上次发了服务器上公网（低成本用L2TP把物理服务器放到了公网，省了几万块）的文章，当时L2TP拨号用的是网络上的解决方案，也就是现成的脚本，一跑就OK了。像这样：

        输入几个关键信息，脚本就自动执行完成了。我看了一下，脚本一共810行，功能很强大，系统方面支持CentOS 6+、Debian 7+、Ubuntu 12+。

        但实际上有个隐藏的问题。上次部署用的是CentOS 7的系统，一切正常，重新部署之后腾讯云的CentOS仅支持8.3的镜像，安装频繁报错。

        查看脚本内容发现，此脚本仅支持CentOS的6和7两个版本，在8上，因为软件名称和操作命令变更，无法正常安装。

        既然这样，那就只能拆解代码，自己安装了。

        首先找到脚本中需要的软件，或者找到执行脚本时不能正常使用的命令，用yum provides来查找命令，最后整理一下，需要安装以下软件：

        yum install -y make gcc gmp-devel xmlto bison flex libpcap lsof vim man xl2tpd libreswan

        修改ipsec配置文件

        vim /etc/ipsec.conf

        在config setup中添加以下命令，充许传透nat建立l2tp连接。

        nat_traversal=yes

        上图中最后一行可以看到include /etc/ipsec.d/*.conf这行代码，所以需要在/etc/ipsec.d/目录下创建IPsec与L2TP服务关联的配置文件。

        vim /etc/ipsec.d/l2tp_psk.conf

        文件复制以下内容，仅需修改left参数为公网网卡的IP地址。

        在/etc/ipsec.d/目录下创建保存预共享密钥的文件，名字可自定义，扩展名为.secrets。

        vim /etc/ipsec.d/ipsec.secrets

        预共享密钥参照如下格式填写，其中，IP地址为网卡的IP地址，双引号中为预共享密钥，请自行设置。（注意字段之间用空格或者tab隔开，否则检查会报错）

        10.0.8.12 %any: PSK    "test123"

        修改sysctl的内核支持文件。

        vim /etc/sysctl.conf

        可以直接用下面的内容替换掉原来的文件。

        修改完保存退出，执行以下命令重新加载配置文件使配置生效。

        sysctl -p

        重启IPsec服务，并检验ipsec服务配置。

        systemctl restart ipsec

        ipsec verify

        就是图里面/proc/sys/net/ipv4/conf/eth0/rp_filter这个文件很奇怪，使用vim无法编辑，修改权限也不行，但是可以用echo。那就用echo命令把里面的1换成0吧。

        echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter

        修改L2TP配置文件，设置监听网卡地址和LNS的IP地址及分配的地址段。

        vim /etc/xl2tpd/xl2tpd.conf

        主要修改4个地方配置：

        1、[global]模块中，取消listen-addr注释，并修改IP地址为网卡地址（10.0.8.12）；

        2、[global]模块中，取消ipsec saref = yes的注释；

        3、[lns default]模块中，在ip_range后设置客户端连接服务器后LNS分配给客户端的ip地址范围；

        4、[lns default]模块中，将local ip设置为LNS的网关IP地址。

        如下图：

        修改xl2tpd配置文件中的安全配置。

        vim /etc/ppp/options.xl2tpd

        文本中增加验证字段的算法要求，DNS视具体情况进行调整。

        require-mschap-v2

        将L2TP服务器的账户与密码写入/etc/ppp/chap-secrets文件。

        vim /etc/ppp/chap-secrets

        依次写用户名、服务名、密码、IP地址，实际上服务名与IP地址都写成星号即可，主要设置用户名与密码，以空格或tab隔开。填写服务名用于多服务场景，填写IP地址用于指定该用户登录后获取的IP地址为某个固定地址。

        然后就是防火墙的规则调整了，首先停止firewalld服务并禁用。

        systemctl stop firewalld

        systemctl mask firewalld

        安装iptables服务。

        yum install -y iptables iptables-services

        清空iptables规则。

        iptables -P INPUT ACCEPT

        iptables -F

        iptables -X

        iptables -Z

        执行命令进行规则配置，其中转发相关的地址段请设置与L2TP地址段一致。

        上述命令执行完后，保存iptables规则并重启服务。

        service iptables save

        systemctl restart iptables

        走完上面的流程，现在就需要检查iptables、ipsec、xl2tpd三个服务是否是正常运行了。

        systemctl status iptables

        systemctl status ipsec

        systemctl status xl2tpd

        这个地方出了两次错误，第一次启动失败是内核重新挂载l2tp_ppp失败，需要修改/usr/lib/systemd/system/xl2tpd.service配置文件，注释掉相关配置。

        ExecStartPre=/sbin/modprobe -q l2tp_ppp

        然后执行以下命令重启服务。

        systenctl daemon-reload

        systemctl restart xl2tpd

        第二个报错就相对简单，但是不好找，我把LNS的本地地址配错了，一直提示地址绑定失败。所以操作的时候还是要细心。

        最后再看一下连接成功的页面。

        得益于高链路质量，延迟只有5ms左右。