使用L2TP和Cisco IPsec设置IPSec VPN server的方法

 本文介绍使用L2TP和Cisco IPsec设置IPSec V.P.N server的方法，该方法可用在Ubuntu 18.04 (Bionic)、16.04 (Xenial)、14.04 (Trusty)、Debian 9 (Stretch)、8 (Jessie)、CentOS 7 (x86_64)、CentOS 6 (x86_64)操作系统上。

一、更新系统

1、更新Ubuntu/Debian系统：

sudo apt update

sudo apt upgrade

sudo apt dist-upgrade

sudo reboot

2、更新CentOS 7/CentOS 6系统：

sudo yum install epel-release

sudo yum -y update

sudo reboot

运行以下命令后可确保服务器上的所有软件包都是最新的。

二、在Ubuntu/CentOS/Debian上使用L2TP和Cisco IPsec设置IPSec V.P.N服务器

我们将使用一个脚本，简化在Ubuntu/CentOS/Debian Linux发行版上使用L2TP和Cisco IPsec部署IPSec V.P.N服务器的过程。

1、在Ubuntu 18.04/Ubuntu 16.04/Debian上设置IPsec V.P.N服务器

你应该在运行部署脚本之前更新系统软件包，这是一个完全自动化的IPsec V.P.N服务器设置，无需用户输入：

wget https://git.io/V.P.Nsetup -O V.P.Nsetup.sh && sudo sh V.P.Nsetup.sh

2、在CentOS 7/CentOS 6上设置IPsec V.P.N服务器

对于CentOS服务器，请改为运行以下命令：

wget https://git.io/V.P.Nsetup-centos -O V.P.Nsetup.sh && sudo sh V.P.Nsetup.sh

完成后，你的V.P.N登录详细信息将随机生成并显示在屏幕上，如果要定义自己的V.P.N帐户，请在执行前编辑V.P.Nsetup.sh：

sudo vim V.P.Nsetup.sh

将值设置在单引号内：

运行V.P.Nsetup.sh：

sudo V.P.Nsetup.sh

样本输出，如下图：

Ubuntu/CentOS/Debian上使用L2TP和Cisco IPsec设置IPSec V.P.N的方法

启用ipsec服务以在启动时启动：

sudo systemctl enable ipsec

此部署包括sysctl.conf优化以提高性能：

# Added by hwdsl2 V.P.N script

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 68719476736

kernel.shmall = 4294967296

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.all.rp_filter = 0

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.default.send_redirects = 0

net.ipv4.conf.default.rp_filter = 0

net.ipv4.conf.eth0.send_redirects = 0

net.ipv4.conf.eth0.rp_filter = 0

net.core.wmem_max = 12582912

net.core.rmem_max = 12582912

net.ipv4.tcp_rmem = 10240 87380 12582912

net.ipv4.tcp_wmem = 10240 87380 12582912

所有V.P.N流量都封装在UDP中，不需要ESP协议。

管理V.P.N用户

默认情况下，会创建V.P.N登录的单个用户帐户。

IPsec PSK（预共享密钥）存储在./etc/ipsec.secrets中，所有V.P.N用户共享相同的IPsec PSK，你可以通过更改行来设置新的：

%any %any : PSK "your_new_ipsec_pre_shared_key"

对于IPsec/L2TP，V.P.N用户在/etc/ppp/chap-secrets中指定，该文件的格式为：

"your_V.P.N_username_1" l2tpd "your_V.P.N_password_1" *

"your_V.P.N_username_2" l2tpd "your_V.P.N_password_2" *

对于IPsec/XAuth（“Cisco IPsec”），V.P.N用户在/etc/ipsec.d/passwd中指定，该文件的格式为：

your_V.P.N_username_1:your_V.P.N_password_1_hashed:xauth-psk

your_V.P.N_username_2:your_V.P.N_password_2_hashed:xauth-psk

... ...

此文件中的密码是hashed，该步骤可以使用例如openssl实用程序：

最后，如果你更改为新的PSK，请重新启动服务，要添加，编辑或删除V.P.N用户，通常不需要重新启动：

sudo service ipsec restart || sudo systemctl restart ipsec

sudo service xl2tpd restart || sudo systemctl restart xl2tpd

最后将计算机连接到V.P.N，可以参考在Deepin linux系统中L2TP/IPSec的连接方法。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：niceseo99@gmail.com进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。