网站有很多类似文章介绍,但是对于初学者,这些文章很多都是不够全面,介绍得不够完成, 以致很多朋友走了弯路,不断测试仍找不到解决的办法。番禺网站建设对此将进行补充,进行全面的介绍。当然,Linux最基本的操作还是需要会,例如vi的使用,否则无法进行。
一、安装基本环境
wget http://www.py162.com/linux/vpn/vpn_centos6.sh
sh vpn_centos6.sh
输入1,回车。
注意:如果输入wget没有安装,可以先执行:yum -y install wget进行安装。
wget http://www.py162.com/linux/vpn/l2tp_centos.sh
sh l2tp_centos.sh
输入1,回车。
wget http://www.py162.com/linux/vpn/l2.sh
sh l2.sh
会提示输入IP范围,这个可不必理会,直接回车即可。(默认是10.0.99.0网段)
然后提提示输入共享密钥PSK,这个我们假设输入py162,这个后期可以通过vi /etc/ipsec.secrets进行修改。
这一步有可能会有些久,因为需要更新系统补丁程序等等,待完成后才能操作下一步。
yum -y install xl2tpd
如果执行出错显示找不到软件,请先执行以下命令,安装第三方软件库EPEL
rpm -ivh http://www.py162.com/linux/vpn/epel-release-6-8.noarch.rpm
二、配置基本设置
软件安装之后,并不能马上使用,还需要进行以下配置:
1、修改ipsec配置文件中的IP地址,需要改为服务器的外网地址:
vi /etc/ipsec.conf
------以下是文件的部份内容-------
config setup
nat_traversal=yes
virtual_private=%v4:10.0.99.0/24,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=$py162.com #这里$py162.com写服务器公网IP地址
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
------------------------------
修改后重启ipsec
service ipsec restart
2、修改/etc/sysctl.conf,开启路由功能
vi /etc/sysctl.conf
------以下是文件的部份内容-------
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
------------------------------
改为:
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
修改后让配置生效:
sysctl -p
service ipsec start
ipsec verify
3、修改最关键的iptables配置,很多介绍就是缺少这步,虽然上面所做的操作可以验证进入vpn主机,但是无法访问外网,原因就在这里。
iptables -t nat -A POSTROUTING -s 10.0.99.0/24 -o eth0 -j MASQUERADE
iptables -I FORWARD -s 10.0.99.0/24 -j ACCEPT
iptables -I FORWARD -d 10.0.99.0/24 -j ACCEPT
照操作就可以,然后重新一下iptables
service iptables restart
最后,提醒一下,最好进入iptables文件,检查一下配置,全面检查一下。
vi /etc/sysconfig/iptables
------以下是正确配置的内容-------
# Generated by iptables-save v1.4.7 on Wed Jan 28 16:40:08 2015
*filter
:INPUT ACCEPT [2:88]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:180]
-A FORWARD -s 10.0.99.0(VPN网段)/24 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --set-mss 1356
COMMIT
# Completed on Wed Jan 28 16:40:08 2015
# Generated by iptables-save v1.4.7 on Wed Jan 28 16:40:08 2015
*nat
:PREROUTING ACCEPT [3:170]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.0.99.0(VPN网段)/24 -j SNAT --to-source 162.251.20.52(这里是公网ip)
COMMIT
# Completed on Wed Jan 28 16:40:08 2015
最后,再提一下,增加、修改vpn拔号的用户名、密码和密钥的方法:
1、修改拔号的用户名和密码:
vi /etc/ppp/chap-secrets
格式是:用户名 * "密码" *
2、修改密钥:
vi /etc/ipsec.secrets
格式是:您服务器的公网ip %any: PSK "您的共享密钥"
如果最后仍上不了网,可以试下再执行一次:
sh l2.sh
再配置一下/etc/ipsec.conf中的服务器IP地址,再重新一次服务看看
vi /etc/ipsec.conf
service ipsec restart
如果安装的过程中,仍有问题,欢迎与我们官网在线客服联系。我们可以提供免费的基本测试。