PPP options for L2TP

CentOS 6.5下配置IPsec/L2TP VPN服务详解（含故障排查与安全建议）

在企业网络环境中，远程访问内网资源是一项常见需求，CentOS 6.5作为一款稳定、轻量级的Linux发行版，虽已进入生命周期尾声（EOL于2024年），但其在遗留系统中仍有广泛应用，本文将详细介绍如何在CentOS 6.5上部署基于IPsec + L2TP协议的VPN服务，帮助用户实现安全、稳定的远程接入。

准备工作
确保系统满足以下条件：

• CentOS 6.5最小化安装（推荐使用64位版本）
• 系统已更新至最新补丁（yum update）
• 已配置静态公网IP地址（或通过DDNS动态绑定）
• 防火墙开放端口：UDP 500（ISAKMP）、UDP 4500（NAT-T）、UDP 1701（L2TP）

安装必要软件包
执行以下命令安装所需组件：

yum install -y xl2tpd iptables-services ipsec-tools openswan

配置IPsec（Openswan）
编辑 /etc/ipsec.conf：

config setup
    protostack=netkey
    plutodebug=all
    plutostart=yes
conn L2TP-PSK-NAT
    right=%any
    left=%defaultroute
    leftid=@yourdomain.com  # 替换为你的域名或IP
    rightprotoport=17/1701
    leftprotoport=17/1701
    authby=secret
    pfs=yes
    rekey=no
    type=transport
    auto=add

创建预共享密钥文件 /etc/ipsec.secrets：

@yourdomain.com %any : PSK "your_strong_pre_shared_key"

注：替换 your_strong_pre_shared_key 为高强度密码（建议包含大小写字母+数字+特殊字符）。

重启IPsec服务：

service ipsec restart
chkconfig ipsec on

配置L2TP服务器（xl2tpd）
编辑 /etc/xl2tpd/xl2tpd.conf：

[global]
listen-addr = your_public_ip  # 替换为公网IP
ipsec saref = yes
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes

创建PPP选项文件 /etc/ppp/options.l2tpd：

noauth
refuse-pap
refuse-chap
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
debug

添加用户账户
编辑 /etc/ppp/chap-secrets：

# Secrets for authentication
username * password *  # 格式：用户名 * 密码 *

示例：john * mySecurePass!2024 *

启用IP转发并配置防火墙

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
# 添加iptables规则（假设eth0为外网接口）
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j ACCEPT
iptables -A FORWARD -p udp --dport 1701 -d 192.168.100.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
service iptables save

启动服务并测试

service xl2tpd start
chkconfig xl2tpd on
service ipsec start

客户端连接时使用：

• 协议：L2TP/IPsec
• 服务器地址：公网IP
• 预共享密钥：与/etc/ipsec.secrets一致
• 用户名/密码：与/etc/ppp/chap-secrets一致

常见问题排查

• 若连接失败，检查日志：tail -f /var/log/messages
• 确保路由器未阻止UDP 500/4500端口
• 使用ipsec status验证IPsec SA状态
• 测试内网连通性：ping 192.168.100.1

安全建议

• 定期更换预共享密钥（建议每季度）
• 限制允许登录的IP段（通过iptables白名单）
• 启用SSH密钥认证替代密码登录
• 考虑迁移到更现代的OpenVPN或WireGuard方案

尽管CentOS 6.5已停止维护，但在严格控制环境和安全加固的前提下，上述配置可提供可靠的企业级VPN服务，建议尽快规划向CentOS Stream或AlmaLinux等长期支持版本迁移。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN