在现代企业网络和远程办公场景中,虚拟专用网络（VPN）已成为保障数据传输安全的关键技术之一，L2TP（Layer 2 Tunneling Protocol）与IPsec（Internet Protocol Security）结合的方案因其兼容性强、配置灵活且安全性高，被广泛应用于各类组织中，本文将详细讲解如何在Linux系统（以Ubuntu Server为例）上搭建一个稳定可靠的L2TP/IPsec VPN服务器，帮助你实现安全、加密的远程访问。

准备工作必不可少,你需要一台运行Linux操作系统的服务器（推荐Ubuntu 20.04或以上版本），并确保其拥有公网IP地址（或通过端口映射NAT访问），需要提前在防火墙（如UFW或iptables）中开放以下端口：

• UDP 500（IKE协议）
• UDP 4500（NAT-T）
• UDP 1701（L2TP控制通道）

接下来是安装与配置阶段,我们使用OpenSwan作为IPsec后端，xl2tpd作为L2TP守护进程，执行以下命令进行安装：

sudo apt update
sudo apt install xl2tpd openswan -y

安装完成后,编辑 /etc/ipsec.conf 文件，配置IPsec策略，示例如下：

config setup
    protostack=netkey
    plutodebug=control
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
conn l2tp-psk
    authby=secret
    pfs=no
    auto=add
    keylife=24h
    rekey=yes
    left=YOUR_PUBLIC_IP
    leftid=@yourdomain.com
    right=%any
    rightprotoport=17/1701
    also=l2tp

在 /etc/ipsec.secrets 中添加预共享密钥（PSK）：

YOUR_PUBLIC_IP %any : PSK "your_strong_pre_shared_key"

接着配置L2TP部分,编辑 /etc/xl2tpd/xl2tpd.conf如下：

[global]
listen-addr = YOUR_PUBLIC_IP
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
debug = yes
[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tp-server
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd

设置PPP选项文件 /etc/ppp/options.l2tpd，允许用户拨号时分配IP地址，并启用DNS：

+mschap-v2
require-mschap-v2
refuse-pap
require-chap
noauth
proxyarp
lock
ncomp
mtu 1280
mru 1280

创建用户账号：编辑 /etc/ppp/chap-secrets，格式为：

username * password *

完成上述步骤后,重启服务：

sudo systemctl restart ipsec
sudo systemctl restart xl2tpd
sudo systemctl enable ipsec xl2tpd

客户端（Windows、iOS、Android等）即可通过L2TP/IPsec连接到你的服务器，配置时选择“L2TP/IPsec”类型，输入服务器IP、用户名和密码，并使用相同PSK。

需要注意的是,出于安全考虑，建议定期更换PSK，开启日志监控（如journalctl -u ipsec），并根据实际需求调整IP池范围，若使用云服务器，务必检查提供商的安全组规则是否放行相关端口。

L2TP/IPsec是一种成熟、可靠且易于部署的VPN解决方案，特别适合中小型企业构建私有远程访问通道，掌握其搭建流程，不仅提升网络运维能力，也为企业数据安全筑起一道坚固防线。