Linux Ipsec

来源:https://www.cnblogs.com/purple910/archive/2019/12/09/12012455.html

準備環境 環境測試 軟體安裝 xl2tpd.conf options.xl2tpd ipsec.conf l2tp ipsec.conf chap secrets 也就是我們一會在windows上登陸時用到的帳號和密碼 default secrets sysctl.conf 檢查配置 防火牆 開啟服 ...


準備環境

1 主機ip:192.168.0.107  
2 VPN伺服器:  
    ens32:192.168.0.102  
    ens33:127.16.1.10

環境測試

modprobe ppp-compress-18 && echo yes
cat /dev/net/tun

軟體安裝

[[email protected] ~]# yum install -y xl2tpd libreswan lsof 
註意:若無法安裝xl2tp
    yum install -y epel-release

xl2tpd.conf

[[email protected] ~]# vim /etc/xl2tpd/xl2tpd.conf
[global]
[lns default]
ip range = 172.16.1.100-172.16.1.199
local ip = 172.16.1.10
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yess

options.xl2tpd

[[email protected] ~]# vim /etc/ppp/options.xl2tpd
# .....
ipcp-accept-local
ipcp-accept-remote
ms-dns  114.114.114.114
ms-dns  223.5.5.5
# ms-wins 192.168.1.2
# ms-wins 192.168.1.4
name xl2tpd
#noccp
auth
#crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
#lock
proxyarp
connect-delay 5000
refuse-pap
refuse-mschap
require-mschap-v2
persist
logfile /var/log/xl2tpd.log

ipsec.conf

[[email protected] ~]# vim /etc/ipsec.conf      # 只修改以下項,其他預設
config setup
      protostack=netkey
        dumpdir=/var/run/pluto/     
                virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
include /etc/ipsec.d/*.conf

l2tp-ipsec.conf

[[email protected] ~]# vim /etc/ipsec.d/l2tp-ipsec.conf     # 新建如下配置文文件,直接複製的話,前面是很多空格,在啟動的時候會報錯,需要將空格刪除,換成tab的距離,距離相同。不能用空格!
conn L2TP-PSK-NAT
(tab距離)rightsubnet=0.0.0.0/0
        dpddelay=10
        dpdtimeout=20
        dpdaction=clear
        forceencaps=yes
        also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
        authby=secret
        pfs=no
        auto=add
        keyingtries=3
        rekey=no
        ikelifetime=8h
        keylife=1h
        type=transport
        left=172.16.1.10    # 這個是網卡的內網IP,後面通過NAT轉發
        leftprotoport=17/1701    # 埠,預設1701,不用改
        right=%any
        rightprotoport=17/%any

chap-secrets

也就是我們一會在windows上登陸時用到的帳號和密碼

[[email protected] ~]# vim /etc/ppp/chap-secrets 
# Secrets for authentication using CHAP
# client        server                  secret                  IP addresses
    root         *                      456                           *
    用戶名      服務類型(*代表所有)       密碼                          連入的ip(*代表任意地址)

default-secrets

[[email protected] ~]# vim /etc/ipsec.d/default.secrets      # 新建如下文件
------------------------------------------------------------------------------------
: PSK "MyPSK"    # 就一行,填上自定義的PSK,為欲共用密鑰

sysctl.conf

[[email protected] ~]# vim /etc/sysctl.conf    # 添加如下配置到文件中,參數後面不能有空格
net.ipv4.ip_forward = 1

net.ipv4.conf.*.accept_redirects = 0
net.ipv4.conf.*.rp_filter = 0
net.ipv4.conf.*.send_redirects = 0
註:
    *為/proc/sys/net/ipv4/conf/裡面所有項目
[[email protected] ~]# sysctl -p    # 載入內核參數使生效

檢查配置

ipsec verify     # 檢查命令
註:
    # 可能會出現類似如下情況:
    Checking rp_filter                                  [ENABLED]
    /proc/sys/net/ipv4/conf/ens160/rp_filter           [ENABLED]
    /proc/sys/net/ipv4/conf/ens192/rp_filter           [ENABLED]
    # 這是內核參數沒有生效,直接依次手動打開這些文件,將 1 改為 0
    # 然後重新執行檢查,輸出如下內容則OK:

防火牆

firewall-cmd --permanent --add-service=ipsec      # 放行ipsec服務,安裝時會自定生成此服務
firewall-cmd --permanent --add-port=1701/udp      # xl2tp 的埠,預設1701
firewall-cmd --permanent --add-port=4500/udp 
firewall-cmd --permanent --add-masquerade      # 啟用NAT轉發功能。必須啟用此功能
firewall-cmd --reload      # 重載配置

開啟服務

systemctl enable ipsec     # 設為開機啟動
systemctl start ipsec     # 啟動服務

主機連接

設置-》網路與Internet-》VPN-》添加VPN連接
VPN提供商為Windows內置-》連接名稱隨意-》伺服器地址為192.168.0.107-》VPN類型選使用欲共用密鑰的L2TP/IPsec-》欲共用密鑰 MyPSK 
打開網路適配器-》修改VPN連接的屬性-》安全-》允許使用這些協議-》勾上CHAP
輸入用戶與密碼
註:若無法連接
windows+r 運行
    輸入 services.msc-》查找ipsec policy agent-》確保它在運行
    輸入 regedit-》 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters-》添加ProhibitIpSec,類型為 DWORD(32位), vlan為1,修改AllowL2TPWeakCrypto, vlan為 1
    保存退出,重啟電腦

您的分享是我們最大的動力!

更多相關文章
  • 一、鍵盤類和鍵盤事件 WPF提供了基礎的鍵盤類(System.Input.Keyboard類),該類提供與鍵盤相關的事件、方法和屬性,這些事件、方法和屬性提供有關鍵盤狀態的信息。Keyboard的事件也通過UIElement等XAML基元素類的事件向外提供。 對於鍵盤操作,其常用的事件有兩組: Ke ...
  • 項目框架介紹: 1:Application: 在service裡面事件具體業務,Dto相當於viewmodel實現了驗證 2:Core:實現了數據層Model 3:EntityFrameworkCore: 資料庫管理 對Model的改動使用 add-migration xxxx(這裡是你給這次遷移文 ...
  • abp依賴註入的原理剖析 請先移步參考 "[Abp vNext 源碼分析] 3. 依賴註入與攔截器" 本文此篇文章的補充和完善。 abp的依賴註入最後是通過IConventionalRegister介面的AddType方法實現的。先看下該介面: 該介面定義了三個方法,支持傳入程式集、類型數組、具體類 ...
  • 使用abp模板進行項目開發: 1:準備工作:我使用v2.x版本,所以會依賴.net core 2.2 查看並更新本地環境: 更新.net core版本:cmd 運行 dotnet --version查看本機版本(我的是core 2.1) 通過下載安裝sdk更新core版本:https://dotne ...
  • 下麵是針對 nfs 所有的版本,我們可以通過不同的RFC 進行詳細看其RFC的細節來進行對比: 下麵是備忘一些NFS RFC 的鏈接: https://datatracker.ietf.org/doc/search?name=nfs&sort=&rfcs=on&activedrafts=on nfs ...
  • 關鍵詞:top、perf、sar、ksar、mpstat、uptime、vmstat、pidstat、time、cpustat、munin、htop、glances、atop、nmon、pcp-gui、collectl。 1. top top是最常用的查看系統資源使用情況的工具,包括CPU、記憶體等等 ...
  • * * * * * (下麵的字體對應) 分 時 日 月 周 星號(*):代表所有可能的值,例如month欄位如果是星號,則表示在滿足其它欄位的制約條件後每月都執行該命令操作。 逗號(,):可以用逗號隔開的值指定一個列表範圍,例如,“1,2,5,7,8,9” 中杠(-):可以用整數之間的中杠表示一個整 ...
  • 準備環境 軟體安裝 服務端基本配置文件 創建一個新的 PKI 和 CA 生成服務端證書 簽約服務端證書 創建 Diffie Hellman 客戶端基本配置 生成客戶端證書 最後簽約客戶端證書 證書整理 服務端 客戶端 server.conf 密碼驗證腳本 !/bin/sh PASSFILE="/et ...
一周排行
  • 比如要拆分“呵呵呵90909086676喝喝999”,下麵當type=0返回的是中文字元串“呵呵呵,喝喝”,type=1返回的是數字字元串“90909086676,999”, private string GetStrings(string str,int type=0) { IList<strin ...
  • Swagger一個優秀的Api介面文檔生成工具。Swagger可以可以動態生成Api介面文檔,有效的降低前後端人員關於Api介面的溝通成本,促進項目高效開發。 1、使用NuGet安裝最新的包:Swashbuckle.AspNetCore。 2、編輯項目文件(NetCoreTemplate.Web.c ...
  • 2020 年 7 月 30 日, 由.NET基金會和微軟 將舉辦一個線上和為期一天的活動,包括 微軟 .NET 團隊的演講者以及社區的演講者。本次線上大會 專註.NET框架構建微服務,演講者分享構建和部署雲原生應用程式的最佳實踐、模式、提示和技巧。有關更多信息和隨時瞭解情況:https://focu... ...
  • #abp框架Excel導出——基於vue #1.技術棧 ##1.1 前端採用vue,官方提供 UI套件用的是iview ##1.2 後臺是abp——aspnetboilerplate 即abp v1,https://github.com/aspnetboilerplate/aspnetboilerp ...
  • 前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:碧茂大數據 PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取 input()輸入 Python提供了 input() 內置函數從標準輸入讀入一 ...
  • 從12年到20年,python以肉眼可見的趨勢超過了java,成為了當今It界人人皆知的編程語言。 python為什麼這麼火? 網路編程語言搜索指數 適合初學者 Python具有語法簡單、語句清晰的特點,這就讓初學者在學習階段可以把精力集中在編程對象和思維方法上。 大佬都在用 Google,YouT ...
  • 在社會上存在一種普遍的對培訓機構的學生一種歧視的現象,具體表現在,比如:當你去公司面試的時候,一旦你說了你是培訓機構出來的,那麼基本上你就涼了,那麼你瞞著不說,然後又通過了面試成功入職,但是以後一旦在公司被髮現有培訓經歷,可能會面臨被降薪,甚至被辭退,培訓機構出來的學生,在用人單位眼裡就是能力低下的 ...
  • from typing import List# 這道題看了大佬寫的代碼,經過自己的理解寫出來了。# 從最外圍的四周找有沒有為O的,如果有的話就進入深搜函數,然後深搜遍歷# 判斷上下左右的位置是否為Oclass Solution: def solve(self, board: List[List[s ...
  • import requests; import re; import os; # 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, li ...
  • import requests; import re; import os; import parsel; 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537. ...