воскресенье, 21 декабря 2025 г.

Установка L2TP сервера Ubuntu Server 25.10 на Raspberry Pi

1. Подготовка системы

Обновляем систему и ставим нужные пакеты:

sudo apt update
sudo apt upgrade -y
sudo apt install xl2tpd ppp -y

Проверим, что сервис установлен:

systemctl status xl2tpd

2. Настройка xl2tpd

Конфигурация /etc/xl2tpd/xl2tpd.conf

sudo nano /etc/xl2tpd/xl2tpd.conf

Пример минимальной конфигурации:

[global]
port = 1701

[lns default]
ip range = 10.10.10.10-10.10.10.100
local ip = 10.10.10.1
require chap = yes
refuse pap = yes
require authentication = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

3. Настройка PPP

Файл /etc/ppp/options.xl2tpd

sudo nano /etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
idle 1800
mtu 1460
mru 1460
hide-password
name l2tpd
lcp-echo-interval 30
lcp-echo-failure 4

4. Пользователи VPN

Файл /etc/ppp/chap-secrets

sudo nano /etc/ppp/chap-secrets

Формат:

username  server  password  ip

Пример:

vpnuser   l2tpd   strongpassword   *

Права доступа обязательны:

sudo chmod 600 /etc/ppp/chap-secrets

5. Включение маршрутизации

Создайте отдельный конфигурационный файл:

sudo nano /etc/sysctl.d/99-ipforward.conf

Добавьте:

net.ipv4.ip_forward=1

Примените:

sudo sysctl --system

Проверьте:

sysctl net.ipv4.ip_forward

Ожидаемый результат:

net.ipv4.ip_forward = 1

6. NAT (если нужен доступ в интернет)

Предположим, внешний интерфейс — eth0.

sudo iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT

7. Открытые порты

sudo ufw enable

sudo ufw allow 1701/udp

sudo ufw allow OpenSSH

sudo ufw status

8. Запуск сервиса

sudo systemctl restart xl2tpd
sudo systemctl enable xl2tpd

Проверка логов:

journalctl -u xl2tpd -f

✅ Окончательное исправление (с сохранением после перезагрузки)

Делайте строго по шагам, без пропусков.

ШАГ 1. Разрешаем форвардинг в UFW

sudo nano /etc/default/ufw

Найдите:

DEFAULT_FORWARD_POLICY="DROP"

Замените на:

DEFAULT_FORWARD_POLICY="ACCEPT"

Сохраните файл.

ШАГ 2. Добавляем NAT в UFW (это обязательно)

Определите внешний интерфейс:

ip route | grep default

Вы увидите что-то вроде:

default via 192.168.89.1 dev eth0

➡ значит интерфейс eth0

Откройте файл NAT-правил:

sudo nano /etc/ufw/before.rules

⚠️ В САМОЕ НАЧАЛО ФАЙЛА, первой строкой, вставьте:

*nat
:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

COMMIT

eth0 должен совпадать с вашим реальным интерфейсом.

ШАГ 3. Перезапуск UFW

sudo ufw disable
sudo ufw enable

ШАГ 4. Проверка (ОБЯЗАТЕЛЬНО)

4.1 Проверяем, что NAT появился

sudo iptables -t nat -L POSTROUTING -n -v

Ожидаемо:

MASQUERADE  all  --  10.10.10.0/24  0.0.0.0/0  out eth0

4.2 Подключитесь к VPN

4.3 Снова проверьте счётчики:

sudo iptables -t nat -L POSTROUTING -n -v

pkts должен увеличиваться — это главный индикатор.


Автор: Admi0n на 09:31

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)