使用strongswan/xl2tpd建立ipsec/l2tp服务器

sudo apt-get install strongswan xl2tpd ppp

/etc/ipsec.conf

conn L2TP-PSK

type=transport

authby=psk

keyexchange=ikev1

keyingtries=3

rekey=no

left=192.168.5.105

right=%any

auto=add

/etc/ipsec.secrets

: PSK "12345678"

/etc/xl2tpd/xl2tpd.conf

[lns default] ; Our fallthrough LNS definition

ip range = 192.168.2.2-192.168.2.20 ; * Allocate from this IP range

local ip = 192.168.2.1 ; * Our local IP to use

length bit = yes ; * Use length bit in payload?

name = l2tpd ; * Report this as our hostname

ppp debug = yes ; * Turn on PPP debugging

pppoptfile = /etc/ppp/options.l2tpd ; * ppp options file

 

/etc/ppp/options.l2tpd

require-mschap-v2

ms-dns 8.8.4.4

lcp-echo-interval 10

lcp-echo-failure 3

noauth

refuse-pap

refuse-eap

refuse-chap

refuse-mschap

debug

logfile /var/log/xl2tpd.log

 

L2TP是个隧道协议，使用UDP发送数据，默认使用端口1701。

xl2tpd软件是L2TP的实现，xl2tpd在使用L2TP建立隧道后，通过隧道中的数据再使用PPP协议传输。虽然理论上L2TP隧道可以传输其它协议的数据，但目前xl2tpd只支持PPP协议。

L2TP虽然有自己的认证方式，但方式有限，只有CHAP形式，不方便使用。

PPP协议认证方式支持较多，比如PAP、CHAP、MS-CHAP、EAP等。

所以xl2tpd中，推荐使用PPP协议完成认证。

l2tp只能使用ikev1,l2tp连接时先通过ikev1协商建立ipsec连接,然后自动建立一个对1701端口数据加密的ipsec策略，之后在1701端口上进行l2tp认证并建立l2tp隧道。ike使用udp500端口,nato-t使用udp4500端口,l2tp使用1701端口

/etc/ppp/chap-secrets

test l2tpd abcd1987 *

 

sudo service xl2tpd restart

ipsec restart

sudo ipsec restart

ufw allow 4500

ufw allow 1701

ufw alow 500

这样配置下来ipsec是可以单独使用的，只是没有了l2tp的隧道功能，在linux上可能l2tp也能独立使用，但是在其它设备上必须先连接ipsec,然后才能连接l2tp