很久之前，我们通过配置轻量应用服务器（阿里云9块5主机的“开箱作业”）和L2TP实现了将服务器暴露在公网（我用100块钱把物理服务器放到了公网，省了几万块！）。最开始服务器还是CentOS 7的系统，使用一键部署的L2TP拨号脚本就完事了；后来系统升级成了CentOS 8，我就自己手搓了一个（成本增加了100块，内网服务器上公网解决方案2.0重磅来袭！）。

再后来，拨号的360路由器坏了，家里的路由器也换上了企业路由器MSR810，我们又出了一个MSR作为LAC对接CentOS的方案（CentOS配置LNS和VSR作为LAC建立L2TP隧道）。

虽然CentOS千好万好，但它毕竟停服了，我们现在新部署起来不太方便，需要考虑一下在Ubuntu系统上的迁移方案。

对于L2TP VPN，我们之前也做过介绍（巧用VSR的L2TP VPN功能实现访问云上业务）。企业路由器一般是作为LAC来建立隧道的，配置应该可以保持不变；服务端都是使用的L2TP服务xl2tpd，看一下配置有没有差异。

使用Ubuntu作为服务端时，我们先安装L2TP服务xl2tpd，用于配置L2TP VPN的LNS功能。

apt install -y xl2tpd

使用CentOS系统时，L2TP的关键配置文件有三个：/etc/xl2tpd/xl2tpd.conf、/etc/ppp/options.xl2tpd和/etc/ppp/chap-secrets。其中/etc/xl2tpd/xl2tpd.conf配置文件主要配置LNS的网络接入部分，默认内容如下：

相比之前CentOS的配置，丰富了很多，不过主要的还是[global]和[lns default]两部分。[global]部分，listen-addr即监听的IP地址，不配置表示监听所有网卡；如果要配置，请修改IP地址为监听网卡的地址，如192.168.1.76。[lns default]部分，ip range用于设置客户端连接服务器后LNS分配给客户端的IP地址范围；local ip用于设置本端LNS的网关IP地址。

一般来讲，我们只要调整IP地址部分即可，例如：

[lns default]iprange=10.172.192.128-10.172.192.254localip=10.172.192.99

我们之前介绍/etc/ppp/options.xl2tpd配置文件的主要内容是配置和LAC建立隧道的网络参数，但是在Ubuntu系统缺少此文件。我们先跳过这个文件，看看不用这个文件行不行。

剩下的/etc/ppp/chap-secrets文件用于配置L2TP接入的用户名密码数据，配置模板如下：

填写服务名用于多服务场景，填写IP地址用于指定该用户登录后获取的IP地址为某个固定地址。我们主要配置用户名与密码即可，依次写用户名、服务名、密码、IP地址，实际上服务名与IP地址都写成星号即可，以空格或TAB隔开；当然，也可以手工指定客户端获取的IP地址，比如我们配置LAC的认证信息如下：

调整完之后，重启xl2tpd服务。

接下来，配置VSR路由器作为LAC。

首先开启L2TP功能，创建LAC模式的L2TP组1；配置LAC端本端名称为LAC，并指定LNS的地址；关闭隧道验证功能。

#l2tp enable#l2tp-group 1 mode laclns-ip 10.1.1.2undo tunnel authenticationtunnel name LAC

创建虚拟PPP接口Virtual-PPP 1，配置PPP用户的用户名和密码，并配置PPP验证方式为CHAP；配置自动触发LAC发起L2TP隧道建立请求。

#interface Virtual-PPP1ppp chap password simple l2tplacppp chap user l2tplacip address ppp-negotiatel2tp-auto-client l2tp-group 1

之后，VSR就会自动发起协商，建立隧道连接。

可以看到，L2TP隧道接口VPPP1获取到了手工指定的静态IP地址10.172.192.166/32，并且和LNS之间互访正常。

查看LNS端，本端的ppp0接口已经UP，地址为配置的LNS地址10.172.192.99。

可以看到，LNS服务器上还有一个IP地址172.17.0.1/16，我们试一下从LAC访问该IP地址。

跨三层转发，只要添加路由即可实现互访。

跟CentOS系统一样，如果想让Ubuntu转发业务，还需要配置开启内核转发，并配置对转发流量进行NAT地址转换。

echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -j MASQUERADE

然后测试LAC客户端通过LNS服务器访问互联网。

ip route-static 0.0.0.0110.172.192.99ip route-static 128.0.0.0110.172.192.99

访问正常，并且是经过LNS进行转发的。搞定！这么看来，L2TP的关键配置文件只要配置/etc/xl2tpd/xl2tpd.conf和/etc/ppp/chap-secrets就可以了。

铁军哥高级网络规划设计师（副高级），原中国电信高级技术规划工程师，天翼云认证高级解决方案架构师、高级运维工程师，H3C认证网络工程师。 退役军人。「网络安全&云计算&人工智能」关注我，用技术武装自己！1129篇原创内容 公众号 ，

***推荐阅读***

从SRv6到Panabit测试：揭秘ESXi虚拟交换机VLAN 0-4095的终极用法

Panabit VLAN这样玩才高效：从透明网桥到网关模式的实战踩坑指南

WireGuard太复杂？十分钟教你用Netmaker一键搞定全球组网

vCenter 7.0部署很费时间吗？从开始到纳管好不用半小时

ESXi降级实战：vGPU异常竟因7.0.3版本坑？两种回滚方案对比

万物皆可EVE-NG：手把手教你将Panabit迁移到EVE-NG环境

云手机技术揭秘！低成本实现1台电脑变百部"虚拟手机"实战

Docker + VPP强强联合：在Docker容器中玩转高性能VPP路由！

Docker run命令完全指南：一文掌握Docker run的隐藏功能与避坑指南

Docker网络从入门到精通：7个核心命令实战详解

从400M到4.5G！Docker迁移竟让VPP网络性能飙升10倍

误以为是外国货？这家国产SD-WAN神器竟能免费白嫖，附Panabit免费版体验全记录

零成本自建企业级SD-WAN！用Panabit手搓iWAN实战

iWAN隧道实测：一次握手跑满2.3Gbps，白嫖的SD-WAN真能吊打专线？

从崩溃到3G带宽！Panabit三种部署模式性能实测，这个坑千万别踩

48核+96GB内存！EVE-NG 6.2低配版安装实录，网络工程师必看！

基于IPv6配置openVPN实战：告别双栈难题，一步打通IPv6隧道！

无需公网IPv4！手把手教你配置基于IPv6的WireGuard安全隧道

目前来看，ollama量化过的DeepSeek模型应该就是最具性价比的选择