L2TP+IPSec虛擬專用網
特點：跨平臺，資料加密傳輸，安全
１，部署IPSec服務
1）安裝軟體包
[[email protected] ~]# yum -y install libreswan
2)新建IPSec金鑰驗證配置檔案
[[email protected] ~]# cat /etc/ipsec.conf //僅檢視一下該主配置檔案
.. ..
include /etc/ipsec.d/.conf //載入該目錄下的所有配置檔案
[[email protected] ~]# vim /etc/ipsec.d/myipsec.conf
//新建該檔案，參考lnmp_soft/***/myipsec.conf
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //允許建立的×××虛擬網路
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //加密認證
ike=3des-sha1;modp1024 //演算法
phase2alg=aes256-sha1;modp2048 //演算法
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=3h
type=transport
left=201.1.2.10 //重要，伺服器本機的外網IP
leftprotoport=17/1701
right=%any //允許任何客戶端連線
rightprotoport=17/%any
3)建立IPSec預定義共享金鑰
[

[email protected] ~]# cat /etc/ipsec.secrets //僅檢視，不要修改該檔案
include /etc/ipsec.d/.secrets
[[email protected] ~]# vim /etc/ipsec.d/mypass.secrets //新建該檔案
201.1.2.10 %any: PSK "randpass" //randpass為預共享金鑰
//201.1.2.10是×××伺服器的IP
4)啟動IPSec服務
[[email protected] ~]# systemctl start ipsec
[[email protected] ~]# netstat -ntulp |grep pluto
udp 0 0 127.0.0.1:4500 0.0.0.0: 3148/pluto
udp 0 0 192.168.4.10:4500 0.0.0.0: 3148/pluto
udp 0 0 201.1.2.10:4500 0.0.0.0: 3148/pluto
udp 0 0 127.0.0.1:500 0.0.0.0: 3148/pluto
udp 0 0 192.168.4.10:500 0.0.0.0: 3148/pluto
udp 0 0 201.1.2.10:500 0.0.0.0: 3148/pluto
udp6 0 0 ::1:500 :::* 3148/pluto

3.2　部署XL2TP服務
1）安裝軟體包（軟體包參考lnmp_soft）
[[email protected] ~]# yum localinstall xl2tpd-1.3.8-2.el7.x86_64.rpm
2) 修改xl2tp配置檔案（修改3個配置檔案的內容）
[

[email protected] ~]# vim /etc/xl2tpd/xl2tpd.conf //修改主配置檔案
[global]
.. ..
[lns default]
.. ..
ip range = 192.168.3.128-192.168.3.254 //分配給客戶端的IP池
local ip = 201.1.2.10 //×××伺服器的IP地址
[[email protected] ~]# vim /etc/ppp/options.xl2tpd //認證配置
require-mschap-v2 //新增一行，強制要求認證
#crtscts //註釋或刪除該行
#lock //註釋或刪除該行
[email protected] ~]# vim /etc/ppp/chap-secrets //修改密碼檔案
jacob 123456 //賬戶名稱 伺服器標記 密碼 客戶端IP
3）啟動服務
[[email protected] ~]# systemctl start xl2tpd
[[email protected] ~]# netstat -ntulp |grep xl2tpd
udp 0 0 0.0.0.0:1701 0.0.0.0:* 3580/xl2tpd
4）設定路由轉發，防火牆
[[email protected] ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[[email protected] ~]# firewall-cmd --set-default-zone=trusted
5）×××設定（非必需操作）
[[email protected] ~]# iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to-source 201.1.2.10
3.3客戶端設定
１）新建網路連線，輸入×××伺服器賬戶與密碼。
設定×××連線的屬性，預共享金鑰是IPSec配置檔案中填寫的randpass，具體操作如圖所示。（高版本不用這麼麻煩）

2）設定Windows登錄檔（不修改登錄檔，連線×××預設會報789錯誤），具體操作如下：（win7以上不用操作）
單擊"開始"，單擊"執行"，鍵入"regedit"，然後單擊"確定"
找到下面的登錄檔子項，然後單擊它：
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
在"編輯"選單上，單擊"新建"->"DWORD值"
在"名稱"框中，鍵入"ProhibitIpSec"
在"數值資料"框中，鍵入"1"，然後單擊"確定"
退出登錄檔編輯器，然後重新啟動計算機
連線×××並測試網路連通性。