Secrets for authentication using CHAP

CentOS 7下搭建IPsec/L2TP VPN服务详解：从零开始配置安全远程访问

在现代企业网络环境中,远程办公已成为常态，而安全可靠的虚拟私人网络（VPN）是保障数据传输机密性和完整性的关键，对于使用CentOS 7作为服务器操作系统的管理员而言，构建一个稳定、安全的IPsec/L2TP VPN服务是一个实用且常见的需求，本文将详细介绍如何在CentOS 7系统中部署并配置IPsec与L2TP结合的VPN服务，帮助用户实现跨地域的安全访问。

确保你的CentOS 7服务器已安装并更新至最新版本，登录服务器后，执行以下命令更新系统：

sudo yum update -y

安装必要的软件包,我们主要依赖两个组件：StrongSwan用于IPsec协议栈，以及xl2tpd用于L2TP隧道协议，运行以下命令安装：

sudo yum install -y strongswan xl2tpd

安装完成后,需要配置IPsec，编辑StrongSwan主配置文件 /etc/strongswan.conf，确保核心模块和插件加载正确，关键配置如下：

charon {
    load_modular = yes
    plugins {
        attr {
            default = yes
        }
        xauth {
            default = yes
        }
    }
}

配置IPsec连接策略,创建文件 /etc/ipsec.d/l2tp.conf如下：

conn l2tp-psk
    left=%any
    leftid=@your-server-domain.com
    right=%any
    rightid=%any
    auto=add
    authby=secret
    pfs=yes
    type=transport
    keylife=20m
    rekey=no
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!

leftid应替换为你的公网IP或域名，rightid表示客户端身份标识，注意，authby=secret 表示使用预共享密钥（PSK）进行认证，这是最简单但有效的验证方式。

设置预共享密钥,编辑文件 /etc/ipsec.secrets，添加如下内容：

@your-server-domain.com %any : PSK "your-secure-psk-here"

保存后,重启IPsec服务以使配置生效：

sudo systemctl restart ipsec
sudo systemctl enable ipsec

现在配置L2TP部分,编辑 /etc/xl2tpd/xl2tpd.conf如下：

[global]
port = 1701
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes

此配置定义了L2TP隧道分配的私有IP地址段,并启用CHAP认证机制，需创建 /etc/ppp/options.l2tpd 文件，指定PPP选项：

noauth
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
lock
ncomp

配置用户账号,编辑 /etc/ppp/chap-secrets 文件，格式为：

替换 username 和 password 为你希望分配给用户的凭据。

完成所有配置后,启动xl2tpd服务：

sudo systemctl start xl2tpd
sudo systemctl enable xl2tpd

为了允许流量通过防火墙,还需配置iptables或firewalld规则，开放UDP端口500（IKE）、4500（NAT-T），以及L2TP使用的1701端口：

sudo firewall-cmd --add-port=500/udp --permanent
sudo firewall-cmd --add-port=4500/udp --permanent
sudo firewall-cmd --add-port=1701/udp --permanent
sudo firewall-cmd --reload

至此,一个基于CentOS 7的IPsec/L2TP VPN服务已成功部署，客户端可通过Windows、iOS或Android设备连接，输入服务器IP、预共享密钥及用户名密码即可建立安全隧道，该方案兼顾安全性与兼容性，适合中小型企业或个人用户远程接入内网资源，建议定期更新证书、强化密码策略，并监控日志以防范潜在风险。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速