L2tp vpn-сервер на centos 7. установка и настройка сервера впн

L2TP VPN-сервер на CentOS 7. Установка и настройка сервера ВПН

Опубликовано: 09.04.2018

Тематические термины: VPN, CentOS

Один из лучших способов поднять сервер VPN — настроить OpenVPN. Однако, данный сервер не лишен недостатков — на клиенты потребуется устанавливать специальное программное обеспечение. Если мы хотим использовать стандартные средства операционных систем для подключения к серверу, настроим VPN IPSEC L2TP.

Подготовка сервера

Для установки ПО потребуется репозиторий EPEL:

Настраиваем брандмауэр:

firewall-cmd —permanent —add-service=l2tpd

firewall-cmd —permanent —add-service=ipsec

IPSEC

Устанавливаем ipsec-tools:

Открываем конфигурационный файл racoon:

vi /etc/racoon/racoon.conf

Добавляем:

remote anonymous {         exchange_mode    main,aggressive,base;         doi              ipsec_doi;         passive          on;         proposal_check   obey;         support_proxy    on;         nat_traversal    on;         ike_frag         on;         dpd_delay        20;         proposal         {                 encryption_algorithm  aes;                 hash_algorithm        sha1;                 authentication_method pre_shared_key;                 dh_group              modp1024;         }         proposal         {                 encryption_algorithm  3des;                 hash_algorithm        sha1;                 authentication_method pre_shared_key;                 dh_group              modp1024;         }

}

Теперь открываем следующий файл:

Для клиентов Windows добавляем:

ip-addres1   key-password1
ip-addres2   key-password2

* где ip-addres — ip-адрес клиента, с которого будет идти подключение; key-password — пароль для подключения.

Для клиентов Android добавляем:

identifier1   key-password1
identifier2   key-password2

* где identifier — идентификатор клиента, который будет использоваться при подключении; key-password — пароль для подключения.

Создаем скрипт с настройкой ipsec политик:

vi /etc/rc.d/init.d/racoon.init

#!/sbin/setkey -f
 

flush; spdflush;

spdadd 0.0.0.0/0[l2tp] 0.0.0.0/0 any -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0 0.0.0.0/0[l2tp] any -P in ipsec esp/transport//require;

Задаем права:

chmod 755 /etc/rc.d/init.d/racoon.init

Добавляем скрипт на автозапуск:

И добавляем строчку: 

/etc/rc.d/init.d/racoon.init

Разрешаем запуск сервиса racoon и стартуем его:

Задаем политики ipsec:

/etc/rc.d/init.d/racoon.init

L2TP

Устанавливаем пакет xl2tpd:

Открываем конфигурационный файл:

vi /etc/xl2tpd/xl2tpd.conf

В секцию [global] добавим:

[global] ipsec saref = yes

force userspace = yes

В секции [lns default] изменяем диапазон IP-адресов:

[lns default] ip range = 176.16.10.10-176.16.10.200

local ip = 176.16.10.1

Разрешаем автозапуск сервиса и стартуем его:

PPP

Открываем следующий файл:

vi /etc/ppp/options.xl2tpd

Вносим небольшие изменения в DNS:

ms-dns  77.88.8.8
ms-dns  8.8.8.8

Добавляем метод mschap2

Открываем файл с пользователями:

Добавляем первого:

* где dmosk — логин; первая звездочка — любой сервер; password — пароль, который должен вводить пользователь dmosk; вторая звездочка — подключение с любого IP-адреса.

Перезапускаем xl2tpd:

Настройка клиента

Пример настройки клиента Windows:

На устройстве с Андроидом настраиваем выбираем в качестве VPN-сервера IPSEC-L2TP PSK и вводим данные из файла psk.txt (например, identifier1 и key-password1). Пример подключения на Android:

VPN-сервер как шлюз

Для этого настраиваем только CentOS.

Подробное описание в статье Настройка Интернет шлюза на CentOS 7.

Была ли полезна вам эта инструкция?

Да            Нет

Источник: https://www.dmosk.ru/miniinstruktions.php?mini=l2tpd-centos

Установка и настройка IPSEC L2TP VPN сервера

Руководство по настройке VPN сервера IPSEC L2TP

  • Установка осуществляется на сервер под управлением CentOS 6
  • В качестве клиентов могут выступать операционные системы поддерживающие IPsec/L2tp (Mac OS, Android, Windows, Ubuntu)
  • Используемые порты, которые следует открыть на файрволе 1701/TCP, 4500/UDP и 500/UDP

Перед началом установки немного разъяснений о том, почему я выбрал стек IPSec/L2TP и для чего нам понадобится xl2tpd и ppp.

IPSec шифрует пакеты для обеспечения шифрования и аутентификации, чтобы никто не смог расшифровать или подделать данные между клиентами и сервером.

L2TP обеспечивает туннель для передачи данных, он ни в коем случае не обеспечивает шифрование и аутентификацию.

xl2tpd используется как демон L2TP и ppp для обеспечения аутентификации соединения.

Установка Epel

Установка необходимых компонентов

Теперь установим зависимые пакеты, openswan для ipsec, xl2tpd для l2tp и ppp для аутентификации.

yum install openswan xl2tpd ppp lsof

Поскольку в релизе OpenSwan из EPEL 6.8 существует баг, то нам необходимо выполнить даунгрейд пакета или установить вручную.

Скачиваем необходимые пакеты: i686, x86_64

rpm -Uvh openswan-2.6.32-16.el6.x86_64.rpm

или

rpm -Uvh openswan-2.6.32-16.el6.i686.rpm

Настройка файрвола и роутинга

iptables —table nat —append POSTROUTING —jump MASQUERADE

В sysctl.conf добавим следующие строчки

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done

Чтобы убедиться, что это продолжает работать при загрузке, добавим следующее в /etc/rc.local

for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; doneiptables -t nat -A POSTROUTING -j SNAT —to-source %SERVERIP%

%SERVERIP% — IP-адрес VPN сервера.
Вышеуказанные строчки необходимо добавить до строки exit 0

Конфигурация Openswan (IPSEC)

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10 ike=aes256-sha1;modp1024! phase2alg=aes256-sha1;modp1024

Общий пароль

Общий пароль находится в файле /etc/ipsec.secrets.
Убедитесь в его надежности, также не забудьте изменить IP-адрес на свой.

%SERVERIP% %any: PSK «357xCT1h2QY8+059k2eHZdaL3eogoTM8jHyzCF2kQxr6Zn4+PGmvuEILJMW8fP63»

Проверка

Запускаем проверку

Checking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path [OK]Linux Openswan U2.6.32/K2.6.32-573.7.1.el6.x86_64 (netkey)Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing for disabled ICMP send_redirects [OK]NETKEY detected, testing for disabled ICMP accept_redirects [OK]Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK]Two or more interfaces found, checking IP forwarding [OK]Checking NAT and MASQUERADEing [OK]Checking for 'ip' command [OK]Checking /bin/sh is not /bin/dash [WARNING]Checking for 'iptables' command [OK]Opportunistic Encryption Support [DISABLED]

Если много ошибок — проверяем, запущен ли сервис ipsec, если нет, то запускаем

Настройка xl2tpd

Открываем файл конфигурации /etc/xl2tpd/xl2tpd.conf

ip range = 10.1.2.1-10.1.2.100require authentication = yespppoptfile = /etc/ppp/options.xl2tpd
  • force userspace = из-за ошибки, по которой мы вынуждены были сделать даунгрейд Ipsec;
  • ip range = Диапазон IP-адресов, который будет назначен клиентам;
  • local ip = IP адрес VPN сервера;
  • refuse pap = отключаем pap-аутентификацию;
  • ppp debug = yes — когда тестируем, no в продакшн.

Локальные пользователи (PAM авторизация//etc/passwd)

Чтобы использовать локальные учетные записи пользователей для авторизации через PAM (или /etc/passwd) и, таким образом, не использовать пароли пользователя в открытом виде в текстовом файле, необходимо выполнить следующее:

В файле конфигурации /etc/xl2tpd/xl2tpd.conf добавим

unix authentication = yes

и удалим следующую строчку:

В файле /etc/ppp/options.xl2tpdz убедимся, что отсутствует строка (ниже говорится добавить его, но если хотим использовать UNIX аторизацию, то удаляем)

В файле /etc/ppp/options.xl2tpdдобавляем

Файл /etc/pam.d/ppp приводим к следующему виду:

auth required pam_nologin.soauth required pam_unix.soaccount required pam_unix.sosession required pam_unix.so

Добавляем следующее в /etc/ppp/pap-secrets

Конфигурация PPP

Редактируем конфигурационный файл /etc/ppp/options.xl2tpd

Добавляем пользователей

Каждого нового пользователя добавляем в файл /etc/ppp/chap-secrets

robinzon l2tpd 5H3leJQg3Owu749uwOuwtQ *pyatnica l2tpd 6qkZsl274bEGL8FKvOgA4X3vS0 *

Проверка

Перезапускаем сервисы и проверяем

/etc/init.d/ipsec restart/etc/init.d/xl2tpd restart

Источник: https://bogachev.biz/2015/09/30/ustanovka-i-nastroika-ipsec-l2tp-vpn-servera/

L2TP/IPsec на centos 7

Подключаем epel репозиторий

yum install -y epel-release

Устанавливаем необходимые пакеты

yum install -y xl2tpd libreswan lsof

Настраиваем L2TP

Бэкапим дефолтный конфиг

cp /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.orig

Правим /etc/xl2tpd/xl2tpd.conf

listen-addr = 1.1.1.1

где 1.1.1.1 заменяем на свой ip

ip range = 10.0.5.50-200 local ip = 10.0.5.1

где 10.0.5. может быть любым, взято для примера

Бэкапим дефолтный конфиг

mv /etc/ppp/options.xl2tpd /etc/ppp/options.xl2tpd.orig

Создаем новый с такими параметрами

vim /etc/ppp/options.xl2tpdipcp-accept-local ipcp-accept-remote ms-dns 8.8.8.8 ms-dns 8.8.4.4 auth idle 1800 mtu 1410 mru 1410 nodefaultroute debug proxyarp connect-delay 5000 name xl2tpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 persist logfile /var/log/xl2tpd.log

Настраиваем IPsec

Смотрим чтоб был расскоментирован параметр include /etc/ipsec.d/*.conf в /etc/ipsec.conf

Создаем файл настроек с таким содержимым

vim /etc/ipsec.d/l2tp-ipsec.confconn L2TP-PSK-NAT rightsubnet=0.0.0.0/0 dpddelay=10 dpdtimeout=20 dpdaction=clear forceencaps=yes also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h keylife=1h type=transport left=1.1.1.1 leftprotoport=17/1701 right=%any rightprotoport=17/%any

где 1.1.1.1 заменяем на свой ip

Прописываем в /etc/ppp/chap-secrets свои логины и пароли

vim /etc/ppp/chap-secrets»user1″ «xl2tpd» «pass1» * «user2» «xl2tpd» «pass2» *

Прописываем PSK ключ

vim /etc/ipsec.d/default.secrets: PSK «SecretKey»

Добавляем правила в firewalld

firewall-cmd —permanent —add-service=ipsec firewall-cmd —permanent —add-port=1701/udp firewall-cmd —permanent —add-port=4500/udp firewall-cmd —permanent —add-masquerade firewall-cmd —reload

Настраиваем ip forward

vim /etc/sysctl.d/60-sysctl_ipsec.confnet.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.eth0.accept_redirects = 0 net.ipv4.conf.eth0.rp_filter = 0 net.ipv4.conf.eth0.send_redirects = 0 net.ipv4.conf.eth1.accept_redirects = 0 net.ipv4.conf.eth1.rp_filter = 0 net.ipv4.conf.eth1.send_redirects = 0 net.ipv4.conf.eth2.accept_redirects = 0 net.ipv4.conf.eth2.rp_filter = 0 net.ipv4.conf.eth2.send_redirects = 0 net.ipv4.conf.ip_vti0.accept_redirects = 0 net.ipv4.conf.ip_vti0.rp_filter = 0 net.ipv4.conf.ip_vti0.send_redirects = 0 net.ipv4.conf.lo.accept_redirects = 0 net.ipv4.conf.lo.rp_filter = 0 net.ipv4.conf.lo.send_redirects = 0 net.ipv4.conf.ppp0.accept_redirects = 0 net.ipv4.conf.ppp0.rp_filter = 0 net.ipv4.conf.ppp0.send_redirects = 0

Перезапускаем сеть

systemctl restart network

В принципе все. Запускаем.

systemctl enable ipsec systemctl enable xl2tpd systemctl start ipsec systemctl start xl2tpd

Ах, да. Настроим logrotate для /var/log/xl2tpd.log

vim /etc/logrotate.d/xl2tpd/var/log/xl2tpd.log { missingok compress notifempty weekly rotate 2 create 0600 root root }

Можно все это проделать вручную, либо воспользоваться этим скриптом (скрипт не мой, я его слегка причесал). В нем по сути этот же набор команд, поэтому достаточно только поправить переменные в начале файла — логин, пароль и PSK ключ и настройка займет меньше пары минут.

Читайте также:  Диск может быть переполнен или защищен от записи, либо файл занят другим приложением. нет доступа при удалении

Источник: https://vanoc.ru/centos/l2tp-ipsec-na-centos-7/

Настройка VPN подключения l2tp на сервере Centos 6.5

# yum install -y xl2tpd
# chkconfig —level 345 xl2tpd on

# cp /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bkp
# nano /etc/xl2tpd/xl2tpd.conf
[global]
access control = yes
auth file = /etc/ppp/chap-secrets [lac moyvpn]
lns = vpn.domen.

ruredial = yes
redial timeout = 10
require chap = yes
require authentication = no
name = имя_пользователя
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require pap = no
autodial = yes
tunnel rws = 8
tx bps = 100000000
flow bit = no
# cp /etc/ppp/options.xl2tpd /etc/ppp/options.xl2tpd.bkp
# nano /etc/ppp/options.

xl2tpd
asyncmap 0000
name имя_пользователя
remotename L2TP
ipparam moyvpn
connect /bin/true
mru 1460
mtu 1460
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
noauth
novj
novjccomp
noipx
nomp
refuse-eap
refuse-pap
unit 0
# cp /etc/ppp/chap-secrets /etc/ppp/chap-secrets.

bkp
# nano /etc/ppp/chap-secrets
имя_пользователя * пароль *
# service xl2tpd start

Ждем получения ip адреса (по разному от сразу до 3-х минут).

# less /var/log/messages
Jan 5 21:00:07 gateway pppd[7958]: local IP address 95.31.31.8
Jan 5 21:00:07 gateway pppd[7958]: remote IP address 85.21.0.243

Появляется интерфейс ppp0

# ifconfig ppp
ppp0 Link encap:Point-to-Point Protocol inet addr:95.31.31.8 P-t-P:78.107.1.154 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1460 Metric:1 RX packets:3 errors:0 dropped:0 overruns:0 frame:0 TX packets:87540191 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:30 (30.0 b) TX bytes:39058515021 (36.3 GiB)

Таблица маршрутизации выглядит следующим образом.

# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
bras409-l0.msk. * 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth1
10.111.0.0 * 255.255.248.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 1002 0 0 eth0
link-local * 255.255.0.0 U 1003 0 0 eth1
default 10.111.0.1 0.0.0.0 UG 0 0 0 eth0

Получаю данные о присвоенном Default Gateway

# eth0_gw=`/sbin/route -n | awk '/^0.0.0.0/ {print $2}'`
# echo $eth0_gw
10.111.0.1

Получаю данные о присвоенном нам сервере авторизации L2TP

# vpn_server=`/sbin/route -n | awk '/ppp0/ {print $1}'`
# echo $vpn_server
85.21.0.243

Возможно, что предварительно нужно прописать маршруты до dns и до l2pt сервера.
Последний раз когда настраивал, прокатило и без них. route add -host 85.21.192.3 gw $eth0_gw
route add -host 213.234.192.8 gw $eth0_gw
route add -host 85.21.192.5 gw $eth0_gw

# route del default
# route add default dev ppp0
# route add -host $vpn_server gw $eth0_gw

Вот что получилось. (Поднят ppp интерфейс и по умолчанию пакеты отправляются ему).

При этом маршрут до L2TP сервера должен быть прописан. (Иначе, сервер не знает где ему авторизовываться, интерфейс ppp падает, все перестает работать).# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.0.243 10.111.0.1 255.255.255.255 UGH 0 0 0 eth0
85.21.0.243 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.111.0.0 0.0.0.0 255.255.248.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

Пинг пошел.

# ping ya.ru
PING ya.ru (93.158.134.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (93.158.134.3): icmp_seq=1 ttl=55 time=3.91 ms
64 bytes from www.yandex.ru (93.158.134.3): icmp_seq=2 ttl=55 time=4.00 ms

Остается только настроить NAT.

——————————————————

Если нужно добавить статические маршруты, можно это сделать в файле:
# vi /etc/sysconfig/network-scripts/route-eth0 10.0.0.0/8 via 10.111.0.1
62.205.179.146 via 10.111.0.1
85.21.79.0/24 via 10.111.0.1
85.21.90.0/24 via 10.111.0.1
85.21.52.198 via 10.111.0.1
85.21.52.254 via 10.111.0.1
85.21.138.3 via 10.111.0.1
83.102.146.96/27 via 10.111.0.1
83.102.237.231 via 10.111.0.1
195.14.50.1 via 10.111.0.1
195.14.50.3 via 10.111.0.1
195.14.50.16 via 10.111.0.1
195.14.50.26 via 10.111.0.1
85.21.192.3 via 10.111.0.1
213.234.192.8 via 10.111.0.1
85.21.192.5 via 10.111.0.1

Источник: http://xray-dx.blogspot.com/2015/04/vpn-l2tp-centos-65.html

CentOS 6/7 IPSec/L2TP VPN client to UniFi USG L2TP Server

Working with CentOS quite a lot I have spent time looking for configurations that work for various issues, one I have seen recently that took me a long time to resolve and had very poor documentation around the net was setting up an L2TP VPN.

In Windows or iOS its a nice simple setup where you enter all the required details and it sorts out the IPsec and L2TP VPN for you, In CentOS this is much different.

First we need to add the EPEL Repository:
Now we need to install the software:

yum -y install epel-releasen

Now we need to install the software:

sudo yum -y install xl2tpd openswan

Make sure to start the openswan service:

systemctl start ipsec.service

NOTE: if you dont start this service first you will receive the error  connect(pluto_ctl) failed: No such file or directory

OpenSwan (IPSec)

NOTE: where you see %local  change this to your Client local IP Address, where you see %server  change this to the FQDN / IP of the VPN Server public IP

Configure IPSec VPN:

——————————     virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12# Replace %local below with your local IP address (private, behind NAT IP is okay as well)# Replace IP address with your VPN server's IP

This file contains the basic information to establish a secure IPsec tunnel to the VPN server. It enables NAT Traversal for if your machine is behind a NAT’ing router (most people are), and other options that are required to connect correctly to the remote IPsec server.

Create a file to contain the Pre-Shared Key for the VPN:

—————————-

Remember to replace the local (%local) and server (%server) IP addresses with the correct numbers for your location. The pre-shared key will be supplied by the VPN provider and will need to be placed in this file in cleartext form.

Add the connection so that we can use it:

ipsec auto —add L2TP-PSK

xl2tpd (L2TP)

First we need to edit the configuration of xl2tpd with our new VPN:

vi /etc/xl2tpd/xl2tpd.conf—————————pppoptfile = /etc/ppp/options.l2tpd.client

Now we need to create our options file:

vi /etc/ppp/options.l2tpd.clientlogfile /var/log/xl2tpd.log

Place your assigned username and password for the VPN server in this file.

Create the control file for xl2tpd:

touch /var/run/xl2tpd/l2tp-control

This completes the configuration of the applicable software suites to connect to a L2TP/IPsec server. To start the connection do the following:

systemctl enable ipsec.servicesystemctl enable xl2tpd.service
echo «c vpn-connection» > /var/run/xl2tpd/l2tp-control

At this point the tunnel is up and you should be able to see the interface for it if you type:

Routing

Now that our tunnel is up and running we need to be able to route to our respective networks, this can be done two ways:

Add the route manually each time the VPN restarts:

route add -net xxx.xxx.xxx.xxx/xx dev ppp0

Replace the x with the server local network and subnet mask e.g. 192.168.10.0/24

Add the route automatically:

Edit the if-up file and add this before exit 0:

        # VPN — IP ROUTE BEING ADDED AT RECONNECTION

Here we need to change 192.168.10.1 to the ppp0 gateway, also change the x with the server local network and subnet mask e.g. 192.168.10.0/24

To check the route is added simply type:

This will display a list of routes and your new route should be listed

Troubleshooting

The main logs to check are:

/var/log/xl2tpd.log
/var/log/messages

OpenSwan IPSec

To check that OpenSwan IPSec is working as expected run  ipsec verify this will output similar to below:

Verifying installed system and configuration filesVersion check and ipsec on-path                         [OK]Libreswan 3.15 (netkey) on 2.6.32-696.3.1.el6.x86_64Checking for IPsec support in kernel                    [OK]NETKEY: Testing XFRM related proc values         ICMP default/send_redirects                    [NOT DISABLED]  Disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will act on or cause sending of bogus ICMP redirects!         ICMP default/accept_redirects                  [NOT DISABLED]  Disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will act on or cause sending of bogus ICMP redirects!Pluto ipsec.conf syntax                                 [OK]Hardware random device                                  [N/A]Checking rp_filter                                      [ENABLED]/proc/sys/net/ipv4/conf/default/rp_filter              [ENABLED]/proc/sys/net/ipv4/conf/lo/rp_filter                   [ENABLED]/proc/sys/net/ipv4/conf/eth0/rp_filter                 [ENABLED]  rp_filter is not fully aware of IPsec and should be disabledChecking that pluto is running                          [OK]Pluto listening for IKE on udp 500                     [OK]Pluto listening for IKE/NAT-T on udp 4500              [OK]Pluto ipsec.secret syntax                              [OK]Checking 'ip' command                                   [OK]Checking 'iptables' command                             [OK]Checking 'prelink' command does not interfere with FIPSChecking for obsolete ipsec.conf options                 [OK]Opportunistic Encryption                                [DISABLED]ipsec verify: encountered 9 errors — see 'man ipsec_verify' for help

If you see the same results as above run the following commands to resolve this:

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirectsecho 0 > /proc/sys/net/ipv4/conf/default/send_redirectsecho 0 > /proc/sys/net/ipv4/conf/eth0/send_redirectsecho 0 > /proc/sys/net/ipv4/conf/eth1/send_redirectsecho 0 > /proc/sys/net/ipv4/conf/lo/send_redirectsecho 0 > /proc/sys/net/ipv4/conf/ppp0/send_redirectsecho 0 > /proc/sys/net/ipv4/conf/all/accept_redirectsecho 0 > /proc/sys/net/ipv4/conf/default/accept_redirectsecho 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirectsecho 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirectsecho 0 > /proc/sys/net/ipv4/conf/lo/accept_redirectsecho 0 > /proc/sys/net/ipv4/conf/ppp0/accept_redirectsecho 0 > /proc/sys/net/ipv4/conf/eth0/rp_filterecho 0 > /proc/sys/net/ipv4/conf/ppp0/rp_filterecho 0 > /proc/sys/net/ipv4/conf/default/rp_filterecho 0 > /proc/sys/net/ipv4/conf/lo/rp_filter

Run  ipsec verify again to make sure all are green, ideally you shouldnt encounter any errors.

Startup / Shutdown Script

if ! ifconfig | grep ppp0;        sudo ipsec auto —up L2TP-PSK        sudo echo «c vpn-connection» > /var/run/xl2tpd/l2tp-controlif ! route | grep xxx.xxx.xxx.xxx;        sudo route add -net xxx.xxx.xxx.xxx/xx dev ppp0

This can then be created as a cron job to make sure the vpn is always up and running.

centos 6centos 7ipsecl2tol2tpopenswanunifiunifi usgusgvpnxl2tpd

Источник: http://spottedhyena.co.uk/centos-67-ipsecl2tp-vpn-client-unifi-usg-l2tp-server/

Настройка L2TP-сервера на CentOS с подключением клиента на примере роутера Mikrotik

В рамках статьи рассматривается объединение двух удаленных точек с помощью L2TP-туннеля. Такая схема полезна когда клиенты, подключающиеся к серверу Астериск находятся за динамическим IP адресом, чтобы ослаблять безопасность SIP, открыванием со всех подсетей.

Читайте также:  Мониторинг индексации exchange. скрипт для проверки работы поиска в outlook

Исходные данные:Головной офис:XXX.XXX.XXX.XXX — внешний статический ip-адрес192.168.15.0/24 — локальная сеть192.168.15.254 — ip-адрес сервера Asterisk172.10.20.0/24 — подсеть адресов, выдаваемая клиентам l2tp172.10.20.1 — ip сервера в l2tpФилиал:192.168.30.

0/24 — локальная сеть филиалаОптимальный вариант со стороны филиала поставить роутер микротик в базовой настройке (о ней рассказано в статье: http://voxlink.ru/kb/voip-devices-configuration/mikrotik-config/).Сервер L2TP можно настроить на сервере с Asterisk'ом.Сначала необходимо установить на сервере все требуемые пакеты и зависимости.

Если не подключен репозиторий EPEL, то желательно его подключить.В CentOS 6 это делается командой:

yum install epel-release

В качетве l2tp используется утилита xl2tpd, также потребуется установка ppp, так как l2tp будет устанавливать соединение протоколом ppp, и и пакета утилит bind. Все это можно установить в одну команду:

yum install -y ppp xl2tpd bind-utils

Далее настраивается l2tp.Необходимо править файл /etc/xl2tpd/xl2tpd.conf — предварительно можно сделать бэкап оригинального файла: mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak

vim /etc/xl2tpd/xl2tpd.conf

Необходимо привести файл к виду указанному ниже (в комментариях указано за что отвечает тот или иной параметр)

[global]port = 1701 #порт на котором работает туннель [lns l2tpd] #l2tpd — имя можно указать любоеip range = 172.10.20.10-172.10.20.250 #диапазон ip-алресов, выдаваемых сервером клиентамlocal ip = 172.10.20.

1 #адрес сервера в туннеле биндится на интерфейс ppprequire chap = yes #требование аутентификации ppp по протоколу chaprefuse pap = yes #отказ в аутентификации ppp по протоколу paprequire authentication = yes #требование к клиентам проходить обязательную аутентификациюname = l2tpd #имяpppoptfile = /etc/ppp/options.

xl2tpd #файл содержащий описание опций ppplength bit = yes #использование бита длины, указывающего полезную нагрузку пакета Прописать необходимые опции pppvim /etc/ppp/options.xl2tpd ms-dns 8.8.8.8 #указывает DNS-серверы, выдаваемые клиентамms-dns 8.8.4.

4noccpauth #запрос клиенту на аутентификацию до установления обмена сетевыми пакетамиcrtsctsidle 1800mtu 1280mru 1280lock #создание lock файла для сохранения эксклюзивного доступа к устройствуlcp-echo-failure 10 # количество неудачных echo запросов до того как провести отключение клиентаlcp-echo-interval 60 #интервал echo запросовconnect-delay 5000

logfile /var/log/ppp/ppp.log #логировние

Далее прописать пользователей в файле:

vim /etc/ppp/chap-secrets# client server secret IP addresses»peer_name» «name» «peerpasswd» «*» client — имя пользователяserver — имя сервера указанное в файле xl2tpd.conf или options.xl2tpdsecret — пароль пользователя используемый при подключении — также можно хранить в закрытом виде: результат функции crypt

IP addresses — указываются адреса с которых возможно подключение (* — означает подключение отовсюду)

После произведения настроек необходимо перезапустить службы:

service xl2tpd restart

Следует учитывать что интерфейс ppp не поднимется и его не будет видно в системе пока не пройдет аутентификация клиента.

 При настройке порта l2tp, а также при пробросе портов на роутере следует учитывать, что l2tp-client на стороне микротика работает с параметрами по умолчанию — не поддерживает смену портов и использует протокол UDP.

Настройка клиента на микротике настройка указана через командную строку:

/interface l2tp-client add name=l2tp-out1 connect-to=xxx.xxx.xxx.xxx user=peer_name password=peerpasswd allow=chap,mschap1 use-ipsec=no add-default-route=no max-mtu=1280 max-mru=1280

здесь connect-to= указывается внешний ip сервера l2tpuser/password — логин/пароль пользователя указанные в файле /etc/ppp/chap-secrets

проверить полученный адрес l2tp можно командой:

/ip address print@MikroTik] /ip address> /ip address printFlags: X — disabled, I — invalid, D — dynamic# ADDRESS NETWORK INTERFACE

2 D 172.10.20.10/32 172.10.20.1 l2tp-out1

По выводу видно, что созданый на предыдущем шаге интерфейс получил адрес 172.10.20.10, т. е. Первый из объявленного на сервере диапазона.
После этих манипуляций на сервере должен подняться интерфейс ppp, проверить можно командой ifconfig

ppp0 Link encap:Point-to-Point Protocolinet addr:172.10.20.1 P-t-P:172.10.42.10 Mask:255.255.255.255UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1RX packets:294 errors:0 dropped:0 overruns:0 frame:0TX packets:4 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:3

RX bytes:173792 (169.7 KiB) TX bytes:46 (46.0 b)

Чтобы хостам локальной сети сервер был доступен по его локальному адресу, а равно и хосты локальной сети филиала были доступны с сервера необходимо настроить маршрутизацию.

На сервере: в файл /etc/sysconfig/network-scripts/route-pppX, где X — номер ppp интерфейса, добавить маршрут в локальную сеть филиала:

192.168.30.0/24 via 172.10.20.10 dev ppp0

Чтобы настройки применились надо или рестартовать интерфейс или вручную добавить маршрут в таблицу маршрутизации вручную:

ip route add 192.168.30.0/24 via 172.10.20.10

На Микротике:

/ip route add dst-address=192.168.15.0/24 gateway=l2tp-out1

После данных настроек получается ненатированный прозрачный ВПН, но следует учитывать что данные в нем будут без шифрования.

Источник: https://VoxLink.ru/kb/voip-devices-configuration/nastrojka-L2TP-servera-na-CentOS/

VPN сервер на CentOS 7

С каждым годом вопрос защиты данных становится все более актуальным. На сегодняшний день одной из удачных реализаций средств защиты – является создание частной виртуальной сети или кратко VPN.

Virtual Private Network (VPN) – обобщенное название технологий, позволяющих обеспечивать сетевые соединения по верх основной сети (например, Интернет).

При этом независимо от уровня надежности основной сети, Вы получаете надежное соединение (виртуальную сеть построенную поверх основной) благодаря использованию средств криптографии.

В данной статье мы рассмотрим создание VPN сервера на CentOS 7 с использованием OpenVPN – свободная реализация технологии VPN с открытым исходным кодом, OpenVPN может использоваться для создания зашифрованных каналов типа точка-точка или сервер-клиенты.

Все команды в этой статье выполняются от имени пользователя root!Вы должны отключить selinux, он может вызвать проблемы во время установки.Настройка хоста

Установка CentOS7.

Настройка сети в CentOS 7.

Безопасность SSH сервера.

Подготовка окружения

Отключите Selinux:

sed -i 's/(^SELINUX=).*/SELINUX=disabled/' /etc/sysconfig/selinux
sed -i 's/(^SELINUX=).*/SELINUX=disabled/' /etc/selinux/config

Epel репозиторий :

yum -y install epel-release

Выполните обновление системы:

yum -y update

Перезагрузите сервер:

reboot

После перезагрузки проверьте статус SELinux командой «sestatus», Вы должны увидеть следующий вывод:

SELinux status: disabledУстановка и настройка OpenVPN сервера

Установите пакет openvpn:

yum -y install openvpn

Скопируйте пример файла настройки сервера:

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/server.conf

Внесите необходимые изменения:

mcedit /etc/openvpn/server.conf

Рабочий пример конфигурации VPN сервера:

port 2086
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
tls-auth ta.key 0
cipher AES-256-CBC
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push «route 10.10.0.0 255.255.0.0»
push «route 10.8.0.0 255.255.0.0»
keepalive 5 15
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
verb 3
mute 20Установка и настройка Easy-rsa

Установите пакет easy-rsa:

yum -y install easy-rsa

Создайте директорию для хранения ключей:

mkdir -p /etc/openvpn/easy-rsa/keys

Скопируйте скрипты для генерации сертификатов и ключей:

cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa

Отредактируйте файл для создания сертификатов, укажите значение переменных, это позволит Вам экономить время и не вносить данные при каждом создании сертификатов:

mcedit /etc/openvpn/easy-rsa/vars

Список необходимых переменных:

Источник: https://a-rm.ru/materials/unix-servera/vpn-server-na-centos-7

How to configure IPSec/L2TP VPN server in CentOS 6 · theZedt

I’ve been using PPTP as a VPN solution for a while (despite is security obsolescence) however I have the feeling that one of my ISPs has started filtering and/or throttling PPTP traffic that goes outside its network.

As a result, I had to look for an alternate VPN system to use when I need to dial back to my home network while on the move to access my media library or when I require a trusted connection or a whitelisted IP.

The next best thing (and least complicated to set up going from PPTP) is IPSec/L2TP, which has built-in support in most current operating systems (including Windows, Linux and Android).

Prerequisites

Due to its double-encapsulation nature (L2TP performs the tunnelling of data and IPSec provides the encrypted channel), L2TP/IPSec has a more complex setup and configuration procedure, both for the server and the client:

  • OpenSWAN provides the IPSEC component, encapsulating packets from the client to/from the server, providing basic network connectivity and authentication.  On connection, the client provides a pre-shared key to the server, and then OpenSWAN establishes the IPSEC tunnel and passes control to xl2tpd.
  • xl2tpd provides the component which connects the two networks (the client’s and the server’s) together.  It talks to pppd to authenticate a user, and then makes that user appear on the local network as some IP in its defined range.
  • pppd provides authentication for users. 

This way, there are 2 passwords required – one for the IPSec component provided by OpenSWAN (set as the pre-shared key), and one for the actual user account which is connecting to the VPN.

The numbers used in the configurations below – adjust them to suit your specific network setup needs:

  • 192.168.1.0/24 – local LAN network range
  • 192.168.1.100 – LAN IP of VPN server (also running the DNS server)
  • 192.168.1.1 – peer local IP of the L2TP VPN
  • 192.168.1.101-120 – local IP range used for the L2TP tunnels, outside of the DHCP allocation range
  • 192.168.1.254 – router NATting internet traffic for the LAN

Packages

To set up a server on CentOS, we start by installing the necessary software:
yum install openswan xl2tpd pppd chkconfig ipsec on

chkconfig xl2tpd on

Then edit /etc/sysctl.conf and set
net.ipv4.ip_forward = 1

Edit /etc/rc.local and add the following at the end:

# Correct ICMP Redirect issues with OpenSWANfor each in /proc/sys/net/ipv4/conf/*; do   echo 0 > $each/accept_redirects   echo 0 > $each/send_redirects

IPSec

Edit /etc/ipsec.conf to contain:

   virtual_private=%v4:192.168.1.0/24   interfaces=»%defaultroute»   rightsubnet=vhost:%no,%priv   leftnexthop=%defaultroute

Next edit /etc/ipsec.secrets and define the PSK secret (preshared key as it’s named in most clients) for IPSec:

Читайте также:  Автовход в windows. настройка автоматического входа пользователя в систему.
192.168.1.1   %any:   PSK yoursecretkey

Xl2tpd

Moving on to xl2tp, edit /etc/xl2tpd/xl2tpd.conf to contain:

listen-addr = 192.168.1.1ip range = 192.168.1.101-192.168.1.120require authentication = yespppoptfile = /etc/ppp/options.xl2tpd

Then /etc/ppp/options.xl2tpd:

The last step is to edit /etc/ppp/chap-secrets and insert records for all logins allowed into the VPN:

# Secrets for authentication using CHAP# client server secret IP addressesfirstusername * firstpassword *secondusername * secondpassword *

Finalizing

Almost done. (Re)start the services:
service ipsec restart
service xl2tpd restart
And you should be able to connect from your Windows, Linux or Android clients (tutorials coming soon).

Source: this tutorial is pretty much a copy of IPSec/L2TP VPN Server on CentOS 6 (PSK)

Источник: https://zedt.eu/tech/linux/how-to-configure-ipsecl2tp-vpn-server-in-centos-6/

IPSec/L2TP VPN Server on CentOS 6 (PSK)

I’ve been using PopTop (a PPTP implementation) for quite some time now, but it appears that the PopTop Sourceforge site recently died and hasn’t come back.  In addition, PopTop hasn’t been updated in nearly five years.  Probably time to move on.

After a LOT of fighting (trying all sorts of things, including Racoon, OpenVPN, and finally OpenSWAN), I’ve got a working solution that runs fine with CentOS 6.3, and doesn’t require any funny repos or anything.

OpenSWAN + xl2tpd + PPP.  My understanding of how this stuff bolts together is a bit limited, but here goes…

Network Setup

I’m assuming the following network setup;

  • A client machine, off your network on the Internet somewhere.  You want that client to be able to get into your local network remotely and do ‘stuff’.
  • Your CentOS server has a single NIC, is running a DNS server locally, and has the IP address 192.168.1.20 .
  • You have a NATting firewall (a router) on your network at 192.168.1.254 which provides access to the Internet.
  • You have already configured port forwarding on your router to forward UDP ports 500, 4500 and 1701 to your CentOS server.
  • You want your VPN clients to appear in the IP range 192.168.1.2 – 192.168.1.10, and this range is NOT in your dhcp scope.
  • You want to use a pre-shared key to get IPSEC working (certificates later!)

Reiterating;

  • 192.168.1.0/24 – Internal LAN
  • 192.168.1.1 – Peer local IP to be used by VPN server for L2TP tunnels
  • 192.168.1.2 through 10 – Local IP range to be used for L2TP tunnels, not in DHCP scope
  • 192.168.1.20 – Private LAN interface of VPN server.
  • 192.168.1.20 – DNS server to be used by VPN clients
  • 192.168.1.254 – NATting border router

The Sequence

OpenSWAN provides the IPSEC component, encapsulating packets from the client to/from the server, providing basic network connectivity and authentication.  On connection, the client provides a pre-shared key to the server, and then OpenSWAN establishes the IPSEC tunnel and passes control to xl2tpd.

xl2tpd provides the component which connects the two disparate networks (the client’s and the server’s) together.  It talks to pppd to authenticate a user, and then makes that user appear on the local network as some IP in its defined range.

pppd provides authentication for users.  This way, there are TWO passwords required – one for the ipsec component provided by OpenSWAN, and one for the actual user account who is connecting to the VPN.

Setting it up

First, install the appropriate packages.

yum install openswan xl2tpd pppd chkconfig ipsec on chkconfig xl2tpd on

Then, edit /etc/sysctl.conf and set net.ipv4.ip_forward to 1.  Then, edit /etc/rc.local and add the following at the bottom;

Источник: https://blog.zencoffee.org/2012/10/ipsecl2tp-vpn-server-on-centos-6-psk/

Создание своего сервера VPN L2TP/IPsec за пару минут

Все еще ищите безопасный VPN? Попробуйте L2TP/IPsec!  В этой статье мы подробно расскажем вам о том как установить L2TP/IPsec на ваш сервер.

Если вам не подойдет L2TP/IPsec ниже указаны другие варианты личных VPN серверов:

Почему L2TP/IPsec?

Поддержка большинства операционных систем и безопасность использования.

Создание VPN сервера

Сервера предоставляют хостинг провайдеры, поэтому чтобы они знали с кем имеют дело, необходимо вначале зарегистрироваться.

Регистрация у Хостинг провайдера

Самые выгодные тарифы и стабильность/производительность у провайдера DigitalOcean. Переходим по данной ссылке ($10 в подарок) и регистрируемся:

  • Вводим свой Email
  • Придумываем и вводим пароль
  • Нажимаем кнопку Create an Account
  • Зайти на свой электронный почтовый ящик и закончить регистрацию, перейдя по ссылке которая была указана в письме

Регистрация закончена, переходим ко второму этапу,подключение банковской карты.

Подключение дебетовой/кредитной карточки

После регистрации вам будет необходимо ввести платежные данные, для этого у вас должна быть дебетовая/кредитная карточка с возможностью оплаты в интернете.

Все данные вводим на английском языке.

Далее переходим к третьему этапу — выбор и создание сервера.

Создание личного сервера

Теперь о том, как создать личный сервер (на данном сервере вы также можете создать сайт, либо личный облачный диск по типу Yandex Disk или DropBox), провайдер DigitalOcean называет их Droplet.

Нажмите на кнопку Create Droplet, после чего вы попадете на страницу создания конфигураций сервера:

  • в разделе Choose an image выберите дистрибутив Ubuntu (рекомендуется 16.04 x64)
  • Выбираем тарифный план $5 в месяц или 0,007 центов в час.
  • Выбираем расположение сервера, которое в дальнейшем будет эмулировать ваше расположение (если выбрать города США, то IP будет американским). Стоить также отметить, что чем ближе находиться сервер, тем быстрей у вас будут загружаться страницы и файлы.
  • В конце нажимаем кнопку CREATE чтобы создать Droplet (сервер)Создание будет происходить в течение 2-5 минут. После чего на электронную почту вам придет письмо с IP адресом сервера, логином (обычно root) и паролем.

Вы также можете узнать IP на основной странице управления Droplet.

Переходим к созданию из обычного сервера в VPN.

Создание VPN сервера

Далее мы расскажем, о том как подключиться к серверу и какие необходимо установить пакеты чтобы все заработало!

Подключение к серверу

Для того, чтобы как-то управлять сервером (командная строка), необходим какой-то инструмент, в нашем случае это утилита PuTTY, которую надо скачать и установить.

После установки запускаем PuTTY, указываем IP адрес и нажимаем кнопку OPEN

  1. Далее вам необходимо ввести логин (root)
  2. Полученный пароль, который сразу вас попросят поменять
    • password — «старый», текущий пароль
    • (Curent) UNIX password — повторить еще раз пароль
    • Enter new UNIX password — ввести новый пароль
    • Retype new Unix password — повторить новый пароль

Настройка сервера L2TP/IPsec

Для начала обновим программное обеспечение сервера Ubuntu:

sudo apt-get update && sudo apt-get upgrade -y

Загрузим и установим L2TP/IPsec на сервер:

wget https://git.io/vpnsetup -O vpnsetup.sh && sudo sh vpnsetup.sh

Когда все закончиться появиться сообщение с настройками:

IPsec VPN server is now ready for use! Connect to your new VPN with these details: Server IP: 167.99.135.217 IPsec PSK: HTnSr943UuCRGcWM Username: vpnuser Password: EEH6V3RAPrhzokDC Write these down. You'll need them to connect! Important notes: https://git.io/vpnnotes Setup VPN clients: https://git.io/vpnclients

Проверяем / настраиваем:

У вас еще остались вопросы? Пишите их в комментариях, рассказывайте, что у вас получилось или наоборот!

Вот и все! Больше полезных статей и инструкций читайте в разделе Статьи и Хаки Android. Оставайтесь вместе с сайтом Android +1, дальше будет еще интересней!

Источник: https://androidp1.ru/sozdanie-svoego-servera-vpn-l2tp-ipsec-za-paru-minut/

Установка и настройка l2tp + ipsec на Debian/Ubuntu + Iphone/Mac для VPN

Итак, есть задача установить данную связку для использования защищенного VPN соединения на любых устройствах через использование учетной записи.

Прежде, чем изучать данный мануал, крайне рекомендуем прочесть данную статью! Тогда установка займет всего пару минут.

apt-get install openswan xl2tpd

(при запросе об установке сертификата ответьте «нет» и в следующих окнах тоже)

Содержимое файла nano /etc/ipsec.conf должно выглядеть так (отступы важны!!!)

config setup    nat_traversal=yes    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12    oe=off    protostack=netkeyconn L2TP-PSK-NAT    rightsubnet=vhost:%priv    also=L2TP-PSK-noNATconn L2TP-PSK-noNAT    authby=secret    pfs=no    auto=add    keyingtries=3    rekey=no    ikelifetime=8h    keylife=1h    type=transport    left=SERVER.IP    leftprotoport=17/1701    right=%any    rightprotoport=17/%any

Ставим ключ шифрования для IPSec

Конфигурация доступа к серверу по IPSec:

nano /etc/ipsec.secrets

Cодержимое:

SERVER.IP %any: PSK «YourSharedSecret»

Скрипт для настройки сети

Дополнительные настройки:

nano /root/ipsec

Добавляем содержимое:

iptables —table nat —append POSTROUTING —jump MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done /etc/init.d/ipsec restart

Делаем скрипт исполняемым:

chmod +x /root/ipsec

Добавляем в rc.local и запускаем:

sh /root/ipsec

Настройка l2tp

nano /etc/xl2tpd/xl2tpd.conf

Содержимое:

[global] ipsec saref = yes [lns default] ip range = 10.1.2.2-10.1.2.255 local ip = 10.1.2.1 refuse chap = yes refuse pap = yes require authentication = yes ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes

Настройка ppp авторизации

Дополнительные настройки:

nano /etc/ppp/options.xl2tpd

Содержимое:

require-mschap-v2 ms-dns 8.8.8.8 ms-dns 8.8.4.4 asyncmap 0 auth crtscts lock hide-password modem debug name VPN proxyarp lcp-echo-interval 30 lcp-echo-failure 4

Добавляем пользователей:

nano /etc/ppp/chap-secrets

И указываем его пароль:

test VPN password *

Рестартуем все сервисы:

/etc/init.d/ipsec restart/etc/init.d/xl2tpd restart

Проверяем работу

ipsec verify

  • Tweet
  • Share 0
  • +1
  • LinkedIn 0
  • VKontakte

Источник: https://AdminVPS.ru/blog/ustanovka-i-nastrojka-l2tp-ipsec-na-debian-ubuntu-iphone-mac-dlya-vpn/

Ссылка на основную публикацию