Linux下怎么配置L2TP over IPSec客户端？

在Linux系统中搭建L2TP/IPsec VPN是一种常见且安全的需求，它结合了L2TP（Layer 2 Tunneling Protocol）的隧道能力和IPsec（Internet Protocol Security）的加密与认证功能，为远程访问提供了强大的安全保障，本文将详细介绍如何在主流的Linux发行版（如CentOS/Ubuntu）上，逐步配置一个功能完整的L2TP/IPsec VPN服务器。

核心组件概览

L2TP/IPsec VPN的实现依赖于多个软件包的协同工作，理解它们各自的职责是成功配置的关键。

第一步：安装必要的软件包

我们需要根据操作系统的不同,安装所需的软件包。

对于 CentOS 7/8 或 RHEL 系统：

sudo yum install -y epel-release
sudo yum install -y xl2tpd libreswan ppp

对于 Ubuntu 或 Debian 系统：

sudo apt-get update
sudo apt-get install -y xl2tpd libswan1 ppp

安装完成后,系统便具备了搭建VPN所需的基础工具。

第二步：配置 IPsec (Libreswan)

IPsec负责在客户端和服务器之间建立一条安全的加密通道,我们将以Libreswan为例进行配置。

1. 编辑主配置文件 /etc/ipsec.conf：
   此文件定义了IPsec的连接策略，我们需要添加一个用于L2TP的连接配置段。

   config setup
       protostack=netkey
       nhelpers=0
   conn l2tp-ipsec
       authby=secret
       pfs=no
       auto=add
       keyingtries=3
       rekey=no
       type=transport
       left=%defaultroute
       leftid=@your-vpn-server-id  # 可以是IP或域名，需与客户端一致
       leftprotoport=17/1701
       right=%any
       rightid=%any
       rightprotoport=17/%any
       rightsubnet=vhost:%priv,%no

   这里,type=transport是L2TP/IPsec的关键，因为它只对IP包进行封装，而不创建新的IP头。left代表服务器端，right代表客户端。

2. 设置预共享密钥 /etc/ipsec.secrets：
   此文件用于存储IPsec认证所需的密钥，请将your_psk_here替换为一个复杂且唯一的密钥。

   %any %any : PSK "your_psk_here"

   格式为左ID 右ID : 认证方式 "密钥"。%any表示接受任何ID的连接请求。

   

第三步：配置 L2TP (xl2tpd)

L2TP负责在IPsec隧道之上建立第二层隧道。

编辑 /etc/xl2tpd/xl2tpd.conf 文件：

[global]
listen-addr = your_server_ip  # 替换为你的服务器公网IP
ipsec saref = yes
[lns default]
ip range = 192.168.42.100-192.168.42.200  # 分配给VPN客户端的IP地址池
local ip = 192.168.42.1                   # VPN服务器的虚拟IP地址
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

ip range定义了VPN客户端连接后将获得的IP地址范围，local ip是VPN网关的地址。

第四步：配置 PPP (用户认证)

PPP协议负责处理具体的用户登录认证,我们需要设置两个文件。

1. 编辑 PPP 选项文件 /etc/ppp/options.xl2tpd：
   此文件指定了PPP连接的各项参数，如DNS服务器、认证方式等。

   ipcp-accept-local
   ipcp-accept-remote
   ms-dns 8.8.8.8
   ms-dns 8.8.4.4
   noccp
   auth
   idle 1800
   mtu 1410
   mru 1410
   nodefaultroute
   debug
   proxyarp
   connect-delay 5000
   name l2tpd

2. 创建用户凭证文件 /etc/ppp/chap-secrets：
   在此文件中添加允许连接的VPN用户账号。

   # 用户名  服务  密码        分配的IP地址
   testuser  *      testpass123  *

   每行代表一个用户,格式为用户名 服务器 密码 IP，为通配符，表示不限制。

第五步：网络与防火墙配置

为了让VPN客户端能够通过服务器访问互联网,我们需要开启内核的IP转发功能，并配置防火墙规则。

1. 开启IP转发：

   sudo sysctl -w net.ipv4.ip_forward=1

   为了使设置永久生效,请编辑 /etc/sysctl.conf 文件，确保包含以下行：

   

   net.ipv4.ip_forward = 1

2. 配置防火墙规则：
   以下iptables规则允许了IPsec和L2TP所需的UDP端口，并设置了NAT，使VPN客户端的流量能够通过服务器的公网IP出去。

   sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT
   sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT
   sudo iptables -A INPUT -p udp --dport 1701 -j ACCEPT
   sudo iptables -t nat -A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE

   注意：eth0应替换为你服务器的实际公网网卡名称，如果使用firewalld，则需要配置相应的富规则和NAT策略。

第六步：启动服务并验证

所有配置完成后,启动并启用服务。

sudo systemctl enable ipsec xl2tpd
sudo systemctl restart ipsec xl2tpd

检查服务状态：

sudo systemctl status ipsec
sudo systemctl status xl2tpd

可以使用 ipsec verify 命令来检查IPsec配置是否有潜在问题，如果一切正常，你就可以在Windows、macOS或移动设备上使用L2TP/IPsec协议，并输入之前设置的用户名、密码和预共享密钥来连接VPN了。

相关问答FAQs

Q1: 我已经成功连接VPN，但无法访问互联网，是什么原因？
A1: 这是最常见的问题之一，通常由两个原因导致：

1. IP转发未开启：请检查 /etc/sysctl.conf 文件，确保 net.ipv4.ip_forward = 1 这一行未被注释，并执行 sudo sysctl -p 使其生效。
2. 防火墙NAT规则错误或未生效：请确认你的iptables或firewalld规则正确设置了MASQUERADE（或SNAT），允许来自VPN网段（如168.42.0/24）的流量通过服务器的公网网卡转发出去，也要确保FORWARD链的规则允许相关流量通过。

Q2: 连接时提示“no shared key found for …”或类似认证失败错误，该如何解决？
A2: 这个错误明确指向IPsec的预共享密钥（PSK）不匹配。

1. 检查服务器端：请仔细核对 /etc/ipsec.secrets 文件中设置的PSK，确保没有多余的空格或语法错误。
2. 检查客户端：在客户端设备上创建VPN连接时，输入的预共享密钥必须与服务器端的完全一致，区分大小写。
3. 检查ID：在某些情况下，/etc/ipsec.conf 中的 leftid 和客户端配置中指定的服务器ID（或IP地址）也需要匹配，如果问题依旧，可以尝试将 leftid 设置为服务器的公网IP地址。