Etablieren Sie ein L2TP/IPSEC-VPN
fr:Mettre en place un VPN L2TP/IPSEC
en:Establish a L2TP/IPSEC VPN
es:Establecer una VPN de L2TP/IPSEC
pt:Estabelecer uma VPN L2TP/IPSEC
it:Stabilire una connessione VPN L2TP/IPSEC
nl:Stellen een L2TP/IPSEC VPN
de:Etablieren Sie ein L2TP/IPSEC-VPN
zh:建立 L2TP/IPSEC VPN
ar:إنشاء L2TP/IPSEC VPN
ja:L2TP と IPSEC VPN を確立します。
pl:Ustanowić połączenie sieci VPN L2TP/IPSEC
ru:Установить L2TP/IPSEC VPN
ro:Stabilească un VPN L2TP/IPSEC
he:הקמת VPN של L2TP/IPSEC
Dieser Artikel wurde maschinell übersetzt. Sie können den Artikel Quelle hier ansehen.
Einführung
EIN VPN (Virtuelle Private Netzwerke) est un système permettant de créer un lien direct entre des ordinateurs distants. On utilise notamment ce terme dans le milieu de la dématérialisation fiscale et dans le travail à distance, ainsi que pour l'accès à des structures de type Cloud-computing. L'avantage du L2TP (Schicht 2 Tunelling Protokoll) réside dans l'utilisation d'une clé pré partagée en plus des identifiants de connexion habituels. A cela s'ajoute IPSEC, une technologie d'encapsulation cryptée dans la trame IP.
Voraussetzungen
Dieses Tutorial folgen müssen Sie :
- Eine Maschine unter einer Linux-distribution (Debian- 8Fedora, CentOS, Ubuntu, Raspberry Pi...) Funktioniert nicht unter Debian 8 wegen dem Repository von OpenSwan die nicht mehr existieren
- Kennen Sie Ihre öffentliche IP-Adresse, wenn Sie nicht wissen Hier!
Tutorial
Zunächst melden Sie sich bei Wurzel (oder wer hat über einen Benutzer Superuser-Rechte). Putty können Sie mit einer Maschine aus der Ferne per SSH verbinden oder einfach öffnen Sie ein Terminal, wenn Sie auf der grafischen Benutzeroberfläche des Geräts zugreifen.
Update und Installation Pakete
Zuerst aktualisieren Sie Ihre Maschine und installieren das notwendige Repository zu :
apt-get update && apt-get upgrade -y
apt-get install openswan xl2tpd ppp lsof
OpenSwan wird Sie bitten, einige Fragen, Antwort y mit den Standardwerten.'.
Hinzufügen von Regeln für die firewall
Dann fügen wir in der Regel auf Iptables VPN-Datenverkehr zulassen (ersetzen %SERVERIP% durch die IP-Adresse Ihres Server) :
iptables -t nat -A POSTROUTING -j SNAT --to-source %SERVERIP% -o eth0
Dann führen Sie die folgenden Befehle ermöglichen das routing von IP-Paketen:
echo "net.ipv4.ip_forward = 1" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.all.accept_redirects = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.all.send_redirects = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.accept_source_route = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.send_redirects = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.icmp_ignore_bogus_error_responses = 1" | tee -a /etc/sysctl.conf
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done
sysctl -p
Die anhaltende zum Neustart der Maschine zu machen :
nano /etc/rc.local
Fügen Sie dann kurz vor Ende der Ausfahrt 0 :
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done
iptables -t nat -A POSTROUTING -j SNAT --to-source %SERVERIP% -o eth+
Umsetzung derIPSEC
Erstellen Sie eine neue Konfigurationsdatei ipsec :
mv /etc/ipsec.conf /etc/ipsec.conf.bak && nano /etc/ipsec.conf
Dann halten Sie diese : Nicht vergessen, zu ersetzen %SERVERIP% durch die IP-Adresse der Server
version 2 # conforms to second version of ipsec.conf specification
config setup
dumpdir=/var/run/pluto/
#in what directory should things started by setup (notably the Pluto daemon) be allowed to dump core?
nat_traversal=yes
#whether to accept/offer to support NAT (NAPT, also known as "IP Masqurade") workaround for IPsec
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10
#contains the networks that are allowed as subnet= for the remote client. In other words, the address ranges that may live behind a NAT router through which a client connects.
protostack=netkey
#decide which protocol stack is going to be used.
force_keepalive=yes
keep_alive=60
# Send a keep-alive packet every 60 seconds.
conn L2TP-PSK-noNAT
authby=secret
#shared secret. Use rsasig for certificates.
pfs=no
#Disable pfs
auto=add
#the ipsec tunnel should be started and routes created when the ipsec daemon itself starts.
keyingtries=3
#Only negotiate a conn. 3 times.
ikelifetime=8h
keylife=1h
ike=aes256-sha1,aes128-sha1,3des-sha1
phase2alg=aes256-sha1,aes128-sha1,3des-sha1
# https://lists.openswan.org/pipermail/users/2014-April/022947.html
# specifies the phase 1 encryption scheme, the hashing algorithm, and the diffie-hellman group. The modp1024 is for Diffie-Hellman 2. Why 'modp' instead of dh? DH2 is a 1028 bit encryption algorithm that modulo's a prime number, e.g. modp1028. See RFC 5114 for details or the wiki page on diffie hellmann, if interested.
type=transport
#because we use l2tp as tunnel protocol
left=%SERVERIP%
#fill in server IP above
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
dpddelay=10
# Dead Peer Dectection (RFC 3706) keepalives delay
dpdtimeout=20
# length of time (in seconds) we will idle without hearing either an R_U_THERE poll from our peer, or an R_U_THERE_ACK reply.
dpdaction=clear
# When a DPD enabled peer is declared dead, what action should be taken. clear means the eroute and SA with both be cleared.
On crée ensuite le preshared secret (die Pre-shared key) :
nano /etc/ipsec.secrets
Geben Sie dann diese Zeile :
%SERVERIP% %any: PSK "VotreClePlusOuMoinsSecurisee"
Betracht zu ersetzen %SERVERIP% par l'IP de votre Server. Si vous séchez pour la création de votre clé vous pouvez utilisez la commande suivante :
openssl rand -hex 30
Wir überprüfen, ob alles in Ordnung, ist so dass Sie diesen Befehl verwenden :
ipsec verify
Und man muss :
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.38/K3.13.0-24-generic (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [OK]
[OK]
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
Configuration de xl2tpd
Beginnen wir mit eine neuen Konfigurationsdatei bearbeiten :
mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak && nano /etc/xl2tpd/xl2tpd.conf
Dann halten Sie diese :
[global]
ipsec saref = yes
saref refinfo = 30
;debug avp = yes
;debug network = yes
;debug state = yes
;debug tunnel = yes
[lns default]
ip range = 172.16.1.30-172.16.1.100
local ip = 172.16.1.1
refuse pap = yes
require authentication = yes
;ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
PPP-Konfiguration
Für diesen Teil werden wir wieder eine neue Konfigurationsdatei erstellen. (in einem Satz zu neu :3) :
mv /etc/ppp/options.xl2tpd /etc/ppp/options.xl2tpd.bak && nano /etc/ppp/options.xl2tpd
Dann fügen Sie diesen :
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
auth
mtu 1200
mru 1000
crtscts
hide-password
modem
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
Hier habe ich das öffentliche DNS, Google, kostenlos für Sie zu ändern und verwenden, die von Ihrer Wahl ! ;)
Hinzufügen von Benutzern
SCHLIEßLICH ! Diesen entscheidende Schritt ermöglicht es Ihnen, Ihre VPN-Benutzer Login und Passwörter gesetzt, nur diese Datei bearbeiten :
nano /etc/ppp/chap-secrets
unter einer typischen Linie:
jean l2tpd 0F92E5FC2414101EA *
'AUFMERKSAMKEIT : Diese Datei ist so empfindlich, wenn Sie einen Großbuchstaben setzen, musst du es zu halten, wenn Sie Ihr Login oder Passwort eingeben. "
Schließlich starten Sie :
/etc/init.d/ipsec restart && /etc/init.d/xl2tpd restart
Dieser Artikel scheint nützlich für Sie ?
Die automatische Aktualisierung der Kommentare aktivieren.