启用L2TP/IPsec

CentOS 7下搭建IPsec/L2TP VPN服务详解：从零开始实现安全远程访问

在现代企业网络环境中，远程办公已成为常态，而安全可靠的虚拟私人网络（VPN）是保障数据传输机密性和完整性的关键手段，CentOS 7作为一款稳定、广泛应用于生产环境的Linux发行版，非常适合用来搭建企业级VPN服务器，本文将详细介绍如何在CentOS 7系统中部署基于IPsec/L2TP协议的VPN服务,确保用户能够通过加密通道安全地访问内网资源。

确保你已准备好一台运行CentOS 7的物理或虚拟服务器，并拥有root权限，建议使用静态IP地址，避免因IP变动导致连接失败,安装前请更新系统软件包：

yum update -y

第一步：安装必要的软件包
我们需要安装StrongSwan（IPsec实现）和XL2TPD（L2TP守护进程）,以及相关的依赖项：

yum install -y strongswan xl2tpd iptables-services

第二步：配置IPsec（StrongSwan）
编辑主配置文件 /etc/strongswan.conf,添加以下内容以启用L2TP支持：

charon {
    load_modular = yes
    plugins {
        include strongswan.d/strongswan.conf
    }
}
ipsec {
    left = YOUR_PUBLIC_IP
    leftid = %any
    leftauth = psk
    right = %any
    rightauth = psk
    rightsourceip = 192.168.100.0/24
    auto = route
}

YOUR_PUBLIC_IP 替换为你的服务器公网IP，rightsourceip 是分配给客户端的IP段（可自定义）。

第三步：设置预共享密钥（PSK）
编辑 /etc/ipsec.secrets 文件,添加如下行：

%any %any : PSK "your_strong_pre_shared_key"

注意：your_strong_pre_shared_key 应是一个强密码,用于客户端认证。

第四步：配置XL2TPD
编辑 /etc/xl2tpd/xl2tpd.conf,添加以下内容：

[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

第五步：设置PPP选项
创建 /etc/ppp/options.xl2tpd 文件,内容如下：

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

第六步：配置用户账户
在 /etc/ppp/chap-secrets 中添加用户凭证：

"username" l2tpd "password" *

格式为：用户名、服务名（固定为l2tpd）、密码、允许访问的IP（*表示任意）。

第七步：启用并启动服务

systemctl enable strongswan xl2tpd
systemctl start strongswan xl2tpd

第八步：配置防火墙（iptables）
开放必要端口：

iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
service iptables save

替换 eth0 为你的外网接口名称（可用 ip addr 查看）。

第九步：启用IP转发
编辑 /etc/sysctl.conf,取消注释：

net.ipv4.ip_forward = 1

执行 sysctl -p 生效。

至此，CentOS 7上的IPsec/L2TP VPN服务已成功部署，客户端可通过Windows、Android或iOS设备连接，输入服务器IP、预共享密钥和用户名密码即可建立安全隧道，该方案兼顾了兼容性与安全性，适合中小型企业快速构建远程访问基础设施,后续可结合日志分析和监控工具进一步优化运维效率。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN