Red Hat系统下搭建IPsec/L2TP VPN服务的完整指南

在现代企业网络架构中，远程访问安全至关重要，Red Hat Enterprise Linux（RHEL）作为企业级Linux发行版，因其稳定性、安全性与广泛支持而备受青睐，若需在RHEL环境中搭建一个稳定可靠的VPN服务，IPsec结合L2TP（Layer 2 Tunneling Protocol）是一种成熟且被广泛采用的方案，尤其适合用于远程员工接入内网资源，本文将详细介绍如何在Red Hat系统上部署并配置IPsec/L2TP VPN服务。

第一步：准备工作
确保你有一台运行RHEL 8或9的服务器，具备公网IP地址，并已安装基础网络工具（如ip, firewall-cmd），建议使用最小化安装，避免冗余软件干扰配置过程，首先更新系统：

sudo dnf update -y

第二步：安装必要的软件包
我们需要安装StrongSwan（IPsec实现）、xl2tpd（L2TP守护进程）以及相关依赖：

sudo dnf install -y strongswan xl2tpd

第三步：配置StrongSwan（IPsec）
编辑主配置文件 /etc/strongswan/ipsec.conf：

config setup
    charondebug="all"
    uniqueids=yes
conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    authby=secret
conn l2tp-psk
    left=%any
    leftid=@your-vpn-server.com
    right=%any
    rightauth=pubkey
    rightauth2=none
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=192.168.100.0/24
    auto=add
    type=transport
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
    dpdaction=clear

接着配置预共享密钥（PSK），编辑 /etc/strongswan/ipsec.secrets：

@your-vpn-server.com : PSK "your_strong_pre_shared_key_here"

第四步：配置xl2tpd
编辑 /etc/xl2tpd/xl2tpd.conf：

[global]
port = 1701
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse ppp = no
require authentication = yes
name = l2tp-server
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

第五步：设置PPP选项
创建 /etc/ppp/options.xl2tpd：

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
modem
speed 115200
mtu 1400
mru 1400
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

第六步：添加用户账号
在 /etc/ppp/chap-secrets 中添加用户名和密码：

username * password *

第七步：启用并启动服务

sudo systemctl enable strongswan xl2tpd
sudo systemctl start strongswan xl2tpd

第八步：配置防火墙（firewalld）
允许IPsec和L2TP端口通过：

sudo firewall-cmd --permanent --add-port=500/udp
sudo firewall-cmd --permanent --add-port=4500/udp
sudo firewall-cmd --permanent --add-port=1701/udp
sudo firewall-cmd --reload

第九步：验证与测试
使用客户端（如Windows自带的“连接到工作区”功能或iOS/Android L2TP客户端）输入服务器IP、用户名和密码即可连接，可通过日志查看连接状态：

journalctl -u strongswan -f

通过以上步骤，你可以在Red Hat系统上成功搭建一个基于IPsec/L2TP协议的安全远程访问通道，该方案兼容性强、配置清晰、易于维护，特别适合中小型企业快速部署远程办公解决方案，建议定期更新证书、加强密码策略,并监控日志以保障网络安全。

半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速