Linux Ipsec

来源:https://www.cnblogs.com/purple910/archive/2019/12/09/12012455.html

準備環境 環境測試 軟體安裝 xl2tpd.conf options.xl2tpd ipsec.conf l2tp ipsec.conf chap secrets 也就是我們一會在windows上登陸時用到的帳號和密碼 default secrets sysctl.conf 檢查配置 防火牆 開啟服 ...


準備環境

1 主機ip:192.168.0.107  
2 VPN伺服器:  
    ens32:192.168.0.102  
    ens33:127.16.1.10

環境測試

modprobe ppp-compress-18 && echo yes
cat /dev/net/tun

軟體安裝

[[email protected] ~]# yum install -y xl2tpd libreswan lsof 
註意:若無法安裝xl2tp
    yum install -y epel-release

xl2tpd.conf

[[email protected] ~]# vim /etc/xl2tpd/xl2tpd.conf
[global]
[lns default]
ip range = 172.16.1.100-172.16.1.199
local ip = 172.16.1.10
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yess

options.xl2tpd

[[email protected] ~]# vim /etc/ppp/options.xl2tpd
# .....
ipcp-accept-local
ipcp-accept-remote
ms-dns  114.114.114.114
ms-dns  223.5.5.5
# ms-wins 192.168.1.2
# ms-wins 192.168.1.4
name xl2tpd
#noccp
auth
#crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
#lock
proxyarp
connect-delay 5000
refuse-pap
refuse-mschap
require-mschap-v2
persist
logfile /var/log/xl2tpd.log

ipsec.conf

[[email protected] ~]# vim /etc/ipsec.conf      # 只修改以下項,其他預設
config setup
      protostack=netkey
        dumpdir=/var/run/pluto/     
                virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
include /etc/ipsec.d/*.conf

l2tp-ipsec.conf

[[email protected] ~]# vim /etc/ipsec.d/l2tp-ipsec.conf     # 新建如下配置文文件,直接複製的話,前面是很多空格,在啟動的時候會報錯,需要將空格刪除,換成tab的距離,距離相同。不能用空格!
conn L2TP-PSK-NAT
(tab距離)rightsubnet=0.0.0.0/0
        dpddelay=10
        dpdtimeout=20
        dpdaction=clear
        forceencaps=yes
        also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
        authby=secret
        pfs=no
        auto=add
        keyingtries=3
        rekey=no
        ikelifetime=8h
        keylife=1h
        type=transport
        left=172.16.1.10    # 這個是網卡的內網IP,後面通過NAT轉發
        leftprotoport=17/1701    # 埠,預設1701,不用改
        right=%any
        rightprotoport=17/%any

chap-secrets

也就是我們一會在windows上登陸時用到的帳號和密碼

[[email protected] ~]# vim /etc/ppp/chap-secrets 
# Secrets for authentication using CHAP
# client        server                  secret                  IP addresses
    root         *                      456                           *
    用戶名      服務類型(*代表所有)       密碼                          連入的ip(*代表任意地址)

default-secrets

[[email protected] ~]# vim /etc/ipsec.d/default.secrets      # 新建如下文件
------------------------------------------------------------------------------------
: PSK "MyPSK"    # 就一行,填上自定義的PSK,為欲共用密鑰

sysctl.conf

[[email protected] ~]# vim /etc/sysctl.conf    # 添加如下配置到文件中,參數後面不能有空格
net.ipv4.ip_forward = 1

net.ipv4.conf.*.accept_redirects = 0
net.ipv4.conf.*.rp_filter = 0
net.ipv4.conf.*.send_redirects = 0
註:
    *為/proc/sys/net/ipv4/conf/裡面所有項目
[[email protected] ~]# sysctl -p    # 載入內核參數使生效

檢查配置

ipsec verify     # 檢查命令
註:
    # 可能會出現類似如下情況:
    Checking rp_filter                                  [ENABLED]
    /proc/sys/net/ipv4/conf/ens160/rp_filter           [ENABLED]
    /proc/sys/net/ipv4/conf/ens192/rp_filter           [ENABLED]
    # 這是內核參數沒有生效,直接依次手動打開這些文件,將 1 改為 0
    # 然後重新執行檢查,輸出如下內容則OK:

防火牆

firewall-cmd --permanent --add-service=ipsec      # 放行ipsec服務,安裝時會自定生成此服務
firewall-cmd --permanent --add-port=1701/udp      # xl2tp 的埠,預設1701
firewall-cmd --permanent --add-port=4500/udp 
firewall-cmd --permanent --add-masquerade      # 啟用NAT轉發功能。必須啟用此功能
firewall-cmd --reload      # 重載配置

開啟服務

systemctl enable ipsec     # 設為開機啟動
systemctl start ipsec     # 啟動服務

主機連接

設置-》網路與Internet-》VPN-》添加VPN連接
VPN提供商為Windows內置-》連接名稱隨意-》伺服器地址為192.168.0.107-》VPN類型選使用欲共用密鑰的L2TP/IPsec-》欲共用密鑰 MyPSK 
打開網路適配器-》修改VPN連接的屬性-》安全-》允許使用這些協議-》勾上CHAP
輸入用戶與密碼
註:若無法連接
windows+r 運行
    輸入 services.msc-》查找ipsec policy agent-》確保它在運行
    輸入 regedit-》 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters-》添加ProhibitIpSec,類型為 DWORD(32位), vlan為1,修改AllowL2TPWeakCrypto, vlan為 1
    保存退出,重啟電腦

您的分享是我們最大的動力!

更多相關文章
  • 一、鍵盤類和鍵盤事件 WPF提供了基礎的鍵盤類(System.Input.Keyboard類),該類提供與鍵盤相關的事件、方法和屬性,這些事件、方法和屬性提供有關鍵盤狀態的信息。Keyboard的事件也通過UIElement等XAML基元素類的事件向外提供。 對於鍵盤操作,其常用的事件有兩組: Ke ...
  • 項目框架介紹: 1:Application: 在service裡面事件具體業務,Dto相當於viewmodel實現了驗證 2:Core:實現了數據層Model 3:EntityFrameworkCore: 資料庫管理 對Model的改動使用 add-migration xxxx(這裡是你給這次遷移文 ...
  • abp依賴註入的原理剖析 請先移步參考 "[Abp vNext 源碼分析] 3. 依賴註入與攔截器" 本文此篇文章的補充和完善。 abp的依賴註入最後是通過IConventionalRegister介面的AddType方法實現的。先看下該介面: 該介面定義了三個方法,支持傳入程式集、類型數組、具體類 ...
  • 使用abp模板進行項目開發: 1:準備工作:我使用v2.x版本,所以會依賴.net core 2.2 查看並更新本地環境: 更新.net core版本:cmd 運行 dotnet --version查看本機版本(我的是core 2.1) 通過下載安裝sdk更新core版本:https://dotne ...
  • 下麵是針對 nfs 所有的版本,我們可以通過不同的RFC 進行詳細看其RFC的細節來進行對比: 下麵是備忘一些NFS RFC 的鏈接: https://datatracker.ietf.org/doc/search?name=nfs&sort=&rfcs=on&activedrafts=on nfs ...
  • 關鍵詞:top、perf、sar、ksar、mpstat、uptime、vmstat、pidstat、time、cpustat、munin、htop、glances、atop、nmon、pcp-gui、collectl。 1. top top是最常用的查看系統資源使用情況的工具,包括CPU、記憶體等等 ...
  • * * * * * (下麵的字體對應) 分 時 日 月 周 星號(*):代表所有可能的值,例如month欄位如果是星號,則表示在滿足其它欄位的制約條件後每月都執行該命令操作。 逗號(,):可以用逗號隔開的值指定一個列表範圍,例如,“1,2,5,7,8,9” 中杠(-):可以用整數之間的中杠表示一個整 ...
  • 準備環境 軟體安裝 服務端基本配置文件 創建一個新的 PKI 和 CA 生成服務端證書 簽約服務端證書 創建 Diffie Hellman 客戶端基本配置 生成客戶端證書 最後簽約客戶端證書 證書整理 服務端 客戶端 server.conf 密碼驗證腳本 !/bin/sh PASSFILE="/et ...
一周排行
  • 【五分鐘的dotnet】是一個利用您的碎片化時間來學習和豐富.net知識的博文系列。如果您現在正在使用.NetCore的話,相信您對await 和 async這兩個關鍵字再熟悉不過了。它們是為非同步編程提供的語法糖,便於我們在代碼中更便捷的進行非同步操作。await 和 async其實是對Task對象都... ...
  • .NET基金會是一個獨立的非營利組織,於2014年成立,旨在圍繞 .NET 不斷增長的開源技術集合,促進開放開發和協作。它是商業和社區開發人員的論壇,通過促進開放性,社區參與和快速創新來增強.NET生態系統的未來。要使.NET 基金會真正獨立並由社區運營,則需要獨立資助。過去,.NET 基金會依靠來... ...
  • 微信公眾號: "Dotnet9" ,網站: "Dotnet9" ,問題或建議: "請網站留言" , 如果對您有所幫助: "歡迎贊賞" 。 .NET CORE(C ) WPF 方便的實現用戶控制項切換(祝大家新年快樂) 快到2020年了,祝大家新年快樂,今年2019最後一更,謝謝大家支持! 閱讀導航 1 ...
  • 內容有點多,請耐心! 最近公司的有這個業務需求,又很湊巧讓我來完成: 首先想要對接,先要一個公眾號,再就是開發文檔了:https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html 不過請註意這一點 ok, ...
  • MyBatis MyBatis是Apache的一個開源項目iBatis, iBatis一詞來源於“internet”和“abatis”的組合,是一個基於Java的持久層框架。 iBatis 提供的持久層框架包括SQL Maps和Data Access Objects(DAO) Mybatis 是一個 ...
  • 前言 Stanley B.Lippman 先生所著的《C++ Primer》是學習C++的一本非常優秀的教科書,但《C++ Primer》作為一本大部頭書,顯然不適合所有的初學者。所以Lippman先生又返璞歸真地寫了這本短小輕薄的《Essentia C++》。這本書以簡短的章節篇幅,幫助初學者快速... ...
  • 大數據環境需要的安裝包合集,包括: apache flume 1.7.0 bin.tar.gz apache hive 1.2.1 bin.tar.gz hadoop 2.7.2.tar.gz hbase 1.3.1 bin.tar.gz jdk 8u144 linux x64.tar kafka_ ...
  • 在項目當中資料庫一般都會成為主要的性能與負載瓶頸,那麼針對資料庫各項性能指標的監控與對應的優化是開發與運維人員需要面對的主要工作,而且這部分的工作會貫穿項目從開發到運行的整個周期里。 這篇文章中我們對MySql資料庫中的幾個主要的性能指標的計算與統計進行下說明與總結。 在MySql中通過show g ...
  • 1. Cookie Cookie,有時也用其複數形式Cookies,指某些網站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數據(通常經過加密)。Cookie最早是網景公司的前雇員Lou Montulli在1993年3月的發明。Cookie是由伺服器端生成,發送給User-Agen ...
  • 1. PreparedStatement預編譯的語句對象 預編譯語句PreparedStatement 是java.sql中的一個介面,它是Statement的子介面。通過Statement對象執行SQL語句時,需要將SQL語句發送給DBMS,由 DBMS首先進行編譯後再執行。預編譯語句和State ...
x