Table des matières
Construction de l'environnement CentOS_7
2. Modifier le fichier de configuration IPsec
3. Créer un fichier de configuration associé aux services IPsec et L2TP
4. Créez un fichier pour enregistrer la clé pré-partagée
5. Définir le compte l2tp et d'autres informations
6. Modifier les paramètres du noyau
7. Modifier le fichier de configuration L2TP
8. Modifier la configuration de sécurité
9. Installer et configurer des règles de pare-feu
10. Vérifiez si les trois services d'iptables, ipsec et xl2tpd fonctionnent normalement
Problèmes pouvant être rencontrés dans la construction de l'environnement CentOS_7
1. Commandes courantes du serveur l2tp
2. Le serveur l2tp ne démarre pas après le redémarrage de la machine virtuelle
Configuration de l'interface de gestion du routeur
Vérifiez que la connexion est réussie
Construction de l'environnement CentOS_7
1. Installez l2tpd
(1) Installer la source EPEL
yum install -y epel-release
// Packages supplémentaires pour Enterprise Linux, lors de l'installation de yum sous Centos, le rpm est souvent introuvable et les packages rpm fournis par le référentiel rpm officiel ne sont pas assez riches. EPEL est un projet créé par la communauté Fedora pour fournir des packages logiciels de haute qualité pour RHEL et les distributions dérivées telles que CentOS et Scientific Linux. Équivalent à une source tierce.
(2) Installer xl2tpd
miam installer xl2tpd
// Installer xl2tpd
(3) Installer libreswan
yum install -y libreswan
//LibreSwan est une implémentation open source du protocole IPsec. Il prend en charge l'authentification basée sur une clé pré-partagée, l'authentification basée sur une clé publique, l'échange de clés de version IKE v1/v2, la bibliothèque de chiffrement NSS et Xauth et DNSSec. Le package libreswan est fourni dans le référentiel yum du système CentOS. (IPsec)
2. Modifier le fichier de configuration IPsec
sudo vim /etc/ipsec.conf
// Modifiez le fichier de configuration ipsec, ajoutez la commande suivante :
3. Créer un fichier de configuration associé aux services IPsec et L2TP
vim /etc/ipsec.d/l2tp_psk.conf
// Créer un fichier de configuration associé aux services IPsec et L2TP dans le répertoire /etc/ipsec.d/
connexion L2TP-PSK-NAT
rightsubnet=vhost:%priv
aussi=L2TP-PSK-noNAT
connexion L2TP-PSK-noNAT
authby=secret
pfs=non
automatique=ajouter
tentatives de saisie=3
dpddelay=30
dpdtimeout=120
dpdaction=effacer
reclé=non
ikelifetime=8h
durée de vie = 1h
genre=transport
left=10.0.30.177 # IP de la carte réseau
gaucheprotoport=17/1701
droite=%tout
rightprotoport=17/%any
//Le paramètre de gauche est l'adresse IP de la carte réseau publique
4. Créez un fichier pour enregistrer la clé pré-partagée
vim /etc/ipsec.d/ipsec.secrets
// Crée un fichier pour enregistrer la clé pré-partagée dans le répertoire /etc/ipsec.d/
: PSK "123456"
// La clé pré-partagée entre guillemets doubles peut être définie par vous-même
5. Définir le compte l2tp et d'autres informations
vim /etc/ppp/chap-secrets
// Retrouver le paramètre correspondant et le modifier comme suit :
// Nom d'utilisateur : vpnuser
// Mot de passe : 123456
6. Modifier les paramètres du noyau
(1) Modifier le fichier de support du noyau de sysctl
vim /etc/sysctl.conf
// Modification du fichier de support du noyau de sysctl
// Ajoute la configuration suivante au fichier
sysctl-p
// Recharge le fichier de configuration pour que la configuration prenne effet
(2) Vérifier la configuration du service IPsec
vérification ipsec
// Vérifier la configuration du service ipsec
vim /etc/sysctl.conf
// Modifier à nouveau le fichier de support du noyau de sysctl
// Ajoute l'item d'erreur ENABLED au fichier
net.ipv4.conf.ens33.rp_filter = 0
net.ipv4.conf.virbr0.rp_filter = 0
net.ipv4.conf.virbr0-nic.rp_filter = 0
sysctl-p
// Rechargez à nouveau le fichier de configuration pour que la configuration prenne effet
vérification ipsec
// Vérifiez à nouveau la configuration du service ipsec pour confirmer qu'il n'y a pas d'élément d'erreur
(3) Redémarrez le service IPsec
systemctl redémarrer ipsec
// Redémarrer le service IPsec
7. Modifier le fichier de configuration L2TP
vim /etc/xl2tpd/xl2tpd.conf
// Modifier l'adresse de la carte réseau de monitoring :
// Modifier le segment d'adresse alloué :
8. Modifier la configuration de sécurité
// Modification de la configuration de sécurité dans le fichier de configuration xl2tpd
// Modifiez les paramètres suivants :
9. Installer et configurer des règles de pare-feu
(1) Arrêtez le service firewalld et désactivez
systemctl arrêter le pare-feu
masque systemctl pare-feu
(2) Installer le service iptables
miam installer iptables-services
(3) Configurer les règles iptables
// Utilisez ifconfig pour afficher la carte réseau
sudo iptables -t nat -A POSTROUTING -s 192.168.7.10/24 -o ens33 -j MASQUERADE
sudo iptables -I FORWARD -s 192.168.7.10/24 -j ACCEPTER
sudo iptables -I FORWARD -d 192.168.7.10/24 -j ACCEPTER
sudo iptables -A ENTRÉE -p udp -m politique --dir in --pol ipsec -m udp --dport 1701 -j ACCEPTER
sudo iptables -A ENTRÉE -p udp -m udp --dport 1701 -j ACCEPTER
sudo iptables -A ENTRÉE -p udp -m udp --dport 500 -j ACCEPTER
sudo iptables -A ENTRÉE -p udp -m udp --dport 4500 -j ACCEPTER
sudo iptables -A ENTRÉE -p esp -j ACCEPTER
sudo iptables -A ENTRÉE -m politique --dir in --pol ipsec -j ACCEPTER
sudo iptables -A FORWARD -i ppp+ -m state --state NOUVEAU, CONNEXE, ÉTABLI -j ACCEPTER
sudo iptables -A FORWARD -m state --state RELATED,ETABLISHED -j ACCEPT
// Les informations transmises par NAT sont modifiées en fonction de votre configuration précédente et votre propre carte réseau peut être visualisée via ifconfig. 192.168.7.10 est l'adresse IP locale définie à l'étape précédente 7
(4) Enregistrer les règles iptables
service iptables enregistrer
(5) Redémarrez le pare-feu
systemctl redémarrer iptables
10. Vérifiez si les trois services d'iptables, ipsec et xl2tpd fonctionnent normalement
(1) Vérifiez le service iptables
iptables d'état systemctl
(2) Vérifier le service ipsec
état systemctl ipsec
(3) Vérifiez le service xl2tpd
statut systemctl xl2tpd
Problèmes pouvant être rencontrés dans la construction de l'environnement CentOS_7
1. Commandes courantes du serveur l2tp
systemctl démarrer xl2tpd démarrer le service xl2tp
systemctl activer xl2tpd définir l'auto-démarrage au démarrage
systemctl redémarrer xl2tpd redémarrer le service pptpd
état systemctl xl2tpd afficher l'état
2. Le serveur l2tp ne démarre pas après le redémarrage de la machine virtuelle
systemctl démarrer xl2tpd démarrer le service xl2tp
Étapes de test (vous pouvez utiliser un routeur avec fonction L2TP pour vérifier si le serveur L2TP est configuré avec succès)
Configuration de l'interface de gestion du routeur
// Utilisez ifconfig pour afficher le serveur l2tp
// Configurer le serveur et le compte L2TP sur l'interface WebUI
Vérifiez que la connexion est réussie
// Lorsque le client se connecte via le protocole l2tp, CentOS peut voir les informations de connexion via ifconfig ou ip add
// ifconfig sous le port série peut interroger les informations l2tp-vpn
