云栈社区»论坛 › 回收站「 Recycle Bin 」 › L2TP VPN搭建指南：家用路由器+腾讯云轻量服务器，40元/月实现异 ...

发回帖发新帖

717 积分	0 好友	101 主题

发消息

L2TP VPN搭建指南：家用路由器+腾讯云轻量服务器，40元/月实现异地组网

发表于昨天 15:40 | 查看: 1| 回复: 0

异地组网，是不是一定要花费高昂的预算去购买专线或者商业SD-WAN服务？对于分支机构分散、预算有限的小微企业或技术爱好者而言，动辄数千元的月费常常是难以承受的门槛。

诚然，我们已经有了ADVPN方案（别再被SD-WAN价格劝退！手把手教你用百元路由器搭建随车移动专线，成本仅1%），但难免有人会觉得专业设备价格偏高，或者认为在云主机上部署VSR过于复杂（别再折腾真机了！阿里云一键部署VSR路由器，全网实验随心配）。

那么，不妨再次审视一下经典的 L2TP VPN 方案。我们之前介绍过使用Ubuntu服务器作为LNS并与VSR对接L2TP VPN的配置案例（从CentOS到Ubuntu：零成本迁移L2TP VPN，企业级内网穿透实战！）。考虑到部分读者的上手难度，我们还专门推出了一键部署脚本，轻松实现业务需求（连WiFi就能切IP！揭秘企业级路由器多VPN出口黑科技！）。

如果我们将这个脚本部署在200 Mbps带宽的腾讯云轻量应用服务器上（腾讯云轻量服务器实测：跑openVPN能到30Mbps！这性价比绝了），方案可行，但存在一个小瑕疵：客户端之间的互访控制不太方便。这是怎么回事？

通常，客户端通过PPP拨号获取到的IP地址，是类似下图中这种32位掩码的主机地址。

终端显示VPN接口状态，含多个PPTP接口及其IP地址

这种配置直接限制了客户端只能与服务器通信。如果想让两个LAC客户端互相访问，就需要在双方设备上都添加静态路由。如果只有一端添加了路由，通信就会失败。

当然，不添加路由也行，那就是修改LAC获取的掩码，比如改成24位。不过，这同样需要在所有互访的LAC上进行相同的操作。

你以为这就完了？还有问题：如果不指定拨号用户的IP地址，用户会从地址池中依次获取，IP不固定。如果为拨号用户指定了固定IP，那该用户就无法多终端同时登录了。

这么看来，xl2tpd 这个服务虽然简单，但想把它用好，满足灵活组网的需求，问题还挺复杂的。

那什么叫“用好”呢？举个例子：如果我们有几个办公室，都使用的是没有固定公网IP的家庭宽带，想要异地组网。此时，一台拥有200 Mbps带宽的公网腾讯云轻量服务器，不正是一个完美的中转枢纽吗？

而许多传统或老旧的家用网络设备可能不支持 OpenVPN、WireGuard 等新协议，使用 IPsec 则性能开销较大。但 L2TP 呢？可能几十块钱的家用路由器就能支持（我用100块钱把物理服务器放到了公网，省了几万块！）。

这样一来，我们只需要两台普通的家用路由器，再加上一台月费约40元的腾讯云轻量应用服务器，就能搭建一个简易的HUB-SPOKE（中心-分支）全互联组网，难道不香吗？

L2TP VPN管理脚本安装配置界面

安装依旧很简单，直接运行脚本即可。按照提示配置LAC地址池的起始IP和结束IP；指定LNS的IP地址（即LAC的网关地址）；再配置主备DNS和用户登录信息。如果没有固定分配IP地址的需求，客户端IP地址栏留空即可。

显示xl2tpd服务配置与状态的终端界面

等待脚本执行完成，看到服务状态提示为 【运行中】 即可。然后使用用户列表中的用户名和密码登录。

如果想添加一个获取固定IP地址的用户，可以参考下图配置：先输入 4 进入用户管理，此时会展示当前所有用户列表。再输入 1 选择添加用户，配置用户名、密码和指定的IP地址即可。

L2TP VPN管理脚本的用户管理界面

配置完成后，可以在用户列表中看到新添加的用户。

接下来，我们到路由器上新建一个L2TP拨号连接。

#
l2tp enable
#
l2tp-group 14 mode lac
 lns-ip host-name sh.h3cai.cn
 undo tunnel authentication
 tunnel name LAC
#
interface Virtual-PPP14
 ppp chap password simple shanghai
 ppp chap user shanghai
 ip address ppp-negotiate
 l2tp-auto-client l2tp-group 14

配置时，推荐先让客户端自动获取IP，以检验L2TP服务端与客户端的配置是否正确。

路由器Virtual-PPP接口配置与状态查询