@client ~]# yum localinstall xl2tpd-138-2el7x86_64rpm

2) 修改xl2tp配置文件（修改3个配置文件的内容）

[root@client ~]# vim /etc/xl2tpd/xl2tpdconf //修改主配置文件

[global]

[lns default]

ip range = 1921683128-1921683254 //分配给客户端的IP池

local ip = 2011210 //×××服务器的IP地址

[root@client ~]# vim /etc/ppp/optionsxl2tpd //认证配置

require-mschap-v2 //添加一行，强制要求认证 物联网开发找 上海捌跃网络科技有限公司

#crtscts //注释或删除该行

#lock //注释或删除该行

root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件

jacob  123456  //账户名称 服务器标记 密码 客户端IP

3）启动服务

[root@client ~]# systemctl start xl2tpd

[root@client ~]# netstat -ntulp |grep xl2tpd 

udp 0 0 0000:1701 0000: 3580/xl2tpd

4）设置路由转发，防火墙

[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@client ~]# firewall-cmd --set-default-zone=trusted

5）×××设置（非必需操作）

[root@client ~]# iptables -t nat -A POSTROUTING -s 19216830/24 -j SNAT --to-source 2011210

33客户端设置

1）新建网络连接，输入×××服务器账户与密码。

设置×××连接的属性，预共享密钥是IPSec配置文件中填写的randpass，具体操作如图所示。（高版本不用这么麻烦）

2）设置Windows注册表（不修改注册表，连接×××默认会报789错误），具体操作如下：（win7以上不用操作）

单击"开始"，单击"运行"，键入"regedit"，然后单击"确定"

找到下面的注册表子项，然后单击它：

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters

在"编辑"菜单上，单击"新建"->"DWORD值"

在"名称"框中，键入"ProhibitIpSec"

在"数值数据"框中，键入"1"，然后单击"确定"

退出注册表编辑器，然后重新启动计算机

连接×××并测试网络连通性。

转自：http://blog51ctocom/14050800/2314209

在server2003上把设置做好之后，在路由器上做端口映射就可以了，

但是系-统自带的***，功能很有限，而且设置起来很麻烦，要不然其他品牌的***就没有生存空间了。

向你推荐一款***。叫PacketiX （派克斯） ***。这是一款纯软件的产品，不需要你更换现有的网络设备。直接在总部的一台电脑上安装，简单设置，***server端就搭建完成。然后客户端再从外网拨入。一个完整的***网络就搭建完成了。。相对于硬件的***，管理简单，不需要更换设备，不需要重新设计拓扑图。成本低得多。维护也简

方法一：利用MMC控制台

第一步：点击“开始→运行”，在运行对话框中输入“MMC”，点击“确定”按钮后，启动“控制台”窗口。

第二步：点击菜单中的“文件→添加/删除管理单元”选项，弹出“添加/删除管理单元”对话框，点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框

第三步：在列表框中选择“IP安全策略管理”，点击“添加”按钮，在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。

方法二：利用本地安全策略

进入“控制面板→管理工具”选项，运行“本地安全设置”选项，在“本地安全设置”窗口中展开“安全设置”选项，就可以找到“IP安全策略，在本地计算机”。

三： 在“运行”中输入secpolmsc，同样打开“本地安全策略”。