воскресенье, 21 декабря 2025 г.

Установка L2TP сервера Ubuntu Server 25.10 на Raspberry Pi + fail2ban

1. Подготовка системы

Обновляем систему и ставим нужные пакеты:

sudo apt update
sudo apt upgrade -y
sudo apt install xl2tpd ppp -y

Проверим, что сервис установлен:

systemctl status xl2tpd

2. Настройка xl2tpd

Конфигурация /etc/xl2tpd/xl2tpd.conf

sudo nano /etc/xl2tpd/xl2tpd.conf

Пример минимальной конфигурации:

[global]
port = 1701

[lns default]
ip range = 10.10.10.10-10.10.10.100
local ip = 10.10.10.1
require chap = yes
refuse pap = yes
require authentication = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

3. Настройка PPP

Файл /etc/ppp/options.xl2tpd

sudo nano /etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
idle 1800
mtu 1460
mru 1460
hide-password
name l2tpd
lcp-echo-interval 30
lcp-echo-failure 4

4. Пользователи VPN

Файл /etc/ppp/chap-secrets

sudo nano /etc/ppp/chap-secrets

Формат:

username  server  password  ip

Пример:

vpnuser   l2tpd   strongpassword   *

Права доступа обязательны:

sudo chmod 600 /etc/ppp/chap-secrets

5. Включение маршрутизации

Создайте отдельный конфигурационный файл:

sudo nano /etc/sysctl.d/99-ipforward.conf

Добавьте:

net.ipv4.ip_forward=1

Примените:

sudo sysctl --system

Проверьте:

sysctl net.ipv4.ip_forward

Ожидаемый результат:

net.ipv4.ip_forward = 1

6. NAT (если нужен доступ в интернет)

Предположим, внешний интерфейс — eth0.

sudo iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT

8. Запуск сервиса

sudo systemctl restart xl2tpd
sudo systemctl enable xl2tpd

Проверка логов:

journalctl -u xl2tpd -f

✅ Окончательное исправление (с сохранением после перезагрузки)

Установка:

sudo apt install iptables-persistent

Во время установки:

  • согласись сохранить текущие правила IPv4

Если уже установлено — сохрани вручную:

sudo netfilter-persistent save

Проверка после перезагрузки:

iptables -t nat -L -n -v


При подключении абонента поднимается интерфейс ppp. Когда подключений нет интрфейса нет в ifconfig


Установка и настройка Fail2Ban (Ubuntu Server 25.10)


sudo apt update
sudo apt install fail2ban -y

Базовая конфигурация

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Перезапуск:

sudo systemctl enable fail2ban --now
sudo systemctl restart fail2ban

Проверка:

sudo fail2ban-client status
sudo fail2ban-client status sshd

Если перестало работать:

Причина может быть в аппаратных offload-функциях сетевого интерфейса (GRO/GSO/TSO/RX/TX).
xl2tpd + pppol2tp непереносимы к агрегации и изменению размеров UDP-пакетов.
Это типичная и подтверждённая проблема:
Raspberry Pi
L2TP без IPsec
NAT
современные ядра Linux

Очень важно понимать:

offload-функции могут включаться автоматически:
после обновления ядра
после перезагрузки
после обновления firmware NIC
после изменения драйвера
Поэтому проблема и «плавающая».

Обязательное действие: сделать fix постоянным
Иначе после перезагрузки всё сломается снова.

Создайте сервис:

sudo nano /etc/systemd/system/disable-eth0-offload.service

[Unit]
Description=Disable NIC offloading for L2TP stability
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/ethtool -K eth0 tx off rx off tso off gso off gro off
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

Активировать:
sudo systemctl daemon-reload
sudo systemctl enable disable-eth0-offload
sudo systemctl start disable-eth0-offload

Проверка:
sudo ethtool -k eth0 | egrep 'tso|gso|gro'

Все значения должны быть off

Автор: Admi0n на 09:31

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)