|
|
本脚本适用环境:9 p) T: u9 }7 y- H/ e( F
系统支持:CentOS6+,Debian7+,Ubuntu12+
; T l: ?5 G/ O' M, O# @内存要求:≥128M! {+ X) E @$ m: Q( G
更新日期:2017 年 05 月 28 日
$ s% v: V6 h. v8 d2 J关于本脚本: g" r j& `3 ^/ [
名词解释如下
1 F+ p" `8 ~ J2 XL2TP(Layer 2 Tunneling Protocol)
# h2 U' _6 k7 t5 K3 UIPSec(Internet Protocol Security)" k9 a8 S& k+ V( L; O
IKEv2 (Internet Key Exchange v2)
, `& a! Q% Q6 {7 B, z2 e% ^. f能实现 IPsec 的目前总体上有 openswan,libreswan,strongswan 这3种。
& m# @: h1 h( D% [$ Z# `libreswan 是基于 openswan 的 fork,所以现在各个发行版基本已经看不到 openswan 的身影了。
$ h* O, {8 N4 M; q当然也有使用 strongswan 的。
! I" ^) [3 U5 f之所以要更新 L2TP 一键安装脚本,是因为随着各个 Linux 发行版不断推陈出新,原有的脚本已经不适应现在的需求。
' y' Z0 w; ~+ u- g2 N1 ~3 x8 |+ I) e本脚本通过编译安装最新版 libreswan 来实现 IPSec(CentOS7 下则是全部 yum 安装),yum 或 apt-get 来安装 xl2tpd,再根据各个发行版的使用方法不同,部署防火墙规则。1 ~% Z5 }8 @- b q; C/ ^
' b8 K3 i6 D( j, z
隆重介绍 Docker 版 L2TP/IPsec3 v* P5 i& F/ L" X: }! J( h# M, @
由于此脚本已经很久不更新,因此已经不推荐使用该脚本来安装了。OK,下面隆重介绍一下 Docker 版 L2TP/IPsec。5 D3 }, Z) G( T) j; @3 \% z! _3 |% z
使用 Docker 的好处就是对当前系统的环境没有破坏性,随时可以新建或者删除容器,而且方便快捷,实在是居家必备。
V& k" H: T" \ I具体请查看《介绍几款 Docker 镜像》此文中的【L2TP/IPsec VPN Server Docker Image】小节。
% l9 [1 {" o+ {' K: y, L4 d" s2 L以及该项目的 Docker Hub 页面,或 Github 页面。% ^+ t" q% \% Z' j6 v; A9 X! v
: g) ~& n- @; X% f E, E. L5 S 写在前面:0 m( Q" k: ]( {8 _: |
基于 OpenVZ 虚拟化技术的 VPS 需要开启TUN/TAP才能正常使用,购买 VPS 时请先咨询服务商是否支持开启 TUN/TAP。6 [0 F& x( T- }
OpenVZ 虚拟的 VPS 需要系统内核支持 IPSec 才行。也就是说,母服务器的内核如果不支持的话那就没办法,只能换 VPS。
* W1 u2 n( a2 v9 T- x因此,一般不建议在 OpenVZ 的 VPS 上安装本脚本。脚本如果检测到该 VPS 为 OpenVZ 架构,会出现警告提醒。
# N% ?, J( t" j1 L如何检测是否支持TUN模块?
+ Y! e6 J6 w3 @" r执行命令:) b& V8 V# R1 n8 D9 J
cat /dev/net/tun3 ]( A) E2 |# q7 w! k/ R+ ?
如果返回信息为:cat: /dev/net/tun: File descriptor in bad state 说明正常
: A, y9 U8 X& J8 z如何检测是否支持ppp模块?
( V! _; g- @" \执行命令:9 l' G( q3 X8 v$ x8 g( W$ e
cat /dev/ppp
2 x2 d5 u h1 a$ @- T- p如果返回信息为:cat: /dev/ppp: No such device or address 说明正常
! d- k# o, c# ~: R" A当然,脚本在安装时也会执行检查,如果不适用于安装,脚本会予以提示。
6 L% o, ]! i9 Q+ | 使用方法:
& _: y6 t! R$ f `0 Qroot 用户登录后,运行以下命令:) p+ ~) p0 S& C* t @; t
wget --no-check-certificate https://raw.githubusercontent.co ... master/l2tp.shchmod +x l2tp.sh./l2tp.sh执行后,会有如下交互界面9 E. {3 D# J' b/ i5 V
9 H/ @% I/ X! U% HPlease input IP-Range:: d" q8 v1 ?/ X2 o8 n
(Default Range: 192.168.18):
; G# i& F" t4 {输入本地IP段范围(本地电脑连接到VPS后给分配的一个本地IP地址),直接回车意味着输入默认值192.168.18- b1 T( t! L; B5 _/ E' G- `
Please input PSK:
$ x1 P% V( }9 J; J! q7 z(Default PSK: teddysun.com):7 X. m& |7 O, s# C4 Y9 D1 k0 s
PSK意为预共享密钥,即指定一个密钥将来在连接时需要用到,直接回车意味着输入默认值teddysun.com
! y. W/ Z7 x7 l. d) GPlease input Username:
$ r6 Q0 Z5 }9 P; S: ?* h! ^(Default Username: teddysun):' V/ q! D1 s5 m0 F/ n
Username意为用户名,即第一个默认用户。直接回车意味着输入默认值teddysun
% K: h- d6 h* ~6 M/ }4 QPlease input teddysun’s password:/ z& ]& S, l3 }' h
(Default Password: Q4SKhu2EXQ):
. w5 M1 t) B7 k* M3 A/ R输入用户的密码,默认会随机生成一个10位包含大小写字母和数字的密码,当然你也可以指定密码。
1 B3 C! `! L) _1 q8 U0 A7 }ServerIP:your_server_main_IP0 O, W/ a- m) U; k2 W
显示你的 VPS 的主 IP(如果是多 IP 的 VPS 也只显示一个); P" p& m% I- s. J0 a) X# x
Server Local IP:192.168.18.1
% t# X+ H! @1 w- }8 ~显示你的 VPS 的本地 IP(默认即可)
* }0 Z8 r }3 P) ?Client Remote IP Range:192.168.18.2-192.168.18.254/ {4 G0 D5 N, H* j4 p* m+ ^! A
显示 IP 段范围+ E) C9 a- A0 u9 E, J
PSK:teddysun.com) f3 _* X% U& Z- d; r t, w
显示 PSK4 L& e' c4 Q+ v2 W# [
Press any key to start…or Press Ctrl+c to cancel, Q, ]+ m; q3 e6 q! X2 V
按下任意按键继续,如果想取消安装,请按Ctrl+c键+ v; J6 }; C3 {) K
安装完成后,脚本会执行 ipsec verify 命令并提示如下:
* l) M; E$ F0 r& S) }6 y9 KIf there are no [FAILED] above, then you can connect to yourL2TP VPN Server with the default Username/Password is below:ServerIP:your_server_IPPSK:your PSKUsername:your usenamePassword:your passwordIf you want to modify user settings, please use command(s):l2tp -a (Add a user)l2tp -d (Delete a user)l2tp -l (List all users)l2tp -m (Modify a user password)Welcome to visit https://teddysun.com/448.htmlEnjoy it!如果你要想对用户进行操作,可以使用如下命令:
3 H: f$ H- G* c: E3 m3 Z4 |l2tp -a 新增用户
8 I# O7 ?; p3 o" y* X' r/ Hl2tp -d 删除用户
9 a: c5 B" ?7 z6 F5 ^l2tp -m 修改现有的用户的密码
( I C: |9 ]# t' [# Ql2tp -l 列出所有用户名和密码
& I, [/ O) @8 }6 V/ l( V; xl2tp -h 列出帮助信息9 x; D& N- S7 _ y# J
6 u- H, d. y" ?8 p
其他事项:
8 g" U6 c) ^) B8 G1、脚本在安装完成后,已自动启动进程,并加入了开机自启动。
" {5 K. x5 D" X# ]; \2、脚本会改写 iptables 或 firewalld 的规则。
& e3 O4 I) w' @. `$ ^" T) \3、脚本安装时,会即时将安装日志写到 /root/l2tp.log 文件里,如果你安装失败,可以通过此文件来寻找错误信息。2 j+ Y. H' i( S5 R' @
使用命令:
0 W& r5 T) R- S5 yipsec status (查看 IPSec 运行状态)8 e; u2 h$ V( D+ X
ipsec verify (查看 IPSec 检查结果)" m+ M+ X* |! Q
/etc/init.d/ipsec start|stop|restart|status (CentOS6 下使用)! C1 Y0 ?4 C" L% X
/etc/init.d/xl2tpd start|stop|restart (CentOS6 下使用)" ~ @ k/ b3 j" J; f1 w) ?+ k ?
systemctl start|stop|restart|status ipsec (CentOS7 下使用)9 B+ Y# B8 [' t
systemctl start|stop|restart xl2tpd (CentOS7 下使用): J6 p8 F5 ?1 x* m* e
service ipsec start|stop|restart|status (Debian/Ubuntu 下使用)" q, e8 Q8 C( e6 ^
service xl2tpd start|stop|restart (Debian/Ubuntu 下使用)3 }8 x h, @' h+ Y4 T
更新日志 o0 N, ]$ a" ^0 l F: G
2017 年 05 月 28 日:
2 r' ?" O! ^7 m g5 e5 ~升级 libreswan 到版本 3.20。7 o! Q! v, j- P
修正 libreswan 的若干配置问题。; A. h+ D$ Y) H/ [
修正 xl2tpd 的端口监听配置问题。
. i0 `+ F) A0 d+ ^% e( L修正在 CentOS 6 对 libevent2 的依赖问题,改为 yum 安装 libevent2-devel。
9 v6 P$ a& v+ n/ f/ h测试表明,在内网环境的 VPS 里(如AWS, IDCF,GCE,腾讯云,阿里云等)也可以正常使用了。
% [5 f3 X% ~% h) x# @' o2017 年 02 月 25 日:
) e _$ ?" l& j3 h1 w8 w升级 libreswan 到版本 3.19。
" H/ v# |6 D D; r- a5 ^8 y2016 年 09 月 12 日:
3 J3 a' O' p! G% a6 U修正了在 CentOS 6 下 libevent2 依赖的问题;
' \: M( Q( P7 a新增了一个 -m 选项,用以修改现有用户的密码。* ~5 q1 o3 G" ]$ i2 {4 f* \
2016 年 08 月 13 日:$ ~3 S6 [+ l* q# k; F5 h
修正 Debian 8 下的 sd-daemon.h: No such file or directory 问题,是由于缺少依赖包 libsystemd-daemon-dev 导致的。
" x9 K( F% E6 ^" z$ C2016 年 08 月 05 日:9 E( r, }1 T) z
升级 libreswan 到版本 3.18。
$ P% o9 }+ r ]2016 年 06 月 10 日:
8 a! g% r5 m1 J脚本在安装完成后,新增了几个命令,便于操作用户
6 Q7 B' x6 Q8 J' g pl2tp -a 新增用户' u( s6 O/ m8 f
l2tp -d 删除用户
" v7 C3 M8 W' J) y) o( l4 E1 Wl2tp -l 列出所有用户
& @! F: ~9 i1 u8 c% @( n6 `l2tp -h 列出帮助信息+ m/ S, W. [+ p) a- b. }
2016 年 04 月 25 日:* d2 w. N: E& J4 `+ `; H
4、在 Vultr 的 Debian 7的系统模板下安装时,软件包 libcurl4-nss-dev 会出现依赖错误。如下所示:; ^: ~ o% ~' G7 h
The following packages have unmet dependencies:libcurl4-nss-dev : Depends: libldap2-dev but it is not going to be installedDepends: librtmp-dev but it is not going to be installed而 libldap2-dev 和 librtmp-dev 又依赖了其他几种软件包。总之最后的依赖关系如下:
- e- y9 s# c& k1 v1 m4 jlibldap2-dev : Depends: libldap-2.4-2 (= 2.4.31-2+deb7u1) but 2.4.31+really2.4.40+dfsg-1+deb8u1~bpo70+1 is to be installedlibrtmp-dev : Depends: libgnutls-dev but it is not going to be installedlibgnutls-dev : Depends: libp11-kit-dev (>= 0.4) but it is not going to be installedlibp11-kit-dev : Depends: libp11-kit0 (= 0.12-3) but 0.20.7-1~bpo70+1 is to be installed那么解决办法就是把最底层的依赖包 libp11-kit0 先卸载掉,然后再安装 libcurl4-nss-dev 即可。: C- j2 M8 L8 A& Z, c9 h
apt-get -y remove libp11-kit0apt-get -y --no-install-recommends install libcurl4-nss-dev wget然后再运行脚本安装即可。, p0 @/ N8 f) n
2016 年 04 月 22 日:
! g5 x' `4 @+ D8 h修复了在 Ubuntu 16.04 下因为默认缺少 python 命令而导致 ipsec verify 等命令不能用的问题。
' [* ]- f4 H! l! ?3 v5 X; X2016 年 04 月 19 日:
/ ~0 D. _+ f3 ~2 | v8 ^( P修复了在 Debian 7 下因为 libnss3 和 libnspr4 的版本过低而导致编译 libreswan 失败的问题。
1 e5 U( z, _( V2016 年 04 月 18 日:) V6 T3 h8 O1 x4 t
目前在 Debian 7 上测试的结果,因为 libnss3 和 libnspr4 的版本过低而导致编译 libreswan 失败。临时解决办法是 dpkg 安装 libnss3_3.17.2 和 libnspr4_4.10.7 的 deb 包后重试。" [! h. c O% S
参考链接:& O7 C. P# w6 i/ d
https://libreswan.org/wiki/3.14_on_Debian_Wheezy; p0 |2 p% h. T4 ?; n
https://github.com/libreswan/libreswan; x) G8 { |1 `% z1 [/ w' K
2 r/ c* ^2 p1 D/ H) A |
|
窥视卡
雷达卡
发表于 2022-7-4 16:54:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜