【原创】xl2tpd进阶配置-开启验证

在《xl2tpd极简配置部署》中，所使用的xl2tpd没有用户名和密码的验证。

xl2tpd的验证可以是双向的，LNS可以要求LAC进行验证，LAC同样可以要求LNS进行验证，两个方向的验证可以同时存在。

一般而言仅设置LNS对LAC的验证。本例中假设LNS为验证发起方，LNC为验证响应方。

验证发起方设置

1）编辑服务器pppd验证配置文件。

若使用EAP(Extensible Authentication Protocol，可扩展的身份验证协议)和CHAP(Challenge Handshake Authentication Protocol，质询握手认证协议)验证，编辑文件/etc/ppp/chap-secrets。

若使用PAP(PasswordAuthenticationProtocol，密码认证协议)，编辑文件/etc/ppp/pap-secrets。

若在pppd的配置文件中可以使用require-xxx和refuse-xxx指定或者拒绝某种验证方法，如require-mschap-v2，refuse-pap。

若无特别指明，默认使用EAP验证，不推荐使用PAP认证，因为该方法在认证时密码为明文。

以下为chap-secrets文件内容：

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test * 111111 *

上述配置共四列信息，分别为：

client          允许通过验证的用户名，此例中为"test"。

server        为那个/etc/xl2tpd.conf中的哪个LNS服务提供验证，若为星号则不区分。

secret        密码，可以加上双引号，此例中为“111111”。

IP address 限定前来连接的IP地址，星号表示不限制，若需要限制，可以配置成静态IP（如192.168.1.5）或带掩码长度的动态IP段（如192.168.1.128/25）。

以#开头的内容为注释内容。

2）编辑服务器pppd配置文件：/etc/ppp/options.xl2tpd，增加配置信息“auth”：

#要求客户端进行用户名和密码的认证
auth

options.xl2tpd文件名及其路径可以自定义，只要和/etc/xl2td/xl2tpd.conf中配置的路径相符即可。

3）修改服务器xl2tpd配置文件：/etc/xl2tpd/xl2tpd.conf，增加options.xl2tpd配置文件的路径pppoptfile：

[lns default]
ip range = 172.16.0.1-172.16.0.254
local ip range = 172.17.0.1
pppoptfile = /etc/ppp/options.xl2tpd

（也可以在/etc/xl2tpd/xl2tpd.conf中增加 require authentication = yes，与第二步中在pppd选项配置文件options.xl2tpd中增加auth效果一样，都是要求对端进行验证）

4）重启xl2tpd服务。

验证响应方配置

编辑pppd配置文件：/etc/ppp/peers/vpntest.xl2tpd

user 'test'
password '111111'

user          用于拨号验证的用户名

password 用于拨号验证的密码

用户名与密码要在服务端pppd的配置文件chap-secrets或pap-secrets中存在。

注意：客户端服务器上/etc/xl2tpd/xl2tpd.conf配置文件中的[lac xxx]与/etc/ppp/peers/xxx.xl2tpd中的xxx要一致，这里都是vpntest。可以配置多个LAC以对应不同的LNS服务，但要在/etc/ppp/peers目录下为每个LAC创建对应的xxx.xl2tpd配置文件。

在验证时如果用户名或密码不对，或者一方要求某种验证方式但是另一方不支持该方式时，都会连接失败并在系统日志中提示 。