USE CONFIG

500

4500

udp

PPTPD

service pptpd restart-kill

IPSEC

service ipsec restart

转贴自

http://www.vpsyou.com/centos-install-l2tpipsec-and-simple-troubleshooting/

转贴自

http://zeddicus.com/a-key-installation-package-l2tp

这是 L2TP over IPSec Server 一键安装包的发布页，此安装包首发于 VPSYou.com

当前版本：1.2

配置步骤：

CentOS / Fedora:

Ubuntu / Debian:

备注：安装按提示操作，相关截图及细节请移驾至：http://www.vpsyou.com/l2tp-vpn 。

代码

-----------------------------------------------------------------------------------------------------------------

#!/bin/bash

if [ $(id -u) != "0" ]; then
printf "Error: You must be root to run this tool!\n"
exit 1
fi
clear
printf "
####################################################
#                                                  #
# This is a Shell-Based tool of l2tp installation  #
# Version: 1.2                                     #
# Author: Zed Lau                                  #
# Website: http://zeddicus.com                     #
#                                                  #
####################################################
"
vpsip=`hostname -i`

iprange="10.0.99"
echo "Please input IP-Range:"
read -p "(Default Range: 10.0.99):" iprange
if [ "$iprange" = "" ]; then
iprange="10.0.99"
fi

mypsk="vpsyou.com"
echo "Please input PSK:"
read -p "(Default PSK: vpsyou.com):" mypsk
if [ "$mypsk" = "" ]; then
mypsk="vpsyou.com"
fi

clear
get_char()
{
SAVEDSTTY=`stty -g`
stty -echo
stty cbreak
dd if=/dev/tty bs=1 count=1 2> /dev/null
stty -raw
stty echo
stty $SAVEDSTTY
}
echo ""
echo "ServerIP:"
echo "$vpsip"
echo ""
echo "Server Local IP:"
echo "$iprange.1"
echo ""
echo "Client Remote IP Range:"
echo "$iprange.2-$iprange.254"
echo ""
echo "PSK:"
echo "$mypsk"
echo ""
echo "Press any key to start..."
char=`get_char`
clear
mknod /dev/random c 1 9
yum -y update
yum -y upgrade
yum install -y ppp iptables make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced
mkdir /ztmp
mkdir /ztmp/l2tp
cd /ztmp/l2tp
wget http://www.openswan.org/download/openswan-2.6.24.tar.gz
tar zxvf openswan-2.6.24.tar.gz
cd openswan-2.6.24
make programs install
rm -rf /etc/ipsec.conf
touch /etc/ipsec.conf
cat >>/etc/ipsec.conf<<EOF
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=$vpsip
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
EOF
cat >>/etc/ipsec.secrets<<EOF
$vpsip %any: PSK "$mypsk"
EOF
sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
sysctl -p
iptables --table nat --append POSTROUTING --jump MASQUERADE
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart
ipsec verify
cd /ztmp/l2tp
wget http://mirror.zeddicus.com/sources/rp-l2tp-0.4.tar.gz
tar zxvf rp-l2tp-0.4.tar.gz
cd rp-l2tp-0.4
./configure
make
cp handlers/l2tp-control /usr/local/sbin/
mkdir /var/run/xl2tpd/
ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control
cd /ztmp/l2tp
wget http://mirror.zeddicus.com/sources/xl2tpd-1.2.4.tar.gz
tar zxvf xl2tpd-1.2.4.tar.gz
cd xl2tpd-1.2.4
make install
mkdir /etc/xl2tpd
rm -rf /etc/xl2tpd/xl2tpd.conf
touch /etc/xl2tpd/xl2tpd.conf
cat >>/etc/xl2tpd/xl2tpd.conf<<EOF
[global]
ipsec saref = yes
[lns default]
ip range = $iprange.2-$iprange.254
local ip = $iprange.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
EOF
rm -rf /etc/ppp/options.xl2tpd
touch /etc/ppp/options.xl2tpd
cat >>/etc/ppp/options.xl2tpd<<EOF
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
EOF
cat >>/etc/ppp/chap-secrets<<EOF
test l2tpd test123 *
EOF
touch /usr/bin/zl2tpset
echo "#/bin/bash" >>/usr/bin/zl2tpset
echo "for each in /proc/sys/net/ipv4/conf/*" >>/usr/bin/zl2tpset
echo "do" >>/usr/bin/zl2tpset
echo "echo 0 > \$each/accept_redirects" >>/usr/bin/zl2tpset
echo "echo 0 > \$each/send_redirects" >>/usr/bin/zl2tpset
echo "done" >>/usr/bin/zl2tpset
chmod +x /usr/bin/zl2tpset
iptables --table nat --append POSTROUTING --jump MASQUERADE
zl2tpset
xl2tpd
cat >>/etc/rc.local<<EOF
iptables --table nat --append POSTROUTING --jump MASQUERADE
/etc/init.d/ipsec restart
/usr/bin/zl2tpset
/usr/local/sbin/xl2tpd
EOF
clear
ipsec verify
printf "
####################################################
#                                                  #
# This is a Shell-Based tool of l2tp installation  #
# Version: 1.2                                     #
# Author: Zed Lau                                  #
# Website: http://zeddicus.com                     #
#                                                  #
####################################################
if there are no [FAILED] above, then you can
connect to your L2TP VPN Server with the default
user/pass below:

ServerIP:$vpsip
username:test
password:test123
PSK:$mypsk

"
---------------------------------------------------------------------------------------------------------------

PPTP部署

安装 PPTP 需要 MPPE 和较高版本的 ppp ( > 2.4.3 ) 支持，不过 CentOS 5.0/RHEL 5 的 2.6.18 内核已经集成了 MPPE 和高版本的 ppp 。因此可以跳过安装配置 MPPE 和 ppp 的过程直接安装 PPTP。

如果需要检查 MPPE 是否存在可以使用以下命令：

shell> modprobe ppp-compress-18 && echo ‘MPPE found !’

1.安装 pptpd

Notice:

1. 官网http://poptop.sourceforge.net/已经删掉了1.3.4版的pptpd的RPM，所以只好在这个地方下载 
2. 判断CentOS系统是32位还是64位？ getconf LONG_BIT

2.配置文件编写

①.配置文件/etc/ppp/options.pptpd

name pptpd : pptpd server 的名称。

refuse-pap : 拒绝 pap 身份验证模式。

refuse-chap : 拒绝 chap 身份验证模式。

refuse-mschap : 拒绝 mschap 身份验证模式。

require-mschap-v2 : 在端点进行连接握手时需要使用微软的 mschap-v2 进行自身验证。

require-mppe-128 : MPPE 模块使用 128 位加密。

ms-dns 8.8.8.8

ms-dns 8.8.4.4 : ppp 为 Windows 客户端提供 DNS 服务器 IP 地址，第一个 ms-dns 为 DNS Master，第二个为 DNS Slave。

proxyarp : 建立 ARP 代理键值。

debug : 开启调试模式，相关信息同样记录在 /var/logs/message 中。

lock : 锁定客户端 PTY 设备文件。

nobsdcomp : 禁用 BSD 压缩模式。

novj

novjccomp : 禁用 Van Jacobson 压缩模式。

nologfd : 禁止将错误信息记录到标准错误输出设备(stderr)。

②.配置文件/etc/ppp/chap-secrets

输入以下内容

③.配置文件/etc/pptpd.conf

注：为拨入VPN的用户动态分配10.82.18.2～10.82.18.254之间的IP

④.配置文件/etc/sysctl.conf（修改内核转发参数）

如上一篇博文所述，可以sysctl -w net.ipv4.ip_forward=1，也可以

直接替换/etc/sysctl.conf的内容。这样写的好处在于不必在启动脚本/etc/rc.local中添加sysctl -w net.ipv4.ip_forward=1，一劳永逸。

IPSec+L2TP部署

这部分部署方法已经有现成的一键脚本，怕麻烦的用户可以直接拿去跑。但是本着不求甚解的原则还是一步步列出。

L2TP (Layer 2 Tunneling Protocol) 是VPN隧道协议的一种，它使用UDP的1701端口进行通信。L2TP本身并没有任何加密，但是我们可以使用IPSec对L2TP包进行加密。更多关于L2TP的理论知识可以访问这个Wiki

因为联通和移动陆续封掉了 PPTP 数据包，所以L2TP是移动设备VPN几乎唯一选择(OpenVPN配置稍显麻烦)。

在Linux环境下，有很多方法配置L2TP；一个选项是采用openl2tpd，但是他对老版本的ppp隧道支持不好。更重要的是在CentOS环境下，它要求内核需要patch，我想没多少人希望没事给内核patch吧。

基于这个原因，本文选择了xl2tpd & rp-l2tpd，xl2tpd 是由 Xelerance Corporation 维护的l2tpd应用。但是xl2tpd 没有l2tp-control，需要从rp-l2tp这个里面提取。

1.安装OpenSwan

经典的2.6.24这个版本和最新的2.6.32都可以。

①.修改配置文件/etc/ipsec.conf

②.设置 PSK

③.修改包转发设置

重新启动 ipsec，并测试运行效果

若无FAIL即为正常。
这个时候 ipsec 部分完成了，可以测试一下，新建一个 ipsec+l2tp 的连接，填好服务器地址和 SharedKey，点连接。在服务端

2.安装xl2tpd和rp-l2tp

①.下载编译安装

官网的xl2tpd已经404，所以…

②.写配置文件

③.设置密码/etc/ppp/chap-secrets

输入以下内容

服务启动

1.配置防火墙iptables

OpenVZ用户将eth0换成venet0即可。

2.启动

3.配置自启动脚本，添加以下内容到/etc/rc.local

参考资料：

• Configure L2TP/IPSec VPN on Ubuntu

http://space.itpub.net/665930/viewspace-682794

9、设置开机自动运行服务。我们最后一步是将pptp和iptables设置为开机自动运行，这样就不需要每次重启服务器后手动启动服务了。当然你不需要自动启动服务的话可以忽略这一步。输入指令：

#chkconfig pptpd on

PPTP 全称为 Point to Point Tunneling Protocol — 点到点隧道协议，是VPN协议中的一种。

安装相关软件

配置文件/etc/ppp/options.pptpd

输入以下内容：

配置文件/etc/ppp/chap-secrets

输入以下内容

用户名vi,密码viyin.net ，*表示任意ip
pptpd要和/etc/ppp/options.pptpd中的name 部分的pptpd匹配

配置文件/etc/pptpd.conf

输入以下内容：

为拨入VPN的用户动态分配IP

打开防火墙端口
1723端口和47端口打开，打开GRE协议

配置文件/etc/sysctl.conf

vi /etc/sysctl.conf
修改以下内容：

net.ipv4.ip_forward = 1
开启NAT转发功能

保存、退出后执行：

/sbin/sysctl -p

启动PPTP VPN 服务器端：

/sbin/service pptpd start

检查PPP是否支持MPPE，用以下命令检查PPP是否支持MPPE：

strings ‘/usr/sbin/pppd’ |grep -i mppe | wc –lines

果以上命令输出为“0”则表示不支持；输出为“30”或更大的数字就表示支持。

注意：

如果一直提示619或者800错误,查看日志