Secrets for authentication using CHAP

CentOS下搭建L2TP/IPsec VPN服务详解：从环境准备到安全配置全攻略

在企业网络和远程办公场景中,虚拟专用网络（VPN）是保障数据传输安全的重要手段，L2TP（Layer 2 Tunneling Protocol）结合IPsec（Internet Protocol Security）能够提供端到端加密通道，广泛应用于Linux服务器上，本文将详细介绍如何在CentOS系统（以CentOS 7/8为例）中部署L2TP/IPsec VPN服务，涵盖环境准备、软件安装、配置文件修改、防火墙设置及客户端连接测试全过程。

确保你拥有一个运行CentOS的物理机或虚拟机,并具备root权限，推荐使用CentOS 7或8最小化安装版本，以减少不必要的服务干扰，执行以下命令更新系统并安装必要工具：

sudo yum update -y
sudo yum install -y xl2tpd ipsec-tools openssl-devel

接着配置IPsec,编辑 /etc/ipsec.conf 文件，添加如下内容：

config setup
    protostack=netkey
    plutodebug=all
    dumpdir=/var/log/pluto/
    nhelpers=0
    interfaces=%defaultroute
    uniqueids=yes
conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    type=transport
    left=%defaultroute
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/1701
    auto=add

然后配置预共享密钥（PSK），编辑 /etc/ipsec.secrets：

%any %any : PSK "your_secure_pre_shared_key_here"

替换 your_secure_pre_shared_key_here 为强密码（建议包含大小写字母、数字和特殊字符），保存后重启IPsec服务：

sudo systemctl enable ipsec
sudo systemctl start ipsec

接下来配置L2TP守护进程,编辑 /etc/xl2tpd/xl2tpd.conf：

[global]
ipsec saref = yes
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tp-server
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

创建PPP选项文件 /etc/ppp/options.xl2tpd：

ipcp-accept-local
ipcp-accept-remote
noauth
refuse-pap
refuse-chap
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
speed 115200
unit 0
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

添加用户账号,编辑 /etc/ppp/chap-secrets：

将 username 和 password 替换为你希望使用的账户信息，完成后启动xl2tpd服务：

sudo systemctl enable xl2tpd
sudo systemctl start xl2tpd

关键一步是打开防火墙端口,若使用firewalld（CentOS默认防火墙）：

sudo firewall-cmd --add-port=500/udp --permanent
sudo firewall-cmd --add-port=4500/udp --permanent
sudo firewall-cmd --add-port=1701/udp --permanent
sudo firewall-cmd --reload

你可以从Windows或Android设备连接L2TP/IPsec VPN，输入服务器IP地址、用户名和密码即可建立连接，建议使用IKEv1协议，避免某些客户端兼容性问题。

通过以上步骤,你在CentOS上成功搭建了一个安全、稳定的L2TP/IPsec VPN服务，该方案适合中小型企业内部网络扩展或远程员工接入需求，注意定期更新系统补丁、更换PSK密钥，并监控日志文件（如 /var/log/messages）排查异常连接，这是网络工程师必备的基础技能之一，也是构建可信网络基础设施的重要环节。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN