CentOS 系统搭建 L2TP/IPsec VPN 服务完整指南:从配置到安全优化

在现代企业网络架构中,远程访问和安全通信变得日益重要,L2TP(Layer 2 Tunneling Protocol)结合 IPsec(Internet Protocol Security)是一种广泛采用的虚拟私人网络(VPN)解决方案,尤其适合在 CentOS 这类稳定、开源的操作系统上部署,本文将详细介绍如何在 CentOS 7 或 8 系统中搭建一个功能完整的 L2TP/IPsec VPN 服务,涵盖安装、配置、用户管理及常见问题排查。

确保你的 CentOS 系统已更新至最新版本,并具备公网 IP 地址(用于外网访问),建议使用最小化安装以减少潜在漏洞,安装前需确认系统防火墙(firewalld)已启用,并开放必要的端口:UDP 500(IKE)、UDP 4500(IPsec NAT-T)、UDP 1701(L2TP)以及 TCP 22(SSH)用于管理。

第一步是安装所需软件包,执行以下命令:

sudo yum install -y xl2tpd iptables-services firewalld

为支持 IPsec 协议,需安装 StrongSwan:

sudo yum install -y strongswan strongswan-plugins-ipsec

接下来配置 IPsec,编辑 /etc/strongswan/ipsec.conf 文件,内容如下:

config setup
    charondebug="ike 1, knl 1, cfg 1"
    uniqueids=yes
conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ike
    authby=secret
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
conn l2tp-psk
    left=%any
    leftid=@your-domain.com
    right=%any
    rightsubnet=192.168.100.0/24
    auto=add
    type=transport
    also=l2tp

注意:leftid 应替换为你的域名或服务器标识,便于客户端识别。

然后设置预共享密钥(PSK),编辑 /etc/strongswan/ipsec.secrets

%any %any : PSK "your_strong_pre_shared_key"

请务必使用强密码(如 A1b2C3d4!@# 类型)并妥善保管。

下一步配置 L2TP 服务,编辑 /etc/xl2tpd/xl2tpd.conf

[global]
port = 1701
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tp-server
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

创建 PPP 选项文件 /etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
noauth
mtu 1400
mru 1400
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

添加用户账号,编辑 /etc/ppp/chap-secrets



启动服务并设置开机自启:



sudo systemctl enable strongswan xl2tpd firewalld
sudo systemctl start strongswan xl2tpd


配置防火墙规则(以 firewalld 为例):



sudo firewall-cmd --permanent --add-port=500/udp
sudo firewall-cmd --permanent --add-port=4500/udp
sudo firewall-cmd --permanent --add-port=1701/udp
sudo firewall-cmd --reload


开启内核转发:



echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p


完成上述步骤后,可在 Windows 或 Linux 客户端通过“连接到工作场所”方式添加 L2TP/IPsec 连接,输入服务器 IP、用户名和密码即可接入。



安全提示:定期更换 PSK 密码,启用日志监控(如 journalctl -u strongswan),并考虑使用证书认证替代 PSK 提升安全性,限制允许连接的 IP 段可进一步增强防护。



通过以上配置,你已在 CentOS 上成功部署了一个高性能、高可用的 L2TP/IPsec VPN 服务,适用于远程办公、分支机构互联等场景。


client server secret IP addresses  第1张


VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN