【原创】xl2tpd进阶配置-开启验证

在《xl2tpd极简配置部署》中,所使用的xl2tpd没有用户名和密码的验证。

xl2tpd的验证可以是双向的,LNS可以要求LAC进行验证,LAC同样可以要求LNS进行验证,两个方向的验证可以同时存在。

一般而言仅设置LNS对LAC的验证。本例中假设LNS为验证发起方,LNC为验证响应方。

验证发起方设置

1)编辑服务器pppd验证配置文件。

若使用EAP(Extensible Authentication Protocol,可扩展的身份验证协议)和CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)验证,编辑文件/etc/ppp/chap-secrets。

若使用PAP(PasswordAuthenticationProtocol,密码认证协议),编辑文件/etc/ppp/pap-secrets。

若在pppd的配置文件中可以使用require-xxx和refuse-xxx指定或者拒绝某种验证方法,如require-mschap-v2,refuse-pap。

若无特别指明,默认使用EAP验证,不推荐使用PAP认证,因为该方法在认证时密码为明文。

以下为chap-secrets文件内容:

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test * 111111 *

上述配置共四列信息,分别为:

client          允许通过验证的用户名,此例中为"test"。

server        为哪个/etc/xl2tpd.conf中的哪个LNS服务提供验证,若为星号则不区分。

secret        密码,可以加上双引号,此例中为“111111”。

IP address 限定前来连接的IP地址,星号表示不限制,若需要限制,可以配置成静态IP(如192.168.1.5)或带掩码长度的动态IP段(如192.168.1.128/25)。

以#开头的内容为注释内容。

2)编辑服务器pppd配置文件:/etc/ppp/options.xl2tpd,增加配置信息“auth”:

#要求客户端进行用户名和密码的认证
auth

options.xl2tpd文件名及其路径可以自定义,只要和/etc/xl2td/xl2tpd.conf中配置的路径相符即可。

3)修改服务器xl2tpd配置文件:/etc/xl2tpd/xl2tpd.conf,增加options.xl2tpd配置文件的路径pppoptfile:

[lns default]
ip range = 172.16.0.1-172.16.0.254
local ip range = 172.17.0.1
pppoptfile = /etc/ppp/options.xl2tpd

(也可以在/etc/xl2tpd/xl2tpd.conf中增加 require authentication = yes,与第二步中在pppd选项配置文件options.xl2tpd中增加auth效果一样,都是要求对端进行验证)

4)重启xl2tpd服务。

验证响应方配置

编辑pppd配置文件:/etc/ppp/peers/vpntest.xl2tpd

user 'test'
password '111111'

user          用于拨号验证的用户名

password 用于拨号验证的密码

用户名与密码要在服务端pppd的配置文件chap-secrets或pap-secrets中存在。

注意:客户端服务器上/etc/xl2tpd/xl2tpd.conf配置文件中的[lac xxx]与/etc/ppp/peers/xxx.xl2tpd中的xxx要一致,这里都是vpntest。可以配置多个LAC以对应不同的LNS服务,但要在/etc/ppp/peers目录下为每个LAC创建对应的xxx.xl2tpd配置文件。

在验证时如果用户名或密码不对,或者一方要求某种验证方式但是另一方不支持该方式时,都会连接失败并在系统日志中提示 。

posted @ 2020-10-12 18:06  晓木生  阅读(2038)  评论(0编辑  收藏  举报