多内网动态互通 L2TP/IPsec 一键部署脚本
此脚本整合所有配置,支持动态适配多内网场景,无需预设内网地址,执行后仅需添加账号即可实现“接入即互通”。
一键部署脚本(root权限执行)
!/bin/bash
clear
echo "=== 多内网动态互通 L2TP/IPsec 一键部署脚本 ==="
-------------------------- 1. 基础配置(需手动修改以下3项)--------------------------
SERVER_PUBLIC_IP="你的服务器公网IP" # 替换为中继服务器公网IP
VPN_PSK="123456abc" # 自定义IPsec预共享密钥(如123@VPN2024)
VPN_VIRTUAL_SUBNET="10.0.0.0/24" # VPN虚拟网段(避免与内网冲突,默认无需改)
VPN_IP_RANGE="10.0.0.10-10.0.0.50" # 分配给客户端的虚拟IP范围
-------------------------------------------------------------------------------------
echo "1. 环境初始化..."
关闭防火墙与SELinux
systemctl stop firewalld && systemctl disable firewalld >/dev/null 2>&1
setenforce 0 && sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config >/dev/null 2>&1
安装依赖
yum install -y libreswan xl2tpd ppp iptables-services >/dev/null 2>&1
if [ $? -ne 0 ]; then
echo "依赖安装失败,请检查yum源!"
exit 1fi
echo "2. 配置 IPsec (libreswan)..."
写入IPsec主配置
cat > /etc/ipsec.conf << EOF
version 2.0
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:${VPN_VIRTUAL_SUBNET%,*}
conn L2TP-IPsec
auto=add
left=${SERVER_PUBLIC_IP}
leftid=${SERVER_PUBLIC_IP}
leftsubnet=0.0.0.0/0
right=%any
rightsubnet=${VPN_VIRTUAL_SUBNET}
rightprotoport=17/1701
authby=secret
pfs=no
type=transport
ike=aes256-sha1
phase2alg=aes256-sha1EOF
写入预共享密钥
echo "${SERVER_PUBLIC_IP} %any : PSK \"${VPN_PSK}\"" > /etc/ipsec.secrets
echo "3. 配置 L2TP (xl2tpd)..."
写入xl2tpd主配置
cat > /etc/xl2tpd/xl2tpd.conf << EOF
[global]
ipsec saref = yes
[lns default]
ip range = ${VPN_IP_RANGE}
local ip = ${VPN_VIRTUAL_SUBNET%.*}.1
require chap = yes
refuse pap = yes
require authentication = yes
name = L2TP-Server
pppoptfile = /etc/ppp/options.xl2tpd
EOF
写入PPP配置
cat > /etc/ppp/options.xl2tpd << EOF
ms-dns 8.8.8.8
ms-dns 114.114.114.114
auth
crtscts
mtu 1400
mru 1400
lock
connect-delay 5000
EOF
echo "4. 创建动态内网转发脚本..."
动态记录内网段并配置转发的脚本
cat > /etc/ppp/ip-up.d/record-subnet << EOF
!/bin/bash
记录客户端VPN IP与绑定的内网段
CLIENT_VPN_IP=$4
CLIENT_SUBNET=$PEER_SUBNET
if [ -z "$CLIENT_SUBNET" ]; then
echo "警告:客户端未绑定内网段,无法互通!"
exit 0fi
存储映射关系(去重)
grep -q "$CLIENT_SUBNET" /etc/ppp/client-subnets.txt || echo "$CLIENT_VPN_IP $CLIENT_SUBNET" >> /etc/ppp/client-subnets.txt
动态添加互通转发规则
for SUBNET in $(awk '{print $2}' /etc/ppp/client-subnets.txt); do
iptables -C FORWARD -s \$CLIENT_SUBNET -d \$SUBNET -j ACCEPT 2>/dev/null || iptables -A FORWARD -s \$CLIENT_SUBNET -d \$SUBNET -j ACCEPT
iptables -C FORWARD -s \$SUBNET -d \$CLIENT_SUBNET -j ACCEPT 2>/dev/null || iptables -A FORWARD -s \$SUBNET -d \$CLIENT_SUBNET -j ACCEPTdone
EOF
赋予脚本权限
chmod +x /etc/ppp/ip-up.d/record-subnet
touch /etc/ppp/client-subnets.txt # 初始化内网段存储文件
echo "5. 配置 iptables 与路由转发..."
开启路由转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p >/dev/null 2>&1
配置iptables规则
iptables -F && iptables -t nat -F
允许VPN基础流量
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j ACCEPT
允许访问服务器自身
iptables -A FORWARD -d ${SERVER_PUBLIC_IP} -j ACCEPT
iptables -A FORWARD -s ${SERVER_PUBLIC_IP} -j ACCEPT
保存规则并启动iptables
service iptables save >/dev/null 2>&1
systemctl start iptables && systemctl enable iptables >/dev/null 2>&1
echo "6. 启动服务并验证..."
启动服务
systemctl start ipsec && systemctl enable ipsec >/dev/null 2>&1
systemctl start xl2tpd && systemctl enable xl2tpd >/dev/null 2>&1
验证服务状态
IPSEC_STATUS=$(ipsec status | grep "ESTABLISHED" | wc -l)
XL2TPD_STATUS=$(systemctl is-active xl2tpd)
if [ ${IPSEC_STATUS} -ge 0 ] && [ "${XL2TPD_STATUS}" = "active" ]; then
echo -e "\n=== 部署成功!==="
echo "1. 基础信息:"
echo " - 服务器公网IP:${SERVER_PUBLIC_IP}"
echo " - IPsec预共享密钥:${VPN_PSK}"
echo " - VPN虚拟网段:${VPN_VIRTUAL_SUBNET}"
echo -e "\n2. 添加客户端账号(示例):"
echo ' echo "vpn-user * user-pass * \"PEER_SUBNET=客户端内网段/24\"" >> /etc/ppp/chap-secrets'
echo " (替换 vpn-user/user-pass/客户端内网段 为实际信息,每个客户端一行)"
echo -e "\n3. 查看已接入内网段:cat /etc/ppp/client-subnets.txt"else
echo -e "\n部署失败!请检查服务状态:"
echo "ipsec status && systemctl status xl2tpd"
exit 1fi
使用说明
1. 脚本修改:复制脚本到服务器后,先修改开头“基础配置”部分的3个参数(服务器公网IP、PSK密钥、虚拟网段,虚拟网段默认无需改)。
2. 执行脚本:赋予权限并执行 chmod +x l2tp-multi-subnet.sh && ./l2tp-multi-subnet.sh。
3. 添加客户端:按脚本输出的示例,执行命令添加账号(关键是绑定PEER_SUBNET为客户端内网段,如192.168.3.0/24)。
部署后,客户端拨号成功即会自动与其他已接入的内网互通,且访问外网时使用自有公网IP。需要我帮你生成一个“客户端账号管理脚本”吗?支持一键添加、删除和查看账号,更方便后续维护。
L2TP客户端账号管理脚本(一键添加/删除/查看)
该脚本可快速管理L2TP账号,自动校验内网段格式,避免手动修改配置文件出错,适配多内网动态互通场景。
账号管理脚本(保存为 vpn-account-manager.sh)
!/bin/bash
clear
CHAP_SECRETS="/etc/ppp/chap-secrets"
CLIENT_SUBNETS="/etc/ppp/client-subnets.txt"
显示菜单
show_menu() {
echo "=== L2TP客户端账号管理工具 ==="
echo "1. 新增账号(需绑定内网段)"
echo "2. 删除账号"
echo "3. 查看所有账号"
echo "4. 清空过期内网段记录"
echo "5. 退出"
echo -n "请选择操作(1-5):"
read OPTION}
1. 新增账号
add_account() {
echo -e "\n--- 新增L2TP账号 ---"
echo -n "输入账号名:"
read USERNAME
# 校验账号是否已存在
if grep -q "^${USERNAME}\s" ${CHAP_SECRETS}; then
echo "错误:账号 ${USERNAME} 已存在!"
return 1
fi
echo -n "输入账号密码:"
read -s PASSWORD
echo -n -e "\n输入客户端内网段(如192.168.1.0/24):"
read SUBNET
# 校验内网段格式(简单正则,匹配x.x.x.x/x)
if ! echo ${SUBNET} | grep -qE '^([0-9]{1,3}\.){3}[0-9]{1,3}/[0-9]{1,2}$'; then
echo "错误:内网段格式无效!正确格式如192.168.1.0/24"
return 1
fi
# 写入账号配置
echo "${USERNAME} * ${PASSWORD} * \"PEER_SUBNET=${SUBNET}\"" >> ${CHAP_SECRETS}
echo -e "\n账号 ${USERNAME} 新增成功!"
echo "绑定内网段:${SUBNET}(客户端拨号后自动互通)"}
2. 删除账号
delete_account() {
echo -e "\n--- 删除L2TP账号 ---"
echo "当前所有账号:"
grep -v "^#" ${CHAP_SECRETS} | awk '{print "账号:"$1" | 绑定内网段:"$5}' | sed 's/"PEER_SUBNET=//;s/"//'
if [ $? -ne 0 ]; then
echo "暂无账号!"
return 1
fi
echo -n -e "\n输入要删除的账号名:"
read USERNAME
if ! grep -q "^${USERNAME}\s" ${CHAP_SECRETS}; then
echo "错误:账号 ${USERNAME} 不存在!"
return 1
fi
# 删除账号(保留文件原有格式)
sed -i "/^${USERNAME}\s/d" ${CHAP_SECRETS}
# (可选)删除对应内网段记录(若需彻底清理)
SUBNET=$(grep -o "\"PEER_SUBNET=.*\"" ${CHAP_SECRETS} | grep -B1 "${USERNAME}" | sed 's/"PEER_SUBNET=//;s/"//' 2>/dev/null)
if [ -n "${SUBNET}" ]; then
sed -i "/${SUBNET}/d" ${CLIENT_SUBNETS}
fi
echo "账号 ${USERNAME} 删除成功!"}
3. 查看所有账号
list_accounts() {
echo -e "\n--- 所有L2TP账号信息 ---"
echo "=================================================="
echo "账号名 | 绑定内网段 | 状态(是否在线)"
echo "=================================================="
# 遍历所有账号,显示信息并判断是否在线(通过VPN虚拟IP)
while read LINE; do
USER=$(echo ${LINE} | awk '{print $1}')
SUBNET=$(echo ${LINE} | awk '{print $5}' | sed 's/"PEER_SUBNET=//;s/"//')
# 检查是否在线(VPN虚拟IP是否存在)
VPN_IP=$(grep "${SUBNET}" ${CLIENT_SUBNETS} | awk '{print $1}' 2>/dev/null)
STATUS="离线"
if [ -n "${VPN_IP}" ] && ip addr | grep -q "${VPN_IP}"; then
STATUS="在线(${VPN_IP})"
fi
# 格式化输出(对齐显示)
printf "%-12s| %-16s| %s\n" "${USER}" "${SUBNET}" "${STATUS}"
done < <(grep -v "^#" ${CHAP_SECRETS})
echo "=================================================="}
4. 清空过期内网段记录
clean_subnets() {
echo -e "\n--- 清空过期内网段记录 ---"
echo "当前已记录的内网段:"
cat ${CLIENT_SUBNETS} | awk '{print "内网段:"$2"(VPN IP:"$1")"}'
if [ ! -s ${CLIENT_SUBNETS} ]; then
echo "无过期记录可清理!"
return 1
fi
echo -n "确认清空所有内网段记录?(y/n):"
read CONFIRM
if [ "${CONFIRM}" = "y" ] || [ "${CONFIRM}" = "Y" ]; then
> ${CLIENT_SUBNETS} # 清空文件
echo "清空成功!下次客户端拨号会重新记录有效内网段"
else
echo "取消操作!"
fi}
主逻辑
while true; do
show_menu
case ${OPTION} in
1) add_account ;;
2) delete_account ;;
3) list_accounts ;;
4) clean_subnets ;;
5) echo -e "\n退出管理工具!"; exit 0 ;;
*) echo "无效选项,请重新选择!" ;;
esac
echo -e "\n按任意键返回菜单..."
read -n 1
cleardone
使用方法
1. 脚本部署:将上述代码复制到服务器,保存为 vpn-account-manager.sh。
2. 赋予权限:执行 chmod +x vpn-account-manager.sh。
3. 运行管理:执行 ./vpn-account-manager.sh,按菜单提示操作(支持新增、删除、查看账号,及清理过期内网记录)。
脚本会自动校验账号唯一性和内网段格式,避免配置错误。后续若需要为账号添加“流量限制”或“有效期”功能,要不要我帮你进一步升级这个管理脚本?
