如何在Ubuntu下配置L2TP VPN

如题所述

推荐答案推荐于2016-08-07

安装软件包
sudo apt-get install xl2tpd openswan ppp

IPSec / Openswan
打开 /etc/ipsec.conf 文件，做如下配置：
config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.152.2.0/24 # 这里包含的网络地址允许配置为远程客户端所在的子网。换句话说， # 这些地址范围应该是你的NAT路由器后面的客户端的地址。 oe=off protostack=netkey conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no # Apple 的 iOS 不会发送 delete 提醒， # 所以我们需要通过死亡对端（dead peer）检测来识别断掉的客户端 dpddelay=30 dpdtimeout=120 dpdaction=clear # 设置 ikelifetime 和 keylife 和 Windows 的默认设置一致 ikelifetime=8h keylife=1h type=transport # 替换 IP 地址为你的本地IP （一般是，私有地址、NAT内的地址） left=x.x.x.x # 用于升级过的 Windows 2000/XP 客户端 leftprotoport=17/1701 # 要支持老的客户端，需要设置 leftprotoport=17/%any right=%any rightprotoport=17/%any # 强制所有连接都NAT，因为 iOS forceencaps=yes

注意你的ipsec.conf文件，"config setup" 和 "L2TP-PSK-NAT"、 "L2TP-PSK-NAT"应该顶着行头写，而其它行应该以8个空格缩进。
打开 /etc/ipsec.secrets，配置：
x.x.x.x %any: PSK "somegoodpassword"

这里x.x.x.x 替换为你的服务器的IP地址，并设置一个复杂的密码。
启动 IPSEC 服务：
/etc/init.d/ipsec start

使用如下命令确认 ipsec 是否工作正常：
sudo ipsec verify

应该没有任何错误才行：
Checking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path [OK]Linux Openswan U2.6.28/K2.6.32-32-generic-pae (netkey)Checking for IPsec support in kernel [OK]NETKEY detected, testing for disabled ICMP send_redirects [OK]NETKEY detected, testing for disabled ICMP accept_redirects [OK]Checking that pluto is running [OK]Pluto listening for IKE on udp 500 [OK]Pluto listening for NAT-T on udp 4500 [OK]Checking for 'ip' command [OK]Checking for 'iptables' command [OK]Opportunistic Encryption Support [DISABLED]

在 /etc/init.d 下创建一个名为 ipsec.vpn 的文件，内容如下：
case "$1" in start) echo "Starting my Ipsec VPN" iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec start /etc/init.d/xl2tpd start;; stop) echo "Stopping my Ipsec VPN" iptables --table nat --flush echo 0 > /proc/sys/net/ipv4/ip_forward /etc/init.d/ipsec stop /etc/init.d/xl2tpd stop;; restart) echo "Restarting my Ipsec VPN" iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec restart /etc/init.d/xl2tpd restart ;; *) echo "Usage: /etc/init.d/ipsec.vpn {start|stop|restart}" exit 1;;esac

这会配置防火墙转发。记得修改上面文件的本地IP地址池10.152.2.0/24为你自己的。
然后给这个文件设置可执行权限：
sudo chmod 755 ipsec.vpn

禁止默认的 ipsec 服务脚本运行：
sudo update-rc.d -f ipsec remove

然后，启用我们刚才定制的这个：
sudo update-rc.d ipsec.vpn defaults

L2TP
修改 /etc/xl2tpd/xl2tpd.conf ：
[global]ipsec saref = no [lns default]ip range = 10.152.2.2-10.152.2.254local ip = 10.152.2.1require chap = yesrefuse pap = yesrequire authentication = yesppp debug = yespppoptfile = /etc/ppp/options.xl2tpdlength bit = yes

配置说明如下：
ip range = 可以连接VPN服务的客户端IP地址范围
local ip = VPN 服务器的IP，必须在客户端IP范围之外
refuse pap = 拒绝 pap 认证
ppp debug = 测试时打开
选择一个复杂的挑战-响应式验证字符串。虽然没有最短长度限制，不过它应该至少有16个字符，也应该足够复杂才能保证安全。
打开文件 /etc/xl2tpd/l2tp-secrets ，填入你的密码：
* * exampleforchallengestring

打开文件 /etc/ppp/options.xl2tpd，做如下配置：

refuse-mschap-v2refuse-mschapms-dns 8.8.8.8ms-dns 8.8.4.4asyncmap 0authcrtsctsidle 1800mtu 1200mru 1200lockhide-passwordlocal#debugname l2tpdproxyarplcp-echo-interval 30lcp-echo-failure 4

ms-dns 选项设置要给客户端分配的 DNS 服务器，当客户端连接时，就会被分配这些 DNS。如果要加入多个 DNS，就每行一个，分别写几行。
如果你要给客户端推送wins设置，可以分别设置如下选项。
mtu 和 mru 按照openswan.org的说法，减小 mru/mtu 的大小非常重要。因为 l2tp/ipsec 会封装几次，可能导致性能下降，减小这个配置的大小可以一次性传输全部的包。
proxyarp 可以将连接的客户端的IP地址和以太网地址加入的系统的ARP表中。这会影响到本地局域网内其它客户端。
name l2tpd 用在 PPP验证文件里面。
添加用户
打开文件 /etc/ppp/chap-secrets ，做如下配置：
user1 l2tpd chooseagoodpassword *user2 * chooseagoodpassword *

每行包括如下字段：
客户端 = 用户名称
服务器 = 在上面的 /etc/ppp/options.xl2tpd 定义的名字
密码 = 用户密码，你应该设置一个足够复杂的密码
IP 地址 = * 表示用户可以从任何地址连接，否则设置用户只能从特定的地址连接
注意：你可以添加多个用户。
IP转发
打开文件 /etc/sysctl.conf，修改配置：
net.ipv4.ip_forward=1

载入新的配置：
sysctl -p

启动VPN
sudo /etc/init.d/ipsec.vpn restartsudo /etc/init.d/xl2tpd restart

排除故障
如果遇到了问题，以下命令可以帮助你找到问题：
sudo tcpdump -i ppp0sudo tail -f /var/log/auth.logsudo tail -f /var/log/syslog

你可以可以在服务器上使用如下命令来监控：
sudo tcpdump -i eth0 host aaa.bbb.ccc.ddd and not port ssh

温馨提示：答案为网友推荐，仅供参考

当前网址：http://44.wendadaohang.com/zd/6DKDKYZWRGK6W3W3GV.html

其他回答

第1个回答 2019-08-26

我看很多人都是手动设置的

现在并没有这么复杂的哟

下个。。九！州@动态IP

一款能转换IP的软件

一键换IP，特别的方便。

多IP地区

相似回答

如何在Ubuntu下配置L2TP VPN答：如何在Ubuntu下配置L2TP VPN 1、右键单击“网上邻居”选择“属性”，打开网络连接属性。2、在右侧的“网络任务”栏中点击“创建一个新的连接。3、打开新建连接向导，点“下一步”。在 “网络连接属性”选择里，点击“设置高级连接”，点击“下一步”，然后，在接下来的“高级连接选项”中选择“接受传...

如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN答：test l2tpd testpassword *如果你之前设置过 PPTP VPN，chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword * 这样加到后面即可。十二、重启 xl2tpd:sudo /etc/init.d/xl2tpd restart十三、设置 iptables 的数据包转发：iptables --table nat --append POST...

如何在Ubuntu下配置L2TP VPN答：一、点击桌面上的-设置-图标进入设置二、点击-通用-进入通用设置三、点击-VPN-进入VPN设置 四、点击添加VPN设置进行设置，这里注意，模式选择l2tp 密钥123（双鱼ip转换器统一密钥都是123 ）五、选择并连接，成功之后

如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN答：Ubuntu / Debian:自己把点换成 .wget mirror.zeddicus点com/auto-l2tp/1.2/ubuntu/l2tp.sh chmod +x l2tp.sh ./l2tp.sh此时需要输入IP段与PSK，值得注意的是，如果希望L2TP的IP段是 10.0.0.0 的话，则在脚本的IP-RANGE中输入 “10.0.0″。PSK 是 l2tp client 共同使用的密匙，同样是...

大家正在搜