Secrets for authentication using CHAP

CentOS 7下搭建L2TP/IPsec VPN服务详解：从配置到安全优化

在企业网络和远程办公场景中，虚拟私人网络（VPN）是保障数据传输安全的重要手段，L2TP（Layer 2 Tunneling Protocol）结合IPsec（Internet Protocol Security）是一种广泛使用的加密隧道协议，尤其适合在Linux系统上部署，本文将详细介绍如何在CentOS 7操作系统中搭建一个稳定、安全的L2TP/IPsec VPN服务，包括安装、配置、防火墙设置以及常见问题排查。

确保你有一台运行CentOS 7的服务器（建议使用最小化安装版本），并拥有root权限或sudo权限，我们推荐使用StrongSwan作为IPsec后端,因为它是当前主流且支持良好开源实现。

第一步：安装必要软件包
执行以下命令安装所需工具：

yum update -y
yum install -y xl2tpd ipsec-tools openswan strongswan

第二步：配置IPsec（StrongSwan）
编辑 /etc/strongswan/ipsec.conf 文件：

config setup
    charondebug="ike 1, knl 1, cfg 1"
    uniqueids=no
conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    authby=secret
    ike=aes128-sha1-modp1024!
    esp=aes128-sha1!
conn l2tp-psk
    left=%any
    leftid=@your-server-ip.com
    leftsubnet=192.168.100.0/24
    right=%any
    rightid=%any
    auto=add
    type=transport
    authby=secret

接着配置预共享密钥（PSK），编辑 /etc/strongswan/ipsec.secrets：

%any %any : PSK "your-strong-psk-here"

第三步：配置L2TP服务器（xl2tpd）
编辑 /etc/xl2tpd/xl2tpd.conf：

[global]
port = 1701
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse ppe = no
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse ppe = no
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd

第四步：设置PPP选项与用户认证
创建 /etc/ppp/options.xl2tpd：

+mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
noauth
refuse-pap
refuse-chap
refuse-eap
require-mschap-v2

添加用户账号（可选）：
编辑 /etc/ppp/chap-secrets：

第五步：启用服务并重启

systemctl enable ipsec
systemctl start ipsec
systemctl enable xl2tpd
systemctl start xl2tpd

第六步：配置防火墙（firewalld）
允许相关端口：

firewall-cmd --permanent --add-port=500/udp
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-port=1701/udp
firewall-cmd --reload

开启IP转发（在 /etc/sysctl.conf 中添加）：

net.ipv4.ip_forward = 1

然后执行 sysctl -p 生效。

完成以上步骤后，客户端可通过Windows、Android或iOS连接该L2TP/IPsec服务，注意：某些设备可能需要手动输入服务器IP、用户名和密码，并选择“使用预共享密钥”方式验证。

安全性提示：务必使用强密码、定期更换PSK、限制访问IP范围（如通过fail2ban）、监控日志（journalctl -u ipsec）以及时发现异常行为。

此方案已在多个生产环境中验证,适合中小型企业快速部署安全远程接入。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN