CentOS配置LNS和VSR作为LAC建立L2TP隧道

正文共：1859字 13图，预估阅读时间：5 分钟

很久之前发过配置服务器上公网的文章（我用100块钱把物理服务器放到了公网，省了几万块！），当时服务端是CentOS 7的系统，L2TP拨号用的现成脚本，一键部署的；后来系统升级成CentOS 8了，脚本不能用了，就自己手配了一个（成本增加了100块，内网服务器上公网解决方案2.0重磅来袭！）。

再后来，拨号的路由器坏了，只能换上了企业路由器MSR810，遇到一个小问题，那就是怎么跟CentOS对接？今天来简单介绍一下。

对于L2TP VPN，前面也做过介绍（巧用VSR的L2TP VPN功能实现访问云上业务）。企业路由器的配置一般是作为LAC来建立隧道，跟之前的客户端有些不一样，所以得勾兑一下两端的配置。

首先是服务端，为了操作方便，我们本次就先不配置over IPsec了，仅配置L2TP的LNS功能。

安装L2TP服务xl2tpd。

yum install -y xl2tpd

L2TP的配置文件有/etc/xl2tpd/xl2tpd.conf、/etc/ppp/options.xl2tpd和/etc/ppp/chap-secrets。/etc/xl2tpd/xl2tpd.conf配置文件主要配置LNS的网络接入部分，默认内容如下：

[global]部分，listen-addr即监听的IP地址，不配置表示监听所有网卡；如果要配置，请修改IP地址为监听网卡的地址，如192.168.1.76。[lns default]部分，ip range用于设置客户端连接服务器后LNS分配给客户端的IP地址范围；local ip用于设置本端LNS的网关IP地址。

一般来讲，我们只要调整IP地址部分即可，例如：

[lns default]
ip range = 10.172.192.128-10.172.192.254
local ip = 10.172.192.99

/etc/ppp/options.xl2tpd配置文件的主要内容是配置和LAC建立隧道的网络参数，默认内容如下：

一般来讲，修改DNS地址即可。

/etc/ppp/chap-secrets用于配置L2TP接入的用户密码数据，配置模板如下：

填写服务名用于多服务场景，填写IP地址用于指定该用户登录后获取的IP地址为某个固定地址。

主要参考上半部分，主要配置用户名与密码，依次写用户名、服务名、密码、IP地址，实际上服务名与IP地址都写成星号即可，以空格或TAB隔开；当然，也可以手工指定客户端获取的IP地址，比如我们配置LAC的认证信息如下：

调整完之后，重启xl2tpd服务。

接下来，配置VSR路由器作为LAC。

首先开启L2TP功能，创建LAC模式的L2TP组1；配置LAC端本端名称为LAC，并指定LNS的地址；关闭隧道验证功能。

#
 l2tp enable
#
l2tp-group 1 mode lac
 lns-ip 192.168.1.76
 undo tunnel authentication
 tunnel name LAC

创建虚拟PPP接口Virtual-PPP 1，配置PPP用户的用户名和密码，并配置PPP验证方式为CHAP；配置自动触发LAC发起L2TP隧道建立请求。

#
interface Virtual-PPP1
 ppp chap password simple l2tp
 ppp chap user l2tp
 ip address ppp-negotiate
 l2tp-auto-client l2tp-group 1

之后，VSR就会自动发起协商，建立隧道连接。

可以看到，隧道接口获取到了手工指定的静态IP地址10.172.192.166/32，并且和LNS之间互访正常。

查看LNS端，本端的ppp0接口已经UP，地址为配置的LNS地址10.172.192.99。

可以看到，LNS上还有一个IP地址10.153.117.1/24，我们试一下LAC访问该IP地址。

跨三层转发，只要添加路由即可。

如果想让CentOS转发业务，还要调整防火墙和iptables。首先停止firewalld服务并禁用。

systemctl stop firewalld
systemctl mask firewalld

配置CentOS开启内核转发，并配置对转发流量进行NAT地址转换。

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE

然后测试VSR通过LNS访问互联网。

ip route-static 0.0.0.0 0 10.172.192.99

访问正常，并且是经过LNS进行转发的。

小测一下，3.7 Gbps的转发性能你还满意吗？

长按二维码
关注我们吧

CentOS 8服务器搭建L2TP服务器（over IPsec）操作指南

专线入云场景能否配置动态路由协议？

仅需一个公网IP地址，就能在互联网搞一张大二层网络

一种基于IPsec的VXLAN“专线”解决方案

ADVPN的S-S捷径到底有没有从总部绕转？

使用8条命令即可完成的VPN配置！CentOS快速配置WireGuard全互联组网

配置Juniper虚墙vSRX基于路由的IPsec VPN（WEB方式）

Netmaker服务器端快速搭建WireGuard网络

使用vSRX测试一下IPsec VPN各加密算法的性能差异

如何用SD-WAN路由器实现串接透明部署？

天翼云研发告诉我：AH封装的IPsec不能穿越NAT设备