2. 程式人生 > >在Ubuntu上部署L2TP服務

在Ubuntu上部署L2TP服務

阿新 發佈:2019-01-24

現在流行的ipsec來自openswan,l2tp來自xl2tpd。本文將以這兩個軟體包進行講解如何配置。當提及openswan的時候就是指ipsec,當說到xl2tpd的時候就是指l2tp。希望讀者能夠明白。

1.搭建環境

  • Ubuntu 10.04
  • Kernel 2.6.32
  • Openswan 2.6.37
  • xl2tpd-1.2.5

/!\重要:筆者一開始在Ubuntu 11.04上進行實驗,Kernel 3.0,IPSec版本2.6.23。這裡有幾個嚴重問題:

  1. openswan尚未對3.0核心提供良好支援,某些情況下用iPhone或者win7客戶端連線會導致核心奔潰!
  2. 2.6.23版本的openswan尚有諸多BUG,即使在Kernel 2.6的環境下,也無法保證100%連線成功。

因此,請至少使用openswan 2.6.37的版本,當前最新版本是2.6.38。原始碼可在這裡下載:http://download.openswan.org/openswan/,之後需要通過編譯完成安裝。對於openswan的安裝我們將會提供兩種不同的方法。

2.通過新增軟體庫安裝openswan

apt-get install python-software-properties
add-apt-repository ppa:openswan/ppa
apt-get update
apt-get install openswan

如果出現Do you want to create a RSA public/private keypair for this host?

。我們選擇No,這種模式的IPSec通過證書進行驗證,而非PSK。

3.通過編譯原始碼包安裝openswan

獲取最新軟體包:

wget http://download.openswan.org/openswan/openswan-2.6.38.tar.gz
tar -xzf openswan-2.6.38.tar.gz

編譯不同的版本可能會依賴不同的庫檔案,因此如果你正在編譯更高版本的openswan,請務必先閱讀README檔案。這裡我們安裝如下庫檔案:

apt-get install libgmp3-dev flex bison

安裝這些庫會佔用大量空間,而且在伺服器上編譯二進位制檔案通常不是明智之舉!但是有時候伺服器架構會與你的測試機完全不同,因此可能你仍然需要在伺服器上做這些工作。接下來我們開始編譯:

make programs install

如果一切順利,編譯工作完成後配置檔案及服務會自動安裝到合適的地方,也就是和通過apt-get安裝沒什麼兩樣了。

4.安裝xl2tpd

Ubuntu中xl2tpd的版本目前沒有發現嚴重問題。因此安裝起來也比較方便:

apt-get install xl2tpd

三、開始配置

配置工作分為三部分:IPSec配置、L2TP配置、PPP配置

1.IPSec配置

# /etc/ipsec.conf

config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10
    oe=off
    protostack=netkey

conn L2TP-PSK-NAT
        rightsubnet=vhost:%priv
        also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
        authby=secret
        pfs=no
        auto=add
        keyingtries=3
        # we cannot rekey for %any, let client rekey
        rekey=no
        # Apple iOS doesn't send delete notify so we need dead peer detection
        # to detect vanishing clients
        dpddelay=10
        dpdtimeout=90
        dpdaction=clear
        # Set ikelifetime and keylife to same defaults windows has
        ikelifetime=8h
        keylife=1h
        # l2tp-over-ipsec is transport mode
        type=transport
        #
        left=$IP
        #
        # For updated Windows 2000/XP clients,
        # to support old clients as well, use leftprotoport=17/%any
        leftprotoport=17/1701
        #
        # The remote user.
        #
        right=%any
        # Using the magic port of "%any" means "any one single port". This is
        # a work around required for Apple OSX clients that use a randomly
        # high port.
        rightprotoport=17/%any

conn passthrough-for-non-l2tp
        type=passthrough
        left=$IP
        leftnexthop=$GATEWAY
        right=0.0.0.0
        rightsubnet=0.0.0.0/0
        auto=route

其中,$IP改成你主機乙太網卡的IP,$GATEWAY改成該IP所在網段的閘道器地址,下同。對於下面的金鑰檔案,你需要將金鑰引在引號中。

# /etc/ipsec.secrets
$IP %any: PSK "Your Preshared Key Here"

最後我們需要修改某些網路策略,讓ipsec正常執行:

for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done

2.L2TP配置

# /etc/xl2tpd/xl2tpd.conf

[global]
ipsec saref = yes

[lns default]
ip range = 10.10.20.100-10.10.20.254
local ip = 10.10.20.1
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

3.PPP配置

# /etc/ppp/options.xl2tpd

refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
mtu 1404
mru 1404

5.啟用轉發

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

對於OpenVZ的主機,可能不支援MASQUERADE,此時需要使用SNAT:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $IP

其中$IP就是你主機的eth0介面的IP地址。

四、檢查ipsec是否工作正常

我們通過執行ipsec verify命令進行驗證ipsec服務是否工作正常:

錯誤1:pluto is running [FAILED]

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.38/K(no kernel code presently loaded)
Checking for IPsec support in kernel                            [FAILED]
 SAref kernel support                                           [N/A]
Checking that pluto is running                                  [FAILED]
  whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [WARNING]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]

這是因為你還沒有啟動ipsec服務!

/etc/init.d/ipsec start

錯誤2:NETKEY: Testing XFRM related proc values [FAILED]

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.38/K2.6.32-38-generic-pae (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                           [N/A]
 NETKEY:  Testing XFRM related proc values                      [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/send_redirects
  or NETKEY will cause the sending of bogus ICMP redirects!

        [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
  or NETKEY will accept bogus ICMP redirects!

        [OK]
Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                             [OK]
 Pluto listening for NAT-T on udp 4500                          [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [WARNING]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]

你可能忘記修改網路策略:

for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done

錯誤3:Pluto listening for IKE on udp 500 [FAILED]

Pluto listening for IKE on udp 500                              [FAILED]
  Cannot execute command "lsof -i UDP:500": No such file or directory
Pluto listening for NAT-T on udp 4500                           [FAILED]
  Cannot execute command "lsof -i UDP:4500": No such file or directory

那麼你需要安裝lsof:

apt-get install lsof

五、測試與除錯

1.啟用測試使用者

編輯/etc/ppp/chap-secrets檔案,加入如下行:

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
guest           l2tpd   password                *

該行建立一個使用者,使用者名稱為guest,密碼為password(明文)
server欄位與options.xl2tpd配置檔案中的name屬性對應。還可以星號(*)代替,表示不限呼叫服務。
IP address表示來源IP,這裡星號(*)表示接受所有連線。
對來源IP的過濾應該由iptables防火牆來完成。讀者可以查閱本部落格關於iptables的相關文章進行設定。

2.連線

現在就可以嘗試連線,如果連線失敗,需要通過檢視日誌資訊排錯。

3.檢視日誌

ipsec日誌記錄在/var/log/auth中,如果發現該行:

STATE_MAIN_R3: sent MR3, ISAKMP SA established

則表示IPSec認證或連線沒有問題,可以檢查其他日誌。但是有時候即使出現established,也會在稍後的行中出現錯誤資訊,這是需要使用者留意的地方。
xl2tpd和pppd的日誌記錄在/var/log/syslog中。

相關推薦

Ubuntu部署L2TP服務

現在流行的ipsec來自openswan,l2tp來自xl2tpd。本文將以這兩個軟體包進行講解如何配置。當提及openswan的時候就是指ipsec,當說到xl2tpd的時候就是指l2tp。希望讀者能夠明白。 1.搭建環境 Ubuntu 10.04 Kernel

Ubuntu部署一個基於webrtc的多人視訊聊天服務

最近研究webrtc視訊直播技術,網上找了些教程最終都不太能順利跑起來的,可能是文章寫的比較老,使用的一些開源元件已經更新了,有些配置已經不太一樣了,所以按照以前的步驟會有問題。折騰了一陣終於跑起來了,記錄一下。 一個簡單的聊天室html頁面 這個頁面使用simple-webrtc來實現webrtc的通訊,s

如何使用Nginx和uWSGI或Gunicorn在Ubuntu部署Flask Web應用

習慣 ade 通信 文件名 bubuko 查看 ... 第一次 dem 我在很多的博客中都看過有關Flask應用的部署,也有很多博主在開博後都記錄了部署的教程,因為其中的坑可以說不少。一開始我在網上看到相比較與Ubuntu,CentOS因為更新少作為服務器的操作系統會更加穩

怎樣在linux部署web服務

怎樣在linux上部署web服務器 linux上部署web服務器 1.從Apache官網下載源碼。 2.卸載原來已經存在的httpd。 3.掛載光盤準備部署httpd。 4.源碼編譯安裝httpd,

ubuntu部署windows開發的dotnet core程序

ble output group style tar class keys sources command 目標:完成windows上開發的dotnet core程序部署至linux服務器上(Ubuntu 14.04) windows上開發dotnet core很簡單,安裝

AI Lab部署demo服務的方法

1. 引言 ​ AI方向有很多的研究領域,比如影象領域有影象識別、OCR識別等,在對演算法的效果進行優化後,可以將演算法部署在伺服器上,方便對外展示AI研發實力,同時也方便其他同學體驗演算法效果和給出反饋意見,下面介紹如何將自己的演算法也部署成demo服務。 2. 功能框架介紹

linux學習-centos7部署DNS服務

    DNS是Domain Name System 域名系統的簡稱,DNS可以提供為計算機,服務以及接入網際網路或者區域網的任何資源提供分層的名稱解析功能。DNS提供很多功能,但是最主要的是進行域名與IP地址的之間的解析。域名是分級的,一般分為:主機名.三級域名.

如何在Ubuntu開啟SSH服務

1. 更新源列表 開啟"終端視窗",輸入"sudo apt-get update"-->回車-->"輸入當前登入使用者的管理員密碼"-->回車,就可以了。 2. 安裝o

ubuntu搭建hadoop服務 (叢集模式)

環境:ubuntu 16.04hadoop-3.0.3參考:http://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/ClusterSetup.html1.參考上一篇“在Ubuntu上搭建H

Ubuntu部署webservice

1.安裝基礎元件 sudo apt-get install flex bison sudo apt-get install libtool sudo apt-get install zlib1g-dev sudo apt-get install libs

Asp.Net Core 2.0 之旅---在Ubuntu部署WEB應用程式

1、Ubuntu 上 安裝NET Core 2.0 SDK 第一步的安裝,微軟大佬已經寫的非常詳細了=》直達連結,按照教程來即可。 2、將我們的WEB 釋出到一個資料夾,將這個資料夾打包成 壓縮檔案,準備上傳。 3、通過Xshell ssh 連線到 伺服器(ps:如果不知道

在linux部署dubbo服務jar包

部署到edu-provider-01(192.168.1.121) 一、環境變數配置 Connecting to 192.168.1.121:22... Connection establish

ubuntu部署qt開發環境

1)下載 qt 原始碼(官網下載) qt-everywhere-opensource-src-4.8.6.tar.gz 2)解壓qt-everywhere-opensource-src-4.8.6.tar.gz,進入該目錄 # ./configure -debug  -prefix /opt/qt4.8.

關於ubuntu服務部署postgresql 以及安裝pgadmin4管理工具(web版)

into alter 刪除記錄 creat password 改密 ack post 插入 進入目錄:cd pgadmin4 source bin/activate cd pgadmin4-1.6/ 啟動pgadmin4:python web/pgAdmin4.

Ubuntu服務部署jenkins

安全 解壓 ins 開始 雲服務 cnblogs localhost 安裝 web 環境準備: jenkins的部署使用的tomcat流,因此需要tomcat的支持,而tomacat則需要java環境的支持 1、安裝java環境 2、安裝tomcat 3、把jenkins.

請求部署在 IIS7.5 的 REST 服務的 Put/Post/Delete 操作發生 HTTP Error 405.0 - Method Not Allowed 錯誤之解決

超文本 sha 參考 handlers ron bapi .com rest 通過 背景 請求部署在 IIS7.5 上的 REST 服務的 Put/POST/DELETE 操作發生 HTTP Error 405.0 - Method Not Allowed 錯誤。 Issu

零基礎在Linux服務部署javaweb項目

上傳 進行 nec 實現 select 啟動 tar.gz 逗號 targe 本教程使用的工具下載鏈接:http://pan.baidu.com/s/1sl1qz2P 密碼:43pj 一.安裝JDK 1、首先要查看服務器的系統版本,是32位還是64位 [plai

在centos6部署apache+svn服務

-c 端口號 name span out pan 依賴包 ini 安裝 一、準備環境1、 selinux以及iptables設置1) 關閉selinux # 臨時關閉selinux: setenforce 0 # 禁用selinux: vim /etc/sysconfig/

CentOS 7 部署inotify實時監控(NFS服務部署,rsync服務器測試)

楓雨1.簡介1.1inotify 一個 Linux 內核特性,它監控文件系統,並且及時向專門的應用程序發出相關的事件警告,比如刪除、讀、寫和卸載操作等。2.環境準備[root@nfs01 ~]# cat /etc/redhat-release CentOS Linux release 7.2.1511 (C

通過域名訪問自己部署服務的項目

linux tomcat 用戶 name 直接 http 註意 ali 內容 通過域名訪問自己部署到服務器上的項目 如何不輸入項目名端口號直接訪問java web項目 1、省略輸入端口號的步驟   在Linux的下面部署了tomcat,為了安全我們使用非root用