[计算机]用centOS搭建l2tpdvpn服务器.doc

用centOS5.5搭建l2tpd vpn服务器本篇文章来源于锋芒网() 原文链接：/a/os/linux/2011/0225/962.html服务器要求：双网卡，作网关。如果用单网卡服务器，作旁路方式，也可以拔通和访问资源，但在实际应用中会中会有莫名其妙的网络数据传输出错的问题，不建议使用。网络参照如下图： 路由器-防火墙-l2tp服务器-核心交换机 l2tp服务器接口和地址：Eth0 - l2tp服务器- Eth1 服务器网络地址规划：Eth0 mask 接入边界防火墙，边界防火墙接口设为 mask Eth1 mask 接入核心交换机，核心交换机接口设为 mask 操作系统：centOS5.5L2tp服务软件：xl2tpd 1.2.7 默认服务端口为1701 一、 安装xl2tp1、安装CentOS需要的库和软件包：yum install libpcap-devel ppp2、从/software/xl2tpd/上下载xl2tpd-1.2.7.tar.gz3、解压:tar -zxvf xl2tpd-1.2.7.tar.gz4、进入该解压目录，然后编译、安装：cd xl2tpd-1.2.7makemake install5、修改/etc/xl2tpd/xl2tpd.conf，内容如下：先将默认示例配置文件拷到相应目录下：mkdir /etc/xl2tpdmkdir /var/run/xl2tpdcp examples/xl2tpd.conf /etc/xl2tpd/修改文件，注意红色部分：vi /etc/xl2tpd/xl2tpd.confgloballisten-addr = ;对外拔号服务器地址; requires openswan-3.1 or higher; ipsec saref = yes; debug tunnel = yes;port = 1701auth file = /etc/ppp/chap-secrets;认证用户名密码的文件路径debug tunnel = yeslns defaultip range = -54;给拔号成功的用户分配的地址池local ip = ;内部转发数据包的接口的真实IP地址require chap = yesrefuse pap = yesrequire authentication = yesname = xxbl2tpserverppp debug = yespppoptfile = /etc/ppp/options.xl2tpd;ppp协议的配置文件路径length bit = yes 6、修改/etc/ppp/options.xl2tpd，内容如下：cp examples/ppp-options.xl2tpd /etc/ppp/options.xl2tpdvi /etc/ppp/options.xl2tpd ipcp-accept-localipcp-accept-remotems-dns ms-dns 1#给拔号用户分配dns服务器地址noccpauthcrtsctsidle 1800mtu 1500mru 1500nodefaultroutedebuglocklogfile /var/log/l2tpd.log#日志文件路径proxyarpconnect-delay 5000#kdebug 2#record /var/log/l2tpdcontent.logreceive-allktune 7、修改用户认证文件/etc/ppp/chap-secrets，内容如下# Secrets for authentication using CHAP# client server secret IP addresses# Secrets for authentication using CHAP# client server secret IP addressestest * test * 8、编辑启动、停止服务脚本/etc/init.d/xl2tpd文件，内容如下：#!/bin/sh# xl2tpd This shell takes care of starting and stopping l2tpd.# chkconfig: - 80 30# deion: Layer 2 Tunnelling Protocol Daemon (RFC 2661)# processname: xl2tpd# config: /etc/xl2tpd/xl2tpd.conf# pidfile: /var/run/xl2tpd.pid#ServicenameSERVICE=xl2tpd# Source function library. /etc/rc.d/init.d/functions# Source networking configuration. /etc/sysconfig/networkif $NETWORKING = no thenexit 0fi -x /usr/local/sbin/$SERVICE | exit 0RETVAL=0start() echo -n Starting $SERVICE: if ! -d /var/run/xl2tpd thenmkdir /var/run/xl2tpdfidaemon /usr/local/sbin/$SERVICERETVAL=$? $RETVAL -eq 0 & touch /var/lock/subsys/$SERVICEecho return $RETVALstop() echo -n Stopping $SERVICE: killproc $SERVICERETVAL=$?echo $RETVAL -eq 0 & rm -f /var/lock/subsys/$SERVICEreturn $RETVALrestart() stopstart# See how we were called.case $1 instart)start;stop)stop;status)status $SERVICERETVAL=$?;restart|reload)restart;condrestart) -f /var/lock/subsys/$SERVICE & restart | :;*)echo Usage: $SERVICE start|stop|status|restart|reload|condrestartexit 1esac9、用chmod命令给xl2tpd文件赋予可执行权限。chmod +x /etc/init.d/xl2tpd1.2.7版将xl2tpd服务程序默认安装在/usr/local/sbin/下，而xl2tpd.sh启动脚本却是写的/usr/sbin/，所以要执行以下复制命令cp /usr/local/sbin/xl2tpd /usb/sbin/10、将xl2tpd加入到系统服务中去：chkconfig -add xl2tpd chkconfig xl2tpd -level 35 on也可以通过在终端：#xl2tpd -c /etc/xl2tpd/xl2tpd.conf -D 启动xl2tpd服务，并查看调试信息。 11、打开转发功能，l2tp用户才能通过网关访问其他网段echo 1 /proc/sys/net/ipv4/ip_forward Linux系统缺省并没有打开IP转发功能，要确认IP转发功能的状态，可以查看/proc文件系统，使用下面命令： cat /proc/sys/net/ipv4/ip_forward 如果上述文件中的值为0,说明禁止进行IP转发；如果是1,则说明IP转发功能已经打开。要想打开IP转发功能，可以直接修改上述文件： echo 1 /proc/sys/net/ipv4/ip_forward 把文件的内容由0修改为1。禁用IP转发则把1改为0。 上面的命令并没有保存对IP转发配置的更改，下次系统启动时仍会使用原来的值，要想永久修改IP转发，需要修改/etc/sysctl.conf文件，修 改下面一行的值： net.ipv4.ip_forward = 1 修改后可以重启系统来使修改生效，也可以执行下面的命令来使修改生效： sysctl -p /etc/sysctl.conf 进行了上面的配置后，IP转发功能就永久使能了。12、linux防火墙转发规则vi /etc/rc.local加入iptables -table nat -append POSTROUTING -jump MASQUERADE 13、加入访问路由在/etc/rc.local这个文件里增加路由信息route add -net netmask gw dev eth1route如果eth1没有正常工作，可以用以下命令ifconfig eth1 netmask up14、启动xl2tpd服务。好象在centos5.5下，xl2tp.sh不能正常运行（默认安装与脚本设置路径上有错误，修改），用下面命今使其在后台运行。用第九条的方法改过后，xl2tp.sh可以正常运行。nohup xl2tpd -D &二、配置核心交换机路由ip route-static preference 60三、配置防火墙ip route-static preference 60四、配置路由器路由ip route-static 防火墙地址五、配置路由器NAT将互联网合法地址通过NAT映射给六、配置Windows XP 作为L2TP 客户端 按照以下步骤配置Windows XP 计算机，使其成为L2TP 客户端。1. 配置L2TP 拨号连接：1)进入Windows XP 的“开始” “设置” “控制面板”，选择“切换到分类视图”。2)选择“网络和Internet 连接”。3)选择“建立一个您的工作位置的网络连接”。4)选择“虚拟专用网络连接”，单击“下一步”。5)为连接输入一个名字为“l2tp”，单击“下一步”。6)选择“不拨此初始连接”，单击“下一步”。7)输入准备连接的L2TP 服务器的IP 地址“拔号服务器互联网合法地址”，单击“下一步”。8)单击“完成”。9)双击“l2tp”连接，在l2tp 连接窗口，单击“属性”。10)选择“安全”属性页，选择“高级（自定义设置）”，单击“设置”。11)在“数据加密”中选择“可选加密（没有加密也可以连接）”。12)在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议（CHAP）”、“Microsoft CHAP（MS-CHAP）”，单击“确定”。13)选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。14)确认“Internet 协议（TCP/IP）”被选中。15)确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件. 和打印共享”、“微软网络客户”协议没有被选中。单击“确定”，保存所做的修改。2. 修改注册表缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改XP 注册表来禁用缺省的行为：手工修改：1)进入Windows XP 的“开始” “运行”里面输入“Regedt32”，打开“注册表编辑器”，定位“HKEY_Local_Machine System CurrentControl Set Services RasMan Parameters ”主键。2)为该主键添加以下键值：键值：ProhibitIpSec数据类型：reg_dword值：13)保存所做的修改，重新启动电脑以使改动生效。提示：必须添加“ProhibitIpSec”注册表键值到每个要使用L2TP 的运行Windows XP 操作系统的电脑。 3. 使用L2TP 隧道连接到L2TP 服务器1)确认计算机已经连接到Internet（可能是拨号连接或者是固定IP 接入）。2)启动前面步骤中创建的“l2tp”拨号连接。3)输入的l2tp 连接的用户名：test 和密码：test。4)单击“连接”。5)连接成功后，在MS-DOS 方式下输入“ipconfig”，可以看到一个在L2TP 服务器地址池中的地址，就是L2TP 服务器分配给本机的IP 地址。 七、一些xl2tp服务器的配置选项说明。PPPD 常用选项Asyncmap 异步控制字符映射Auth 在接收和发送网络数据包前需要认证Crtscts 串行设备硬件流