Configuración de VPN L2TP+IPSec
Red privada virtual L2TP+IPSec
Características: multiplataforma, transmisión de datos cifrados, seguridad
1. Implementar servicio IPSec
1 )Instale el paquete de software
[root@client ~]# yum -y install libreswan
2) Cree un nuevo archivo de configuración de verificación de clave IPSec
[ root@client ~]# cat /etc/ipsec.conf //Simplemente verifique el archivo de configuración principal
.. ..
incluya /etc/ipsec.d/ .conf / /Cargar todos los archivos de configuración en este directorio
[root@client ~]# vim /etc/ipsec.d/myipsec.conf?
//Crear este archivo, consulte lnmp_soft /* **/myipsec.conf?
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //××× se permite establecer una red virtual
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //Autenticación de cifrado
ike=3des-sha1; modp1024 // Algoritmo
fase2alg=aes256-sha1;modp2048 //Algoritmo
pfs=no
auto=add
keyingtries= 3 p>
rekey=no
ikelifetime=8h
keylife=3h
tipo=transporte
izquierda= 201.1.2.10 //Importante, la IP externa del servidor
leftprotoport=17/1701
right=%any //Permitir que cualquier cliente se conecte
rightprotoport= 17/%any
3) Crear clave privada predefinida IPSec
[root@client ~]# cat /etc/ipsec.secrets //Solo ver, no modificar esto archivo
incluye /etc/ipsec.d/
.secrets
[root@cliente ~]# vim /etc/ipsec.d/mypass .secrets //Crea este archivo
201.1.2.10 %any: PSK "randpass" //randpass es la clave precompartida
//201.1.2.10 es ×× ×IP del servidor
4) Iniciar servicio IPSec
[root@client ~]# systemctl start ipsec?
[root@client ~]# netstat - ntulp |grep pluto
udp 0 0 127.0.0.1:4500 0.0.0.0: ?3148/plutón?
udp 0 0 192.168.4.10:4500 0.0.0.0:
? 3148/plutón?
udp 0 0 201.1.2.10:4500 0.0.0.0: ?3148/plutón
udp 0 0 127.0.0.1:500 0.0:
?
3148/plutón?
udp 0 0 192.168.4.10:500 0.0.0.0: ?3148/plutón
udp 0 0 201.1.2.10:500 0.0.0.0:
?3148/pluto?
udp6 0 0 ::1:500 :::* 3148/pluto
3.2 Implementación del servicio XL2TP
1 ) Instale el paquete de software (consulte lnmp_soft para conocer el paquete de software)
[root@client ~]# yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm
2 ) Modificar el archivo de configuración xl2tp (modificar el contenido de 3 archivos de configuración)
[root@client ~]# vim /etc/xl2tpd/xl2tpd.conf //Modificar el archivo de configuración principal
[global]
.. ..?
[lns predeterminado]
.. ..
rango de ip = 192.168. 3.128-192.168.3.254 //Grupo de IP asignado al cliente
ip local = 201.1.2.10 //Dirección IP del servidor ×××
[root@cliente ~]# vim /etc/ppp /options.xl2tpd //Configuración de autenticación
require-mschap-v2 //¿Agregar una línea para forzar la autenticación? Para el desarrollo de Internet de las cosas, comuníquese con Shanghai Bayue Network Technology Co., Ltd. .
#crtscts / /Comentar o eliminar esta línea
#lock //Comentar o eliminar esta línea
root@client ~]# vim /etc/ ppp/chap-secrets //Modificar archivo de contraseña
jacob? 123456? // Nombre de cuenta etiqueta del servidor contraseña IP del cliente
3) Iniciar servicio
[root @client ~]# systemctl start xl2tpd p>
[root@client ~]# netstat -ntulp |grep xl2tpd?
udp 0 0 0.0.0.0:1701 0.0.0.0:* 3580 /xl2tpd
4 ) Configurar enrutamiento y reenvío, firewall
[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@cliente ~]# firewall -cmd --set-default-zone=trusted
5) Configuración ××× (operación no esencial)
[ root@client ~]# iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to-source 201.1.2.10
3.3 Configuración del cliente
1) Cree una nueva conexión de red e ingrese la cuenta y contraseña del servidor ×××.
Configure los atributos de la conexión ×××. La clave previamente compartida se completa con randpass en el archivo de configuración IPSec. La operación específica se muestra en la figura.
(Las versiones superiores no tienen por qué ser tan problemáticas)
2) Configure el registro de Windows (sin modificar el registro, se informará un error 789 de forma predeterminada al conectarse a ××× El específico). Las operaciones son las siguientes: (no se requiere operación para Win7 y superior)
Haga clic en Inicio, haga clic en Ejecutar, escriba "regedit" y luego haga clic en Aceptar
Busque la siguiente subclave de registro y luego haga clic en él:
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
En el menú "Editar", haga clic en "Nuevo"->"Valor DWORD"
En el cuadro "Nombre", escriba "ProhibitIpSec"
En el cuadro "Información del valor", escriba "1" y luego haga clic en Aceptar
Salga del Editor del Registro y luego reinicie la computadora
Conéctese a ××× y pruebe la conectividad de la red.
Reimpreso de:/14050800/2314209