CentOS上搭建支持IOS/Android的L2tpVPN

0.VPN类型L2tp

1.基本安装
#yum install openswan xl2tpd ppp lsof iptables -y

2.打开转发
#vi /etc/sysctl.conf
将 net.ipv4.ip_forward = 0     修改为 net.ipv4.ip_forward = 1
接下来依次执行
#echo "net.ipv4.conf.all.accept_redirects = 0" |  tee -a /etc/sysctl.conf
#echo "net.ipv4.conf.all.send_redirects = 0" |  tee -a /etc/sysctl.conf
#for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done
#sysctl -p

3.启动脚本
#vi /etc/rc.local 【末尾加入】
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done

4.ipsec配置
#vi /etc/ipsec.conf
将其中的virtual_private=
修改为
virtual_private=%v4:10.0.0.0/8,%v4:192.168.1.0/24,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10
并在文件末尾加入以下内容，注意将以下的192.168.191.139修改为你服务器 IP
conn L2TP-PSK-NAT
   rightsubnet=vhost:%priv
   also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
   authby=secret
   pfs=no
   auto=add
   keyingtries=5
   rekey=no
   ikelifetime=8h
   keylife=1h
   type=transport
   left=192.168.191.139
   leftprotoport=17/1701
   right=%any
   rightprotoport=17/%any

5.设置预共享秘钥
#vi /etc/ipsec.secrets
清空这个文件的内容，然后添加
192.168.191.139 %any: PSK “cosware”
注意192.168.191.139请修改为你的服务器ip ,PSK 后为共享密钥，自行更改

6.启动ipsec
#service ipsec start

7.检查IPSec安装和启动的正确性
#ipsec verify
没有出现 [FAILED] 就可以了

8.按需配置l2tp服务
#vi /etc/xl2tpd/xl2tpd.conf
ip range = 192.168.1.128-192.168.1.254 #[ip地址段]
local ip = 192.168.1.99

#vi /etc/ppp/options.xl2tpd
清空原有配置，加入以下配置内容
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
auth
mtu 1200
mru 1000
crtscts
hide-password
modem
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

9.设置用户名密码及IP限制
#vi /etc/ppp/chap-secrets
username    l2tpd     password      *
对应好就行，多个用户每行配置一个

10.重启服务并添加开机启动
#service ipsec restart
#service xl2tpd restart
#chkconfig ipsec on
#chkconfig xl2tpd on

11.配置防火墙
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -d 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 1701 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 4500 -j ACCEPT
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart


12.移动端配置