在Ubuntu下配置L2TP VPN

安装软件包

1. sudo apt-get install xl2tpd openswan ppp

IPSec / Openswan

打开 /etc/ipsec.conf 文件，做如下配置：

1. config setup
2. nat_traversal=yes
3. virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.152.2.0/24
4. # 这里包含的网络地址允许配置为远程客户端所在的子网。换句话说，
5. # 这些地址范围应该是你的NAT路由器后面的客户端的地址。
6. oe=off
7. protostack=netkey
9. conn L2TP-PSK-NAT
10. rightsubnet=vhost:%priv
11. also=L2TP-PSK-noNAT
13. conn L2TP-PSK-noNAT
14. authby=secret
15. pfs=no
16. auto=add
17. keyingtries=3
18. rekey=no
19. # Apple 的 iOS 不会发送 delete 提醒，
20. # 所以我们需要通过死亡对端（dead peer）检测来识别断掉的客户端
21. dpddelay=30
22. dpdtimeout=120
23. dpdaction=clear
24. # 设置 ikelifetime 和 keylife 和 Windows 的默认设置一致
25. ikelifetime=8h
26. keylife=1h
27. type=transport
28. # 替换 IP 地址为你的本地IP （一般是，私有地址、NAT内的地址）
29. left=x.x.x.x
30. # 用于升级过的 Windows 2000/XP 客户端
31. leftprotoport=17/1701
32. # 要支持老的客户端，需要设置 leftprotoport=17/%any
33. right=%any
34. rightprotoport=17/%any
35. # 强制所有连接都NAT，因为 iOS
36. forceencaps=yes

 注意你的ipsec.conf文件，"config setup" 和 "L2TP-PSK-NAT"、 "L2TP-PSK-NAT"应该顶着行头写，而其它行应该以8个空格缩进。

打开 /etc/ipsec.secrets，配置：

1. x.x.x.x %any: PSK "somegoodpassword"

 这里x.x.x.x 替换为你的服务器的IP地址，并设置一个复杂的密码。

启动 IPSEC 服务：

1. /etc/init.d/ipsec start

 使用如下命令确认 ipsec 是否工作正常：

1. sudo ipsec verify

应该没有任何错误才行：

1. Checking your system to see ifIPsec got installed and started correctly:
2. Version check and ipsec on-path [OK]
3. LinuxOpenswan U2.6.28/K2.6.32-32-generic-pae (netkey)
4. CheckingforIPsec support in kernel [OK]
5. NETKEY detected, testing for disabled ICMP send_redirects [OK]
6. NETKEY detected, testing for disabled ICMP accept_redirects [OK]
7. Checking that pluto is running [OK]
8. Pluto listening for IKE on udp 500[OK]
9. Pluto listening for NAT-T on udp 4500[OK]
10. Checkingfor'ip' command [OK]
11. Checkingfor'iptables' command [OK]
12. OpportunisticEncryptionSupport[DISABLED]

 在 /etc/init.d 下创建一个名为 ipsec.vpn 的文件，内容如下：

1. case"$1"in
2. start)
3. echo "Starting my Ipsec VPN"
4. iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24-j MASQUERADE
5. echo 1>/proc/sys/net/ipv4/ip_forward
6. for each in/proc/sys/net/ipv4/conf/*
7. do
8. echo 0 > $each/accept_redirects
9. echo 0 > $each/send_redirects
10. done
11. /etc/init.d/ipsec start
12. /etc/init.d/xl2tpd start
13. ;;
14. stop)
15. echo "Stopping my Ipsec VPN"
16. iptables --table nat --flush
17. echo 0 > /proc/sys/net/ipv4/ip_forward
18. /etc/init.d/ipsec stop
19. /etc/init.d/xl2tpd stop
20. ;;
21. restart)
22. echo "Restarting my Ipsec VPN"
23. iptables -t nat -A POSTROUTING -o eth0 -s 10.152.2.0/24 -j MASQUERADE
24. echo 1 > /proc/sys/net/ipv4/ip_forward
25. for each in /proc/sys/net/ipv4/conf/*
26. do
27. echo 0 > $each/accept_redirects
28. echo 0 > $each/send_redirects
29. done
30. /etc/init.d/ipsec restart
31. /etc/init.d/xl2tpd restart
32. ;;
33. *)
34. echo "Usage: /etc/init.d/ipsec.vpn {start|stop|restart}"
35. exit 1
36. ;;
37. esac

这会配置防火墙转发。记得修改上面文件的本地IP地址池10.152.2.0/24为你自己的。

然后给这个文件设置可执行权限：

1. sudo chmod 755 ipsec.vpn

禁止默认的 ipsec 服务脚本运行：

1. sudo update-rc.d -f ipsec remove

然后，启用我们刚才定制的这个：

1. sudo update-rc.d ipsec.vpn defaults

L2TP

修改 /etc/xl2tpd/xl2tpd.conf ：

1. [global]
2. ipsec saref =no
4. [lns default]
5. ip range =10.152.2.2-10.152.2.254
6. local ip =10.152.2.1
7. require chap = yes
8. refuse pap = yes
9. require authentication = yes
10. ppp debug = yes
11. pppoptfile =/etc/ppp/options.xl2tpd
12. length bit = yes

 配置说明如下：

• ip range = 可以连接VPN服务的客户端IP地址范围
• local ip = VPN 服务器的IP，必须在客户端IP范围之外
• refuse pap = 拒绝 pap 认证
• ppp debug = 测试时打开

选择一个复杂的挑战-响应式验证字符串。虽然没有最短长度限制，不过它应该至少有16个字符，也应该足够复杂才能保证安全。

打开文件 /etc/xl2tpd/l2tp-secrets ，填入你的密码：

1. ** exampleforchallengestring

打开文件 /etc/ppp/options.xl2tpd，做如下配置：

1. refuse-mschap-v2
2. refuse-mschap
3. ms-dns 8.8.8.8
4. ms-dns 8.8.4.4
5. asyncmap 0
6. auth
7. crtscts
8. idle 1800
9. mtu 1200
10. mru 1200
11. lock
12. hide-password
13. local
14. #debug
15. name l2tpd
16. proxyarp
17. lcp-echo-interval 30
18. lcp-echo-failure 4

ms-dns 选项设置要给客户端分配的 DNS 服务器，当客户端连接时，就会被分配这些 DNS。如果要加入多个 DNS，就每行一个，分别写几行。

如果你要给客户端推送wins设置，可以分别设置如下选项。

mtu 和 mru 按照openswan.org的说法，减小 mru/mtu 的大小非常重要。因为  l2tp/ipsec 会封装几次，可能导致性能下降，减小这个配置的大小可以一次性传输全部的包。

proxyarp 可以将连接的客户端的IP地址和以太网地址加入的系统的ARP表中。这会影响到本地局域网内其它客户端。

name l2tpd 用在 PPP验证文件里面。

添加用户

打开文件 /etc/ppp/chap-secrets ，做如下配置：

1. user1 l2tpd chooseagoodpassword *
2. user2 * chooseagoodpassword *

 每行包括如下字段：

• 客户端 = 用户名称
• 服务器 = 在上面的 /etc/ppp/options.xl2tpd 定义的名字
• 密码 = 用户密码，你应该设置一个足够复杂的密码
• IP 地址 = * 表示用户可以从任何地址连接，否则设置用户只能从特定的地址连接

注意：你可以添加多个用户。

IP转发

打开文件 /etc/sysctl.conf，修改配置：

1. net.ipv4.ip_forward=1

 载入新的配置：

1. sysctl -p

启动VPN

1. sudo /etc/init.d/ipsec.vpn restart
2. sudo /etc/init.d/xl2tpd restart

排除故障

如果遇到了问题，以下命令可以帮助你找到问题：

1. sudo tcpdump -i ppp0
2. sudo tail -f /var/log/auth.log
3. sudo tail -f /var/log/syslog

你可以可以在服务器上使用如下命令来监控：

1. sudo tcpdump -i eth0 host aaa.bbb.ccc.ddd andnot port ssh

这里aaa.bbb.ccc.ddd 是你的客户端的公网地址。

（本文主要整理自 https://help.ubuntu.com 。）