L2TP ××× 服務器搭建和使用

L2TP 服務器搭建和使用

---

1、安裝腳本

下載腳本一鍵安裝l2tp ***

wget --no-check-certificate https://raw.githubusercontent.com/teddysun/across/master/l2tp.sh

chmod +x l2tp.sh //添加可執行權限

. l2tp.sh 執行腳本 若是非root用戶使用su sh

根據提示進行安裝

2、服務器啓動命令

啓動服務

service ipsec start

service xl2tpd start

中止服務

service ipsec stop

service xl2tpd stop

重啓服務

service ipsec restart

service xl2tpd restart

分析ipsec的狀態

ipsec verify

查看服務是否啓動成功

[root@centos7 download]# ps -ef | grep -E "(ipsec|l2tp)" 
root      4164     1  0 17:32 ?        00:00:00 /usr/sbin/xl2tpd -D
root      4461     1  0 17:32 ?        00:00:00 /usr/libexec/ipsec/pluto --leak-detective --config /etc/ipsec.conf --nofork
root      4513  3692  0 17:40 pts/4    00:00:00 grep --color=auto -E (ipsec|l2tp)

將啓動命令寫入到/etc/rc.local中，並查看/etc/rc.local是否爲連接文件，若是沒法執行須要檢查源文件是否有執行權限，用chomod +x添加執行權限。添加完命令以後，服務器每次開機纔會自動執行腳本命令將所需的服務開啓。

3、管理帳號

修改/etc/ppp/chap-secrets文件

[root@centos7 ~]# cat /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client    server    secret    IP addresses
jacky    l2tpd    yourpassword       *

**

4、調整網絡參數

修改 /etc/sysctl.conf 文件開啓路由功能， vi /etc/sysctl.conf

將下面兩項找到：

net.ipv4.ip_forward = 0

net.ipv4.conf.default.rp_filter = 1

改成：

net.ipv4.ip_forward = 1

net.ipv4.conf.default.rp_filter = 0

以後先讓修改後的配置生效，
sysctl -p

iptables修改

root@centos7 ~]# iptables -t nat -A POSTROUTING -s 192.168.17.0/24 -o eth0 -j MASQUERADE
[root@centos7 ~]# iptables -I FORWARD -s 192.168.17.0/24 -j ACCEPT
[root@centos7 ~]# iptables -I FORWARD -d 192.168.17.0/24 -j ACCEPT
[root@centos7 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.17.0/24     
ACCEPT     all  --  192.168.17.0/24      anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

將Iptables修改添加到配置文件中，/etc/rc.d/init.d/iptables

CentOS7默認沒有這個文件，能夠將iptables命令寫到/etc/rc.local中開機執行。

UDP 500,1701是L2TP的默認通訊端口,須要在防火牆，安全組策略這些地方容許其經過。

5、終端鏈接

支持的終端

win7+win10自帶***客戶端，andriod自帶***客戶端等

鏈接問題解決

一、win10系統 L2TP鏈接嘗試失敗:ERROR由於安全層在初始化與遠程計算機的協商時遇到了一個處理錯誤

(1)建立 AllowL2TPWeakCrypto 註冊表項，並將其設置爲 1 的值。

1. 單擊開始，單擊運行，鍵入regedit，而後單擊肯定
    2. 在註冊表編輯器中，找到並單擊如下注冊表子項︰

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

3. 在編輯菜單上，指向新建，而後單擊DWORD 值。
    4. 鍵入AllowL2TPWeakCrypto，而後按 enter 鍵。
    5. 在編輯菜單上，單擊修改。
    6. 在數值數據框中，鍵入1，而後單擊肯定。
    7. 在文件菜單上，單擊退出以退出註冊表編輯器。

(2)ProhibitIpSec 註冊表項，並將其設置爲 0 的值
1.定位註冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

2. 在「編輯」菜單上，單擊「新建」->「DWORD值」
3. 在「名稱」框中，鍵入「ProhibitIpSec」
4. 在「數值數據」框中，鍵入「1」，而後單擊「肯定」
   （ps: 「ProhibitIpSec」=dword:00000000 ;使用RAS的L2TP功能[1=關閉]）

重啓服務：IPsec Policy Agent，Routing and Remote Access，Remote Access Connection Manager

二、L2TP 809錯誤,win10提示l2tp被防火牆等設備不容許經過

有三個服務須要啓動（「Remote Access Auto Connection Manager」、「Remote Access Connection Manager」和「Secure Socket Tunneling Protocol Service」），「Remote Access Auto Connection Manager」服務是手動的，若是未啓動，改爲自動啓動並啓動之，後再鏈接L2TP/IPSec的×××