Strongswan+freeradius+daloradius+ad认证明现ikev2接入服务六

Strongswan+freeradius+daloradius+ad认证明现ikev2接入服务

第五部分    安装配置 xl2tp 集成 strongswan 支持 l2tp over ipsec

实验时间：2018年8月15日-2018年8月15日

拓扑图：

  

环境：

    防火墙1：FW1    USG2200

           

                IP地址外网：10.99.101.170    域名：strongswan.test.com

                IP地址内网：192.168.20.3    

    

    防火墙2：FW2    USG2200

     IP地址外网：10.99.101.129     域名：mystrongswan.test.com

    IP地址内网：192.168.20.2

   

    防火墙5：FW5    USG2200

     IP地址外网：10.99.101.167

    IP地址内网：131.107.0.1

 

    服务器：

     域控服务器：

        Windows Server2016

        IP地址：192.168.20.10         域名：dc.test.com

        

     strongswan服务器：

        Centos7

        IP地址：192.168.20.29

        Strongswan-5.6.3

     freeradius服务器：

        Centos7

        IP地址：192.168.20.27

        freeradius-4.0.0

        daloradius-0.9-9

        xl2tp

     客户端：Windows7

        

        自带客户端 ikev2 epa-mschapv2模式 、 计算机证书模式 、l2tp over ipsec模式

第六部分    安装配置 xl2tp 集成 strongswan 支持 l2tp over ipsec

实验时间：2018年8月15日-2018年8月15日

一、strongswan服务器安装ppp xl2tp

ssh 192.168.20.29

yum install -y ppp xl2tpd

vim /etc/strongswan/ipsec.conf

在本文章第一部分的ipsec.conf基础上修改

l2tp链接后ip由xl2tpd 分配

故注释或删除

#       rightsourceip=192.168.20.0/24 

增长以下配置

left填strongswan的ip地址192.168.20.29

leftid填防火墙地址

conn l2tp_ipsec

        compress=yes

        dpdaction=clear

        dpddelay=40

        dpdtimeout=130

        forceencaps=yes

        ikelifetime=8h

        keyingtries=10

        keylife=10800

        margintime=15m

        auto=add

        keyexchange=ikev1

        keyingtries=2

        left=192.168.20.29

        leftauth=psk

        leftcert=YIMIDESERVER.cert.pem

        leftid=10.99.101.170

        leftprotoport=udp/%any

        mobike=no

        rekey=no

        right=%any

        rightauth=psk

        rightsendcert=never

        rightsubnet=0.0.0.0/0

        type=transport

vim /etc/strongswan/ipsec.secret

vim /etc/xl2tpd/xl2tpd.conf

[global]

listen-addr = 192.168.20.29

ipsec saref = yes

[lns default]

ip range = 192.168.20.128-192.168.20.254

local ip = 192.168.20.29

assign ip =yes

require authentication = yes

name = ***

ppp debug = yes

pppoptfile = /etc/ppp/options.xl2tpd

length bit = yes

vim /etc/xl2tpd/l2tp-secrets 

*    *    12345678

vim /etc/ppp/options.xl2tpd

ipcp-accept-local

ipcp-accept-remote

ms-dns 8.8.8.8 # 推送的DNS

ms-dns 8.8.4.4

noccp

auth

crtscts

idle 1800

#mtu 1410

#mru 1410

mtu 1200

mru 1200

nodefaultroute

debug

lock

proxyarp

connect-delay 5000

login

vim /etc/ppp/chap-secrets

xl2tpuser    *    xl2tpuser    *

systemctl enable xl2tpd

systemctl start xl2tpd

systemctl status xl2tpd

firewall-cmd --add-port=1701/udp --permanent

firewall-cmd --reload

systemctl restart strongswan