Your server IP or domain name

CentOS 6下搭建L2TP/IPsec VPN服务详解与配置实战

在企业网络环境中,远程访问内网资源是常见需求，对于仍在使用较老版本Linux系统的用户（如CentOS 6），搭建L2TP/IPsec类型的VPN服务仍然是一个高效、安全且稳定的解决方案，本文将详细介绍如何在CentOS 6系统上部署并配置L2TP/IPsec虚拟私有网络（VPN）服务，适用于需要远程办公或站点间互联的场景。

确保你拥有一个运行CentOS 6的服务器，并具备root权限，本教程基于CentOS 6.9版本，其他相近版本也可参考此流程，系统需具备公网IP地址，以便外部客户端能够连接。

第一步：安装必要的软件包
L2TP/IPsec依赖于两个核心组件：IPsec用于加密隧道，L2TP协议用于数据传输，我们使用strongSwan作为IPsec后端，xl2tpd作为L2TP守护进程。

yum update -y
yum install -y xl2tpd strongswan openssl-devel libreswan

第二步：配置IPsec（StrongSwan）
编辑 /etc/ipsec.conf 文件：

config setup
    plutodebug=control
    protostack=netkey
    uniqueids=no
conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ike
    authby=secret
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
conn l2tp-psk
    right=%any
    left=%defaultroute
    leftid=@your-server-ip.com  # 替换为你的服务器公网IP或域名
    rightsubnet=vhost:%priv
    auto=add
    type=transport
    authby=secret
    pfs=yes
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear

接着配置共享密钥文件 /etc/ipsec.secrets：

注意：请务必设置一个强密码（建议12位以上，含大小写字母和数字），避免被暴力破解。

第三步：配置L2TP守护进程（xl2tpd）
编辑 /etc/xl2tpd/xl2tpd.conf：

[global]
port = 1701
listen-addr = your-server-ip.com  # 服务器公网IP
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tp-server
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

第四步：设置PPP选项
创建 /etc/ppp/options.xl2tpd 文件：

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
modem
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

第五步：添加用户账号
编辑 /etc/ppp/chap-secrets：

# client     server     secret                     IP addresses
user1        l2tp-server  password123                 *

第六步：启动服务并开放防火墙端口
启用IPsec和L2TP服务：

service ipsec start
chkconfig ipsec on
service xl2tpd start
chkconfig xl2tpd on

开放必要端口（iptables）：

iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
service iptables save

最后一步：测试连接
使用Windows或iOS/Android设备配置L2TP/IPsec连接，输入服务器IP、用户名和密码即可成功接入，若连接失败，请检查日志：

• tail -f /var/log/messages 查看IPsec日志
• tail -f /var/log/xl2tpd.log 查看L2TP状态

注意事项：

• CentOS 6已停止官方支持（2024年已结束），建议尽快升级到CentOS Stream或RHEL 8+以获得安全性保障。
• 若用于生产环境,应结合证书认证替代PSK，提升安全性。

通过上述步骤,即可在CentOS 6上快速搭建稳定可靠的L2TP/IPsec VPN服务，满足中小型企业远程接入需求。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN