PPP options for L2TP

在 CentOS 6.8 系统上搭建 IPsec + L2TP / IKEv1 虚拟私有网络（VPN）服务指南

在企业网络或远程办公场景中,安全可靠的虚拟私有网络（VPN）是保障数据传输机密性与完整性的关键手段，CentOS 6.8 作为一款稳定、开源且广泛部署的 Linux 发行版，尽管已进入 EOL（生命周期结束），但在某些遗留系统或特定环境中仍被使用，本文将详细介绍如何在 CentOS 6.8 上搭建基于 IPsec + L2TP / IKEv1 协议的 VPN 服务，适用于需要兼容旧设备或操作系统（如 Windows XP/7/8、iOS、Android 等）的用户。

环境准备
确保服务器满足以下条件：

• 操作系统：CentOS 6.8 x86_64（内核版本建议 ≥ 2.6.32）
• 静态公网 IP 地址（用于客户端连接）
• 已安装基础开发工具包：yum groupinstall "Development Tools"
• 关闭防火墙或配置规则允许以下端口：UDP 500（IKE）、UDP 4500（NAT-T）、UDP 1701（L2TP）

安装必要软件包
首先更新系统并安装所需组件：

yum update -y
yum install -y xl2tpd ipsec-tools openssl-devel libreswan

注意：CentOS 6.8 的默认仓库中可能没有最新版 libreswan，可考虑从源码编译安装（推荐版本 3.x）以支持更完整的 IPsec 功能。

配置 IPsec（StrongSwan 或 Libreswan）
编辑 /etc/ipsec.conf 文件：

config setup
    protostack=netkey
    plutodebug=all
    dumpdir=/var/run/pluto/
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    plutowait=5s
conn l2tp-psk
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    left=%any
    leftid=@your-server.com
    leftprotoport=17/udp
    right=%any
    rightprotoport=17/udp
    type=transport
    dpddelay=10
    dpdtimeout=60
    dpdaction=clear

创建共享密钥文件 /etc/ipsec.secrets：

%any %any : PSK "your-strong-pre-shared-key"

配置 L2TP 服务
编辑 /etc/xl2tpd/xl2tpd.conf：

[global]
listen-addr = your_server_ip
ipsec saref = yes
[lns default]
refuse-pap = yes
refuse-chap = yes
refuse-mschap = yes
require-auth = no
name = l2tpd
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

创建 /etc/ppp/options.xl2tpd：

noauth
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
debug

添加用户认证
在 /etc/ppp/chap-secrets 中添加用户名和密码：

username * password *

启动服务并设置开机自启

service ipsec start
chkconfig ipsec on
service xl2tpd start
chkconfig xl2tpd on

验证与测试

• 使用 ipsec status 查看状态是否正常
• 客户端连接时需输入：
  • 服务器地址：你的公网IP
  • 用户名/密码：对应 chap-secrets 中的账号
  • 预共享密钥：与 ipsec.secrets 一致

注意事项

• 若服务器位于 NAT 后，需配置端口映射（如路由器）
• 建议启用日志监控（/var/log/messages）排查连接失败问题
• 对于生产环境,应考虑升级至 CentOS 7+/8+ 并使用更现代的 WireGuard 或 OpenVPN 方案

通过以上步骤,即可在 CentOS 6.8 上成功搭建一个功能完整的 IPsec/L2TP VPN 服务，为远程用户提供加密隧道访问内部资源的能力，虽然该系统已不再受官方支持，但其稳定性仍适合特定遗留场景部署。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN