Configuración de VPN L2TP+IPSec

Red privada virtual L2TP+IPSec

Características: multiplataforma, transmisión de datos cifrados, seguridad

1. Implementar servicio IPSec

1 )Instale el paquete de software

[root@client ~]# yum -y install libreswan

2) Cree un nuevo archivo de configuración de verificación de clave IPSec

[ root@client ~]# cat /etc/ipsec.conf //Simplemente verifique el archivo de configuración principal

.. ..

incluya /etc/ipsec.d/ .conf / /Cargar todos los archivos de configuración en este directorio

[root@client ~]# vim /etc/ipsec.d/myipsec.conf?

//Crear este archivo, consulte lnmp_soft /* **/myipsec.conf?

conn IDC-PSK-NAT

rightsubnet=vhost:%priv //××× se permite establecer una red virtual

also=IDC-PSK-noNAT

conn IDC-PSK-noNAT

authby=secret //Autenticación de cifrado

ike=3des-sha1; modp1024 // Algoritmo

fase2alg=aes256-sha1;modp2048 //Algoritmo

pfs=no

auto=add

keyingtries= 3

rekey=no

ikelifetime=8h

keylife=3h

tipo=transporte

izquierda= 201.1.2.10 //Importante, la IP externa del servidor

leftprotoport=17/1701

right=%any //Permitir que cualquier cliente se conecte

rightprotoport= 17/%any

3) Crear clave privada predefinida IPSec

[root@client ~]# cat /etc/ipsec.secrets //Solo ver, no modificar esto archivo

incluye /etc/ipsec.d/

.secrets

[root@cliente ~]# vim /etc/ipsec.d/mypass .secrets //Crea este archivo

201.1.2.10 %any: PSK "randpass" //randpass es la clave precompartida

//201.1.2.10 es ×× ×IP del servidor

4) Iniciar servicio IPSec

[root@client ~]# systemctl start ipsec?

[root@client ~]# netstat - ntulp |grep pluto

udp 0 0 127.0.0.1:4500 0.0.0.0: ?3148/plutón?

udp 0 0 192.168.4.10:4500 0.0.0.0:

? 3148/plutón?

udp 0 0 201.1.2.10:4500 0.0.0.0: ?3148/plutón

udp 0 0 127.0.0.1:500 0.0:

?

3148/plutón?

udp 0 0 192.168.4.10:500 0.0.0.0: ?3148/plutón

udp 0 0 201.1.2.10:500 0.0.0.0:

?3148/pluto?

udp6 0 0 ::1:500 :::* 3148/pluto

3.2 Implementación del servicio XL2TP

1 ) Instale el paquete de software (consulte lnmp_soft para conocer el paquete de software)

[root@client ~]# yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm

2 ) Modificar el archivo de configuración xl2tp (modificar el contenido de 3 archivos de configuración)

[root@client ~]# vim /etc/xl2tpd/xl2tpd.conf //Modificar el archivo de configuración principal

[global]

.. ..?

[lns predeterminado]

.. ..

rango de ip = 192.168. 3.128-192.168.3.254 //Grupo de IP asignado al cliente

ip local = 201.1.2.10 //Dirección IP del servidor ×××

[root@cliente ~]# vim /etc/ppp /options.xl2tpd //Configuración de autenticación

require-mschap-v2 //¿Agregar una línea para forzar la autenticación? Para el desarrollo de Internet de las cosas, comuníquese con Shanghai Bayue Network Technology Co., Ltd. .

#crtscts / /Comentar o eliminar esta línea

#lock //Comentar o eliminar esta línea

root@client ~]# vim /etc/ ppp/chap-secrets //Modificar archivo de contraseña

jacob? 123456? // Nombre de cuenta etiqueta del servidor contraseña IP del cliente

3) Iniciar servicio

[root @client ~]# systemctl start xl2tpd

[root@client ~]# netstat -ntulp |grep xl2tpd?

udp 0 0 0.0.0.0:1701 0.0.0.0:* 3580 /xl2tpd

4 ) Configurar enrutamiento y reenvío, firewall

[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@cliente ~]# firewall -cmd --set-default-zone=trusted

5) Configuración ××× (operación no esencial)

[ root@client ~]# iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to-source 201.1.2.10

3.3 Configuración del cliente

1) Cree una nueva conexión de red e ingrese la cuenta y contraseña del servidor ×××.

Configure los atributos de la conexión ×××. La clave previamente compartida se completa con randpass en el archivo de configuración IPSec. La operación específica se muestra en la figura.

(Las versiones superiores no tienen por qué ser tan problemáticas)

2) Configure el registro de Windows (sin modificar el registro, se informará un error 789 de forma predeterminada al conectarse a ××× El específico). Las operaciones son las siguientes: (no se requiere operación para Win7 y superior)

Haga clic en Inicio, haga clic en Ejecutar, escriba "regedit" y luego haga clic en Aceptar

Busque la siguiente subclave de registro y luego haga clic en él:

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters

En el menú "Editar", haga clic en "Nuevo"->"Valor DWORD"

En el cuadro "Nombre", escriba "ProhibitIpSec"

En el cuadro "Información del valor", escriba "1" y luego haga clic en Aceptar

Salga del Editor del Registro y luego reinicie la computadora

Conéctese a ××× y pruebe la conectividad de la red.

Reimpreso de:/14050800/2314209