CentOS下搭建L2TP/IPsec VPN服务详解，从环境准备到安全配置全攻略-vpn-VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN

在企业网络和远程办公场景中,虚拟专用网络（VPN）是保障数据传输安全的重要手段，L2TP（Layer 2 Tunneling Protocol）结合IPsec（Internet Protocol Security）能够提供加密、认证和隧道功能，成为Linux服务器上部署安全远程访问的经典方案，本文将以CentOS操作系统（以CentOS 7/8为例）为基础，详细介绍如何搭建一套稳定、安全的L2TP/IPsec VPN服务，适用于中小型企业或个人开发者快速部署。

确保系统环境满足要求：

CentOS 7或8（建议使用最小化安装）
公网IP地址（用于外部访问）
已配置防火墙规则（如firewalld或iptables）
熟悉基础命令行操作

第一步：安装必要软件包
执行以下命令安装L2TP/IPsec相关组件：

yum install -y xl2tpd ipsec-tools openssl-devel

xl2tpd负责L2TP隧道建立，ipsec-tools提供IPsec加密协商，openssl-devel用于编译依赖。

第二步：配置IPsec（/etc/ipsec.conf）
编辑主配置文件，定义IKE协议参数和安全策略：

config setup
    protostack=netkey
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keylife=1h
    rekey=no
    ikelifetime=8h
    left=%defaultroute
    leftid=@your-server-ip.com  # 替换为你的公网IP或域名
    right=%any
    rightsubnet=vhost:%priv
    type=transport
    compress=no

第三步：设置预共享密钥（/etc/ipsec.secrets）
添加用户认证信息，格式为“左端IP right端IP：PSK '密码'”：

%any %any : PSK "your_strong_pre_shared_key"

注意：密码需足够复杂，避免暴力破解。

第四步：配置L2TP守护进程（/etc/xl2tpd/xl2tpd.conf）

[global]
port = 1701
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

第五步：创建PPP选项文件（/etc/ppp/options.xl2tpd）
此文件控制客户端拨号时的IP分配与安全性：

+mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
require-mschap-v2
noauth
noccp
nopcomp
novj
novjccomp
nologfd

第六步：添加用户账户（/etc/ppp/chap-secrets）
格式为“用户名帐户类型服务密码”：

user1 * l2tpd password123

第七步：启用并重启服务

systemctl enable ipsec xl2tpd
systemctl start ipsec xl2tpd

第八步：配置防火墙（firewalld示例）
开放关键端口：

firewall-cmd --permanent --add-port=500/udp
firewall-cmd --permanent --add-port=4500/udp
firewall-cmd --permanent --add-port=1701/tcp
firewall-cmd --reload

第九步：启用IP转发（重要！）
编辑 /etc/sysctl.conf，添加：