Разное

Что такое l2tp: соединение — что это такое? Как настроить L2TP-соединение

Содержание

соединение — что это такое? Как настроить L2TP-соединение

Сегодня подключения к интернету по локальной или виртуальной сети на основе беспроводных технологий стали очень популярными и среди обычных пользователей, и среди корпоративных клиентов. Неудивительно, ведь при установке такого защищенного соединения обеспечивается наилучшая защита передаваемых и принимаемых данных, а проще говоря, исходящего и входящего трафика. Одним из самых распространенных типов можно назвать использование протокола L2TP-соединения. Что это такое и как настроить соединение на его основе самостоятельно, далее и предлагается разобраться. Принципиально ничего такого, что бы отличалось от создания обычного подключения на основе беспроводных технологий, тут нет, однако многие специалисты советуют соблюсти несколько условий и принять к сведению некоторые рекомендации, чтобы избежать типичных ошибок.

L2TP-соединение: что это?

Для начала рассмотрим, что собой представляет данный тип подключения к интернету или по сети с использованием именно такого типа доступа. На самом деле протокол L2TP является одной из разновидностей установки доступа в интернет на основе VPN с применением так называемого туннелирования.

При подключении компьютеров к интернету таким способом обеспечивается максимально возможная конфиденциальность. И достигается это не только потому, что доступ к туннелю блокируется, но и потому, что все данные на входе и на выходе шифруются. Плюс ко всему – наличие проверочных ключей с обеих сторон. Иными словами, не зная автоматически генерируемых ключей, украсть или просмотреть информацию никто не может. К тому же, как уже понятно, она находится в зашифрованном виде.

Обязательные условия для работы подключения

Но это были всего лишь краткие теоретические сведения, так сказать, для общего развития. Теперь перейдем к практическим действиям и рассмотрим использование L2TP-соединения. Что это за технология, думается, немного понятно, так что основные действия по созданию такого подключения от стандартной настройки VPN практически ничем отличаться не будут.

Однако перед тем, как заниматься подобными действиями, обратите внимание на несколько обязательных пунктов, без соблюдения которых создаваемое подключение не то что работать не будет, его даже создать не получится. Основные критерии таковы:

  • операционная система не ниже Windows Vista (рекомендуется), хотя в XP настройка тоже возможна;
  • наличие адреса корпоративного сервера, к которому предполагается произвести подключение;
  • наличие логина и пароля для входа в сеть.

Начальный этап создания соединения

Итак, сначала необходимо войти в «Центр управления сетями и общим доступом» (вызвать данный раздел можно либо из стандартной «Панели управления», либо через меню ПКМ на значке сети в системном трее (слева от часов и даты).

Здесь необходимо использовать гиперссылку создания нового сетевого подключения и выбрать подключение к рабочему месту. Далее будет предложено использовать либо имеющееся подключение через VPN, либо прямой набор номера.

Выбирайте первый, поскольку использование второго имеет смысл только в том случае, если связь осуществляется через оператора мобильной связи с использованием модема.

Далее вопрос о том, как настроить L2TP-соединение, предполагает выбор отложенного подключения, а не немедленной установки связи (такое действие рекомендовано, но обязательным не является, и единого решения по этому поводу нет).

На следующем этапе будьте особо внимательны, поскольку точность ввода адреса сервера здесь играет первостепенную роль. Вписываете адрес, вводите произвольное название нового соединения (тип местоназначения), после чего в чекбоксе ставите флажок на запоминание введенных данных (это избавит вас от постоянного ввода информации при последующих входах). Далее просто нажимаете кнопку создания подключения, после чего оно появится в разделе сетевых настроек и в системном трее.

Теперь самое главное. Новое подключение вроде бы и создано, но без дополнительных настроек работать оно может некорректно.

Используйте свойства соединения через меню ПКМ, а затем на вкладке безопасности для типа соединения L2TP выберите одноименный протокол с IPsec (уровень защиты). Это тоже обязательный параметр. Все остальные настройки, предлагаемые к использованию по умолчанию, в принципе, можно оставить без изменений.

Иногда на некоторых нестандартных моделях маршрутизаторов нужно будет в параметрах веб-интерфейса указать тип соединения PPTP L2TP, однако при использовании обычных роутеров и ADSL-модемов такие действия не требуются.

Возможные ошибки и сбои

Что же касается появления ошибок и сбоев при установке подключения к интернету через созданное соединение, тут проблем может быть сколько угодно. Самая главная состоит в обычной невнимательности пользователя, который просто неправильно вписал адрес сервера или ввел недействительные логин и пароль.

Второй момент, на который следует обратить внимание, — свойства протокола IPv4. В его параметрах и настройках в обязательном порядке должно быть указано автоматическое получение всех адресов, включая и IP, и DNS. Кроме того, для локальных адресов должно быть отключено использование прокси. Имейте в виду, что со статическими IP беспроводные технологии работать не хотят. Единственный вариант – подключение нескольких терминалов, объединенных в локальную или виртуальную сеть через один L2TP-сервер (в этом случае логины и пароли присваиваются каждой машине).

Наконец, если и при такой постановке вопроса возникают ошибки, попробуйте использовать бесплатные DNS-адреса для предпочитаемого и альтернативного сервера, предоставляемые, например, Google (сочетания четверок и восьмерок).

Вместо послесловия

Вот, собственно, и все, что касается L2TP-соединения. Что это за технология и как установить соответствующее подключение, думается, уже понятно. Если внимательно посмотреть на практические действия, все они представляют собой стандартную процедуру создания VPN-подключения. Разница состоит только в том, что обязательно нужно указать адрес соответствующего сервера и выбрать протокол с предпочитаемым уровнем защиты. Настройки маршрутизаторов в данном материале не рассматривались принципиально, поскольку в большинстве случаев можно обойтись и без их изменения.

Что такое L2TP — энциклопедия lanmarket.ua


Layer 2 Tunneling Protocol (L2TP) — это протокол туннелирования второго уровня. Он является расширением протокола туннелирования «точка-точка» (PPTP), используемого поставщиками интернет-услуг (ISP) для обеспечения работы виртуальной частной сети VPN через Интернет. L2TP объединяет лучшие функции двух других протоколов туннелирования: PPTP от Microsoft и L2F от Cisco Systems. Два основных компонента, которые составляют L2TP, — это L2TP Access Concentrator, который является устройством, физически завершающим вызов и сетевой сервер L2TP Network Serve (LNS), который является устройством, завершающим и, возможно, аутентифицирующим поток PPP. 



PPP определяет средство инкапсуляции для передачи многопротокольных пакетов по каналам «точка-точка» второго уровня (L2). Как правило, пользователь подключается к серверу сетевого доступа (NAS) через ISDN, ADSL, dialup POTS или другую службу и запускает PPP по этому соединению. В этой конфигурации конечные точки сеанса L2 и PPP находятся на одном NAS. 


L2TP использует сетевые подключения с коммутацией пакетов, чтобы обеспечить возможность размещения конечных точек на разных машинах. У пользователя есть соединение L2 с концентратором доступа, который затем туннелирует отдельные кадры PPP в NAS, так что пакеты могут обрабатываться отдельно от местоположения окончания схемы. Это означает, что соединение может прекратиться на концентраторе локальной сети, исключая возможные междугородные платежи и другие преимущества. С точки зрения пользователя, нет никакой разницы в операции. 

Типичная сеть с L2TP 


На рисунке показана типичная сеть приложения VPDN на основе L2TP. 



Как видим, концентратор доступа L2TP (LAC) подключен к сети коммутатора. LAC является конечной системой PPP и может обрабатывать L2TP. Обычно LAC — это NAS, который предоставляет услуги доступа для пользователей через PSTN или ISDN. Сетевой сервер L2TP (LNS) действует как один узел системы конечных точек PPP и используется для обработки сервера L2TP. 


LAC находится между LNS и удаленной системой и пересылает пакеты каждому из них. Пакеты, отправленные из удаленной системы в LNS, требуют туннелирования с протоколом L2TP. Пакеты, отправленные из LNS, декапсулируются, а затем пересылаются в удаленную систему. Соединение LAC с удаленной системой является локальным или PPP-соединением. Для приложений VPDN соединения обычно являются PPP-соединениями. 


LNS действует как одна сторона туннеля L2TP и представляет собой одноранговую связь с LAC. LNS является логической точкой завершения сеанса PPP, который туннелируется из удаленной системы с помощью LAC. 


Соединение L2TP состоит из двух компонентов: туннеля и сеанса. Туннель обеспечивает надежный транспорт между двумя конечными точками управления L2TP (LCCEs) и содержит только управляющие пакеты. Сессия логически содержится в туннеле и имеет пользовательские данные. Один туннель может содержать несколько сеансов, причем данные пользователя сохраняются отдельно по номерам идентификаторов сеанса в заголовках инкапсуляции данных L2TP. 


Очевидно, что в спецификации L2TP отсутствуют какие-либо механизмы безопасности или аутентификации. Типично развертывать L2TP наряду с другими технологиями, например IPSec, для обеспечения этих функций. Это дает L2TP гибкость для взаимодействия с различными механизмами безопасности внутри сети.


 Четыре примера использования, рассмотренные ниже, иллюстрируют, как L2TP работает в различных сценариях, от простых двухточечных соединений до крупных сетей. Независимо от того, работаете ли вы на одной корпоративной локальной сети или сложной многосайтовой сети, L2TP обладает масштабируемостью, подходящей для вашей архитектуры. 

L2TP / IPSec как VPN


Сегодня с использованием различных мобильных устройств на всех предприятиях, а также широко распространенной широкополосной связи в домашних условиях, большинство корпоративных сетей должны предоставлять удаленный доступ в качестве основной необходимости. Технологии VPN являются неотъемлемой частью настройки сети. 


Поскольку L2TP не предоставляет никаких механизмов аутентификации или шифрования напрямую, оба из которых являются ключевыми функциями VPN, L2TP обычно сопряжен с IPSec для обеспечения шифрования пользовательских и управляющих пакетов в туннеле L2TP. На рисунке 1 показана упрощенная конфигурация VPN. Здесь корпоративная сеть справа содержит сетевой сервер L2TP (LNS), обеспечивающий доступ к сети. Удаленные рабочие и мобильные устройства могут подключаться к корпоративной сети через туннели L2TP, защищенные IPSec, через любую промежуточную сеть (скорее всего, Интернет). 



Клиенты, подключенные к VPN, часто запускают прямое программное обеспечение L2TP и IPSec. Обычно нет необходимости устанавливать дополнительное программное обеспечение в клиентских системах для связи с сервером L2TP VPN: программное обеспечение L2TP VPN предоставляется с системами Windows, OS X, iOS, Android и Linux. 

L2TP для расширения локальной сети (LAN) 


VPN на основе L2TP хорошо работает, чтобы позволить отдельным клиентам создавать отдельные линки с удаленной локальной сетью. Наш следующий пример использует концепцию VPN и работает с ней, используя L2TP для объединения двух или более LAN. Многим предприятиям приходится управлять несколькими удаленными местами, все из которых должны обмениваться данными и сетевой инфраструктурой. Используя L2TP для обеспечения туннелей между каждой отдельной локальной сетью, мы можем создать единую сеть с легким доступом к ресурсам из любого места. 


На рисунке 2 показано простое развертывание с использованием L2TP для объединения двух локальных сетей через Интернет. Вместо того, чтобы запускать программное обеспечение L2TP на каждом хосте в каждом офисе, отдельная машина используется в качестве конечной точки LCCE в каждом офисе. Машины LCCE соединяют Ethernet-каналы из локальной сети с интерфейсом L2TP на удаленный сайт, тем самым выступая в качестве шлюза между ЛВС. В зависимости от конфигурации локальной сети и характера промежуточной сети может потребоваться добавить фильтры пакетов в LCCE, чтобы ограничить определенный трафик в локальной сети, а не передавать его по туннелю. 



Как и в случае point-to-point VPN, безопасность важна для удаленных офисных подключений. IPSec обычно развертывается для обеспечения шифрования трафика между сайтами. 

L2TP как часть сети интернет-провайдера 


До сих пор мы рассматривали использование L2TP как средство расширения корпоративной сети, но по мере того, как мы расширяемся за пределами офиса, L2TP продолжает оставаться полезным. В следующем примере (см. Рис. 3) показано, как L2TP используется как часть сети Интернет-провайдера (ISP). Здесь L2TP используется для туннелирования данных из помещения клиента в IP-сеть ISP. L2TP-туннели и сеансы охватывают промежуточную сеть, управляемую поставщиком, который напрямую продает доступ к ISP. 



Отдельные клиенты подключаются к локальному LCCE, действующему в качестве концентратора доступа L2TP (LAC), который управляется оптовым поставщиком. LAC будет динамически создавать туннели L2TP и сеансы для интернет-провайдера клиента. 


Такая конфигурация позволяет провайдеру управлять распределением IP-адресов клиентов и доступом к Интернету по своему усмотрению, поскольку каждое клиентское устройство ведет себя так, как если бы оно было подключено к сети L2. 

L2TP в сети Wi-Fi с открытым доступом


В нашем последнем примере рассматривается создание сетей в городских районах или крупном корпоративном кампусе, использование L2TP в качестве неотъемлемой части сети Wi-Fi общего доступа. 


В конфигурации, показанной на рисунке 4, локальные точки доступа Wi-Fi предоставляют клиентским устройствам доступ к Интернету. Каждая точка доступа пересылает данные клиента через сеанс L2TP в централизованную сеть. Эта сеть управляет распределением IP-адресов и маршрутизацией в Интернет, как правило, с преобразованием сетевых адресов. 



Использование L2TP в этой сети позволяет одному поставщику предоставлять доступ к Интернету широкому кругу клиентов без необходимости управлять подключением к Интернету в каждом месте точки доступа Wi-Fi. Выбор WiMax в качестве межсетевого соединения позволяет городским сетям предоставлять Wi-Fi доступ с использованием одного высокоскоростного интернет-соединения. 


Хотя L2TP имеет историю, являющуюся довольно неясным протоколом, L2TPv3 обеспечивает огромную гибкость для всех видов использования. В любой ситуации, когда вам нужна плоская топология и конфигурация «второго уровня» сети Layer 2, L2TP — это зрелая технология, которая может работать хорошо. Как и в случае с любым установленным и открытым протоколом, L2TP широко поддерживается на различных целевых платформах, включая мобильные устройства. Более того, при использовании нескольких проектов, поддерживающих L2TP на платформах Linux или BSD, нет необходимости делать дорогостоящие инвестиции в оборудование для поддержки развертывания L2TP в вашей сети.

Что такое L2TP-соединение

Некоторые интернет-провайдеры предоставляют свои услуги, используя протокол L2TP. Точно в таком же протоколе нуждаются коммерческие сетевые сервисы VPN. Главным преимуществом такого туннельного протокола является то, что они способны создавать туннель в различных сетях, включая IP, ATM, X.25 и Frame Relay.

Как настроить L2TP-соединение в Windows.

ВАЖНО. Настройка L2TP предполагает выполнение некоторых последовательных действий, порядок которых нельзя изменять, чтобы исключить возникновение ошибок. В противном случае все осуществляемые манипуляции будут напрасными, поскольку обеспечить успешное подключение к интернету будет невозможно. 

Основные правила настройки

Если вы решили разобраться, как обеспечить сетевое соединение, применяя протокол L2TP, вам будет полезно ознакомиться с нашими рекомендациями. Они позволят избежать серьёзных ошибок, провоцирующих разочарование и отрицательный конечный результат. Только чётко следуя указанному алгоритму действий, удаётся осуществить успешное соединение.

Однако важно учитывать, что только одного вашего желания для настройки протокола L2TP явно недостаточно. По этой причине первоначально убедитесь в том, что на вашем компьютере и у вас есть то, что является необходимым условием для настройки такого подключения.

В частности, важно:

  • чтобы у вас на компьютере была установлена такая операционная система, как Windows;
  • имелся корпоративный сетевой адрес VPN, к которому вы намерены подключиться;
  • был в наличии логин и пароль, гарантирующие абсолютное подключение к этой частной сети или провайдеру, предоставляющему услуги по такому протоколу.

ВАЖНО. При выполнении всех обозначенных условий вам можно изучать рекомендации далее, а затем на практике закреплять полученные знания, развивая свои технические умения. 

Пошаговая инструкция

Первоначально сориентируйтесь, где располагается значок, ориентирующий пользователя на то, какие подключения к интернету выполнены. Найти такой значок несложно, он располагается в нижней части экрана с правой стороны, рядом с часами. Наведите курсор мышки на этот значок и кликните левой клавишей. Сразу же отобразится небольшое окно, в котором будет предложено открыть «Центр управлениям сетями и общим доступом». Воспользуйтесь этим предложением, кликните по этой строке.

Долго ожидать вам не придётся, поскольку сразу же на экране возникнет новое окно, в котором вы легко найдёте такое предложение, как «Создание и настройка нового подключения или сети».

Можете не размышлять продолжительное время по поводу того, что делать дальше. Мы рекомендуем вам незамедлительно воспользоваться этим предложением, поскольку именно этот шаг сориентирует вас двигаться в правильном направлении, которое приведёт к успешной реализации установленных целей.

После этого мастер предложит выбрать из представленного списка приемлемый для вас вариант подключения. Поскольку вы ориентированы на протокол L2TP, выбирайте последнюю строку «Подключение к рабочему месту».

Мастер продолжит автоматическое выполнение задач, время от времени предлагая вам делать выбор определённых, но чётко обозначенных им вариантов действий. От вашего выбора, конечно же, напрямую зависит конечный результат. В частности, после того, как мастер предложит воспользоваться имеющимся подключением, вы откажитесь от этого предложения и согласитесь на новый вариант подключения.

Когда в окне мастера появится очередной список предлагаемых действий, остановите свой выбор на таком варианте, как «Использовать моё подключение к интернету (VPN)».

А вот перед выполнением последующих шагов придётся учесть особенности вашего конкретного интернет-подключения. Чаще всего вам вполне будет достаточно воспользоваться таким предложением, как «Установить подключение к интернету», но иногда приходится останавливать свой выбор на «Отложить настройку подключения к интернету». К сожалению, здесь мы не можем вам предоставить единый универсальный для всех случаев «рецепт», поскольку всё зависит от того провайдера, который будет обеспечивать сетевое подключение.

Далее, вам потребуется ввести адрес частной сети VPN или вашего провайдера. В поле ниже пропишите имя объекта назначения. Здесь можете проявить свою фантазию, поскольку название может быть любым, никакие ограничения не распространяются на эти действия.

В чекбоксе возле строки «Запомнить учётные данные» не забудьте установить галочку, чтобы впоследствии исключить необходимость постоянного введения необходимых сведений.

Смело нажимайте на кнопку «Создать», чтобы завершить создание нового сетевого подключения. Теперь вы автоматически переориентируетесь мастером настройки в центр управления сетевыми каналами. В этом окне вы увидите ярлык вашего нового интернет-подключения, которое функционирует благодаря протоколу L2TP.

Предлагаем вам правой клавишей мышки кликнуть по нему и перейти на последний параметр «Свойства». В окне, которое мгновенно возникает после вашего такого запроса, осуществите переход на третью вкладку «Безопасность», именно здесь мы внесём ещё некоторые небольшие изменения.

В частности, в самой первой строке «Тип VPN» пропишите предлагаемую нами фразу «Протокол L2TP с IPSec». Остальные параметры оставьте без изменения, поскольку мастер настроек вносит все важные изменения автоматически. Если всё-таки ваше участие необходимо, тогда провайдер вас об этом должен обязательно уведомить, предоставляя информацию, которую важно ввести вам уже лично в окно настроек. Не забудьте кликнуть по кнопке Ok, чтобы все внесённые вами изменения были успешно сохранены.

После этих ваших манипуляций подключиться к такой сети будет просто. Достаточно будет кликнуть по значку уведомлений интернет-подключений и выбрать соответствующее сетевое название, которое именно вы придумали в процессе выполнения сетевых настроек.

Если вы забыли сориентировать мастер сетевых настроек на автоматическое сохранение паролей, вам придётся после выбора интернет-подключения вводить и логин, и пароль. Конечно, можно устранить этот ваш промах и после введения логина и пароля поставить галочку в чекбоксе возле предложения о соответствующем сохранении.

Что такое L2TP и IPSec протоколы

L2TP (Layer 2 Tunnelling Protocol) – использующийся при построения виртуальных частных сетей протокол второго уровня. L2TP включает в себя протоколы Layer 2 Forwarding (L2F) от компании Cisco и Point-to-Point Tunneling Protocol (PPTP) от Microsoft. В VPN cетях позволяет создавать туннели с необходимыми приоритетами доступа, однако, из-за отсутствия механизмов шифрования и аутентификации, используется совместно с шифрующим протоколом IPSec (IP-security).

Главным плюсом L2TP перед PPTP считается легкость в работе с брандмауэрами. Большинство из них адекватно воспринимают поток информации, поскольку L2TP пропускает данные и управляется через один порт UDP (User Datagram Protocol). Устаревший PPTP же, в свою очередь, отправляет пользовательскую информацию через GRE (Generic Routing Encapsulation), а управляющую через TCP. Кроме того, благодаря используемому протоколу IPSec, L2TP является более надежным в плане шифрования. Встроен во все современные операционные системы.

Преимущества L2TP протокола перед PPTP:

  • Не блокируется брандмауэрами
  • Обеспечивает более стабильное соединение
  • Легче в настройке и работе
  • Безопаснее благодаря дополнительным протоколам
  • Не имеем серьезных уязвимостей

Однако, по сравнению с технологией OpenVPN протокол L2TP серьезно проигрывает в скорости работы, т.к. первый работает на базе открытого исходного кода и использует библиотеку SSL.

Что такое IPSec протокол

IPSec (IP Security) – созданный в середине 90-х протокол, включающий в себя более десятка стандартов повышающих безопасность в среде IP адресов. Чаще всего применяется для создания VPN соединений с определенным уровнем шифрования и аутентификации. По сути, работает на основе добавления уникальных заголовков к пакетам, передаваемым по виртуальной сети.

Немного о стандартах (дополнительных протоколах) включенных в сборку IPSec. RFC 2402 AH (Authentication Header) – протокол отвечающий за идентификацию. В зависимости от типа шифрования проверяет определенные части пакета на изменения, чем и гарантирует целостность. Однако иногда этот стандарт-протокол вызывает проблемы связанные с сетевым экраном, т.к. при прохождении через NAT во многих случаях изменяется IP адрес пакета. Соответственно, меняется и контрольная сумма, что приводит к «эффекту подмены».

RFC 2406 ESP (Encapsulating Security Protocol) – стандарт отвечающий за безопасность. В отличие от AH не отвечает как за целостность, так и за шифрование пакетов. Также работает по принципу инкапсуляции заголовка, что обязывает пользователя при использовании ESP/AH соответствующе настраивать свой FireWall.

RFC 2409 IKE (Internet Key Exchange protocol) – занимается обменом ключами между узлами VPN. Создает их автоматически, чем снимает проблему ручного создания и регулярной замены ключей. Использует 500 UDP порт, который и нужно добавлять в правила файерволла.

Подводя итоги можно сказать, что сам по себе L2TP, хотя и является обновленной версией PPTP, использовать можно только в связке с одним из способных шифровать трафик протоколов включенных в пакет IPSec. Сам же IPSec сочетает в себе более десяти протоколов-стандартов, которые появлялись и дорабатывались с течением времени. В целом, на сегодняшний день L2TP/IPSec иногда используются только в частных приватных сетях – анонимные VPN сервисы давно предпочитают универсальный OpenVPN, т.к. данная технология практически по всем параметрам, включая безопасность, превосходит любые другие протоколы и библиотеки.

L2TP — это… Что такое L2TP?

L2TP
Название:

Layer 2 Tunneling Protocol

Уровень (по модели OSI):

Канальный

Семейство:

TCP/IP

Создан в:

1999 г.

Порт/ID:

1701/TCP, 1701/UDP

Назначение протокола:

построение VPN

Спецификация:

RFC 2661

L2TP (англ. Layer 2 Tunneling Protocol — протокол туннелирования второго уровня) — в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.[1]

Несмотря на то, что L2TP действует наподобие протокола Канального уровня модели OSI, на самом деле он является протоколом Сеансового уровня и использует зарегистрированный UDP-порт 1701.[2]

История

Считается, что протокол L2TP вобрал в себя лучшие черты PPTP и L2F.[1]

Схема работы

На диаграмме показана схема работы протокола L2TP. Целью здесь является туннелирование кадров PPP между удаленной системой или клиентом LAC (L2TP Access Concentrator) и LNS (L2TP Network Server), размещенной в LAN.[3]

Удаленная система инициирует PPP-соединение с LAC через коммутируемую телефонную сеть PSTN (Public Switched Telephone Network). LAC затем прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, и таким образом осуществляется доступ к исходной LAN. Адреса удаленной системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация и аккаунтинг могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS.

LAC-клиент (ЭВМ, которая исполняет программу L2TP) может также участвовать в туннелировании до исходной LAN без использования отдельного LAC, если ЭВМ, содержащая программу LAC-клиента, уже имеет соединение с Интернет. Создается «виртуальное» PPP-соединение, и локальная программа L2TP LAC формирует туннель до LNS. Как и в вышеописанном случае, адресация, аутентификация, авторизация и аккаунтинг будут обеспечены областью управления исходной LAN.

Обзор протокола

L2TP использует два вида пакетов: управляющие и информационные сообщения. Управляющие сообщения используются при установлении, поддержании и аннулировании туннелей и вызовов. Информационные сообщения используются для инкапсуляции PPP-кадров, пересылаемых по туннелю. Управляющие сообщения используют надежный контрольный канал в пределах L2TP, чтобы гарантировать доставку. Информационные сообщения при потере не пересылаются повторно.

Структура протокола:

PPP кадры
L2TP информационные сообщенияL2TP управляющие сообщения
L2TP информационный канал (ненадёжный)L2TP канал управления (надёжный)
Транспортировка пакетов (UDP, FR, ATM и т.д.)

Управляющее сообщение имеет порядковый номер, используемый в управляющем канале для обеспечения надежной доставки. Информационные сообщения могут использовать порядковые номера, чтобы восстановить порядок пакетов и детектировать потерю кадров. Все коды посылаются в порядке, принятом для сетей.

Формат заголовка

Пакеты L2TP для контрольного и информационного каналов используют один и тот же формат заголовка:

01234567891011121314151631
TLxxSxOPxxxxВерсияДлина(опц)
ID туннеляID сессии
Ns (опц)Nr (опц)
Offset Size (опц)Offset Pad (опц)……
Payload data
  • Бит тип (T) характеризует разновидность пакета.

Он устанавливается равным 0 для информационных сообщений и 1 — для управляющих.

  • Если бит длины (L) равен 1, поле длина присутствует.

Для управляющих сообщений этот бит должен быть равен 1.

  • Биты x зарезервированы для будущих применений.

Все зарезервированные биты должны быть установлены равными 0 для исходящих сообщений и игнорироваться для входящих.

  • Если бит последовательности (S) равен 1, присутствуют поля Ns и Nr.

Бит S для управляющих сообщений должен быть равен 1.

  • Если бит смещения (O) равен 1, поле величины смещения присутствует.

Бит O для управляющих сообщений должен быть равен 0.

  • Бит приоритета (Р) должен быть равен 0 для всех управляющих сообщений. Для информационных сообщений — если этот бит равен 1, это информационное сообщение имеет приоритет в очереди.
  • Поле Ver указывает версию заголовка информационного сообщения L2TP.

Значение 1 зарезервировано для детектирования пакетов L2F в условиях, когда они приходят вперемешку с L2TP-пакетами. Пакеты, полученные с неизвестным значением поля Ver, отбрасываются.

  • Поле Длина (опционально) указывает общую длину сообщения в октетах.
  • ID-туннеля содержит идентификатор управляющего соединения. Идентификаторы туннеля L2TP имеют только локальное значение. То есть, разные концы одного туннеля должны иметь разные ID. ID-туннеля в каждом сообщении должно быть тем, которое ожидает получатель. ID-туннеля выбираются при формировании туннеля.
  • ID-сессии определяет идентификатор для сессии данного туннеля. Сессии L2TP именуются с помощью идентификаторов, которые имеют только локальное значение. ID-сессии в каждом сообщении должно быть тем, которое ожидает получатель. ID-сессии выбираются при формировании сессии.
  • Поле Ns определяет порядковый номер информационного или управляющего сообщения, начиная с нуля и увеличиваясь на 1 (по модулю 216) для каждого посланного сообщения.
  • Поле Nr содержит порядковый номер, который ожидается для следующего сообщения. Таким образом, Nr делается равным Ns последнего по порядку полученного сообщения плюс 1 (по модулю 216). В информационных сообщениях, Nr зарезервировано и, если присутствует (это определяется S- битом), должно игнорироваться при получении.
  • Поле величина смещения (Offset Size), если имеется, специфицирует число октетов после заголовка L2TP, где должно начинаться поле данных. Содержимое заполнителя смещения не определено. Если поле смещения присутствует, заголовок L2TP завершается после завершающего октета заполнителя смещения.

Типы управляющих сообщений

Тип сообщения AVP определяет специфический тип посылаемого управляющего сообщения.

Управление контрольным соединением

  • 0 (зарезервировано)
  • 1 (SCCRQ) Start-Control-Connection-Request
  • 2 (SCCRP) Start-Control-Connection-Reply
  • 3 (SCCCN) Start-Control-Connection-Connected
  • 4 (StopCCN) Stop-Control-Connection-Notification
  • 5 (зарезервировано)
  • 6 (HELLO) Hello

Управление вызовами (Call Management)

  • 7 (OCRQ) Outgoing-Call-Request
  • 8 (OCRP) Outgoing-Call-Reply
  • 9 (OCCN) Outgoing-Call-Connected
  • 10 (ICRQ) Incoming-Call-Request
  • 11 (ICRP) Incoming-Call-Reply
  • 12 (ICCN) Incoming-Call-Connected
  • 13 (зарезервировано)
  • 14 (CDN) Call-Disconnect-Notify

Сообщения об ошибках

  • 15 (WEN) WAN-Error-Notify

Управление сессией PPP

Протокольные операции

Необходимая процедура установления PPP-сессии туннелирования L2TP включает в себя два этапа:

  • установление управляющего канала для туннеля
  • формирование сессии в соответствии с запросом входящего или исходящего вызова.

Туннель и соответствующий управляющий канал должны быть сформированы до инициализации входящего или исходящего вызовов. L2TP-сессия должна быть реализована до того, как L2TP сможет передавать PPP-кадры через туннель. В одном туннеле могут существовать несколько сессий между одними и теми же LAC и LNS.

PPP-туннелирование:

Управляющее соединение

Является первичным, которое должно быть реализовано между LAC и LNS перед запуском сессии. Установление управляющего соединения включает в себя безопасную идентификацию партнера, а также определение версии L2TP, возможностей канала, кадрового обмена и т. д.

L2TP включает в себя простую, опционную, CHAP-подобную систему аутентификации туннеля в процессе установления управляющего соединения.

Установление сессии

После успешного установления управляющего соединения могут формироваться индивидуальные сессии. Каждая сессия соответствует одному PPP информационному потоку между LAC и LNS. В отличие от установления управляющего соединения, установление сессии является асимметричным в отношении LAC и LNS. LAC запрашивает LNS доступ к сессии для входных запросов, а LNS запрашивает LAC запустить сессию для работы с исходящими запросами.

Когда туннель сформирован, PPP-кадры от удаленной системы, получаемые LAC, освобождаются от CRC, канальных заголовков и т. п., инкапсулированных в L2TP, и переадресуются через соответствующий туннель. LNS получает L2TP-пакет и обрабатывает инкапсулированный PPP-кадр, как если бы он был получен через локальный интерфейс PPP.

Отправитель сообщения, ассоциированный с определенной сессией и туннелем, помещает ID сессии и туннеля (специфицированные партнером) в соответствующие поля заголовка всех исходящих сообщений.

Использование порядковых номеров в канале данных

Порядковые номера, определенные в заголовке L2TP, используются для организации надежной транспортировки управляющих сообщений. Каждый партнер поддерживает отдельную нумерацию для управляющего соединения и для каждой информационной сессии в пределах туннеля.

В отличие от канала управления L2TP, информационный канал L2TP использует нумерацию сообщений не для повторной пересылки, а для детектирования потерь пакетов и/или восстановления исходной последовательности пакетов, перемешанных при транспортировке.

LNS может инициировать запрет нумерации сообщений в любое время в ходе сессии (включая первое информационное сообщение).

Механизм keepalive (Hello)

Механизм keepalive используется L2TP для того, чтобы различать простои туннеля и длительные периоды отсутствия управления или информационной активности в туннеле. Это делается с помощью управляющих сообщений Hello после заданного периода времени, истекшего с момента последнего получения управляющего сообщения через туннель. При недоставке сообщения Hello туннель объявляется нерабочим, и система возвращается в исходное состояние. Механизм перевода транспортной среды в исходное состояние путем введения сообщений Hello гарантирует, что разрыв соединения между LNS и LAC будет детектирован на обоих концах туннеля.

Прерывание сессии

Прерывание сессии может быть инициировано LAC или LNS и выполняется путем посылки управляющего сообщения CDN. После того как последняя сессия прервана, управляющее соединение может быть также разорвано.

Разрыв контрольного соединения

Разрыв контрольного соединения может быть инициирован LAC или LNS и выполняется путем посылки одного управляющего сообщения StopCCN.

Реализация L2TP через специфическую среду

Протокол L2TP является самодокументируемым, работающим поверх уровня, который служит для транспортировки. Однако, необходимы некоторые детали подключения к среде, для того чтобы обеспечить совместимость различных реализаций.

Соображения безопасности

Протокол L2TP сталкивается при своей работе с несколькими проблемами безопасности. Ниже рассмотрены некоторые подходы для решения этих проблем.

Безопасность на конце туннеля

Концы туннеля могут опционно выполнять процедуру аутентификации друг друга при установлении туннеля. Эта аутентификация имеет те же атрибуты безопасности, что и CHAP, и обладает разумной защитой против атак воспроизведения и искажения в процессе установления туннеля. Для реализации аутентификации LAC и LNS должны использовать общий секретный ключ.

Безопасность пакетного уровня

Обеспечение безопасности L2TP требует, чтобы транспортная среда могла обеспечить шифрование передаваемых данных, целостность сообщений и аутентификацию услуг для всего L2TP-трафика. Сам же L2TP ответственен за конфиденциальность, целостность и аутентифицированность L2TP-пакетов внутри туннеля.

L2TP и IPsec

При работе поверх IP, IPsec (безопасный IP) предоставляет безопасность на пакетном уровне. Все управляющие и информационные пакеты L2TP в конкретном туннеле выглядят для системы IPsec, как обычные информационные UDP/IP-пакеты. Помимо транспортной безопасности IP, IPsec определяет режим работы, который позволяет туннелировать IP-пакеты, а также средства контроля доступа, которые необходимы для приложений, поддерживающих IPsec. Эти средства позволяют фильтровать пакеты на основе характеристик сетевого и транспортного уровней. В модели L2TP-туннеля аналогичная фильтрация выполняется на PPP-уровне или сетевом уровне поверх L2TP.

Ссылки

  •  (рус.) Протокол L2TP (Layer Two Tunneling Protocol) в Microsoft Technet
  •  (рус.) Настройка L2TP VPN в Windows
  •  (англ.) RFC 2661 Layer Two Tunneling Protocol «L2TP».
  •  (англ.) RFC 2341 Cisco Layer Two Forwarding (Protocol) «L2F». (Предшественник L2TP.)
  •  (англ.) RFC 2637 Point-to-Point Tunneling Protocol (PPTP). (Предшественник L2TP.)
  •  (англ.) RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS.
  •  (англ.) RFC 2888 Secure Remote Access с помощью L2TP.
  •  (англ.) RFC 3070 Layer Two Tunneling Protocol (L2TP) через Frame Relay.
  •  (англ.) RFC 3145 L2TP Disconnect Cause Information.
  •  (англ.) RFC 3193 Защита L2TP используя IPsec.
  •  (англ.) RFC 3301 Layer Two Tunnelling Protocol (L2TP): ATM access network.
  •  (англ.) RFC 3308 Layer Two Tunneling Protocol (L2TP) Differentiated Services.
  •  (англ.) RFC 3355 Layer Two Tunnelling Protocol (L2TP) Over ATM Adaptation Layer 5 (AAL5).
  •  (англ.) RFC 3371 Layer Two Tunneling Protocol «L2TP» Management Information Base.
  •  (англ.) RFC 3437 Layer Two Tunneling Protocol Extensions for PPP Link Control Protocol Negotiation.
  •  (англ.) RFC 3438 Layer Two Tunneling Protocol (L2TP) Internet Assigned Numbers: Internet Assigned Numbers Authority (IANA) Considerations Update.
  •  (англ.) RFC 3573 Signaling of Modem-On-Hold status in Layer 2 Tunneling Protocol (L2TP).
  •  (англ.) RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay for PPP over Ethernet (PPPoE).
  •  (англ.) RFC 3931 Layer Two Tunneling Protocol — Version 3 (L2TPv3).
  •  (англ.) RFC 4045 Extensions to Support Efficient Carrying of Multicast Traffic in Layer-2 Tunneling Protocol (L2TP).
  •  (англ.) IANA assigned numbers for L2TP.
  •  (англ.) L2TP Extensions Working Group (l2tpext) — (where future standardization work is being coordinated).
  •  (англ.) L2TP/IPSec from XP client to Windows 2003 Server — L2TP/IPSec from XP client to Windows 2003 Server.
  Виртуальные частные сети (VPN)
Программное обеспечение

Chaply • Check Point VPN-1 • Cisco Systems VPN Client • CloudVPN • CryptoLink • Gbridge • Hamachi • Jabpunch • Microsoft Forefront Unified Access Gateway • n2n • NetworkManager • OpenVPN • Openswan • pLan OpenVPN Edition (ZeroGC Gaming Client) • rp-pppoe • Social VPN • strongSwan • Tinc • tcpcrypt • Vyatta • Wippien

Механизмы
Управляемые поставщиком

Протокол L2TP, настройка, организация удаленного доступа

L2TP (Layer 2 Tunneling Protocol) — наряду с PPTP тоже весьма старый протокол. Использует передачу данных поверх протокола UDP и имеет зарегистрированный порт 1701. Особенность этого протокола состоит в возможности работы не только поверх IP / UDP, но и поверх таких древних протоколов как Frame Relay и ATM, однако эта его особенность сейчас уже не столь актуальна.

Можно считать, что L2TP это логичное развитие протокола PPTP, который избавился от двух соединений (одно из которых — GRE) и добавил себе новые логические сущности — LNS (сервер) и LAC (концентратор). Теперь клиенты подключаются к концентратору, а тот, в свою очередь, подключается к серверу LNS и затем уже в локальную сеть. В реальности, туннель L2TP образуется между концентратором и сервером. Сейчас такая логика выглядит странной, но во времена модемных соединений через телефонную сеть концентратор был важным звеном в приеме соединений от клиентов.

 

Аутентификация

В протоколе L2TP могут быть использованы различные методы аутентификации – PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией, мы не будем описывать их особенности, а лишь отметим, что PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.

 

Шифрование данных

В составе L2TP нет механизма шифрования данных. Для шифрования используется работа L2TP поверх IPsec.

 

Компрессия данных

В составе L2TP нет механизма компрессии данных.

 

Автоматическая проверка работоспособности VPN соединения

L2TP обладает встроенным механизмом проверки работоспособности соедиенения в виде посылки keepalive пакетов Hello. Механизм гарантирует корректный разрыв соединения и освобождение ресурсов с обеих сторон сессии.

 

Разрыв VPN соединения

Разрыв VPN соединения осуществляется в несколько шагов из-за использования двух видов пакетов — управляющих и сессионных, а также из-за наличия сущностей LAC / LNS, однако все эти шаги происходят незаметно для пользователя.

 

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании действующего. Такое переустановление соединения может осуществляться клиентом, но не LAC / LNS.

 

Плюсы:

  • широко распространен
  • просто настраивается

 

Минусы:

  • нет шифрования
  • нет компрессии
  • слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2

PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность «Белый список». В этом случае, установление соединения будет возможно лишь с указанных в списке IP адресов.

 

Далее:

PPTP

IPsec

OpenVPN

 

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей с различными протоколами, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя:

Описание L2TP и IPoE

При работе по протоколу L2TP клиент обязан тратить аппаратные ресурсы своего оборудования (ПК, маршрутизатора) для тоннелирования данных (процесс организации тоннелирования требует как программной поддержки протокола L2TP, так и при начале работы организации авторизованного РРР соединения).

Протокол IPoE (частный случай ISG) не требует дополнительных ресурсов оборудования со стороны клиента (ПК, маршрутизатора) при работе в сети. Клиент первоначально должен пройти процедуру регистрации на портале (процедура не отличается от процедуры регистрации на каком-то форуме или сайте) и работать в сети до момента пока не сменится MAC адрес клиентского оборудования (фактически установится другое оборудование), номер порта клиента на коммутаторе оператора или сам коммутатор.

 

Кратко плюсы и минусы протоколов в реализации К Телекома.

 

L2TP

Необходимость довольно значительных аппаратных ресурсов от клиента,

Необходимость процесса авторизации каждый раз при доступе к сети,

Сессионный доступ — максимальный период сессии 3-е суток, после которого необходимо возобновить сессию послав РРР вызов с авторизацией.

 

+ Возможность «ночного удвоения» полосы пропускания для клиента,

+ Предоставление клиенту при авторизации «публичного динамического ip-адреса из пула».

 

IPoE

Необходимость разовой авторизации, которая привязана к 3-м параметрам (MAC абонента, коммутатор оператора и номер порта на коммутаторе оператора),

Клиенту для работы в сети предоставляется «внутренний динамический ip-адрес из пула», выходящий во внешнюю сеть из-под NAT (при этом возможны проблемы с игровыми серверами требующим прямого доступа до клиентского оборудования, раздачи в торрент-клиентах и невозможность организовать сервисы на стороне клиента, на которые есть необходимость доступа их внешней сети).

 

+ Простота первичной авторизации (не сложнее чем регистрация на форумах и сайтах), отсутствие необходимости такой авторизации каждый раз при необходимости доступа в сеть

+ Нет необходимости иметь со стороны клиента значительных аппаратных ресурсов, которые нужны для работы по протоколу L2TP

 

Для того, чтобы сменить протокол подключения самостоятельно, можно воспользоваться инструкцией.

Что такое L2TP (протокол туннелирования уровня 2)?

Что такое L2TP?

L2TP расшифровывается как Layer 2 Tunneling Protocol, и это — как следует из названия — протокол туннелирования, который был разработан для поддержки VPN-соединений. Как ни странно, L2TP часто используется интернет-провайдерами для обеспечения работы VPN.

L2TP был впервые опубликован в 1999 году. Он был разработан как своего рода преемник PPTP и был разработан как Microsoft, так и Cisco.Протокол использует различные функции протоколов PPTP Microsoft и Cisco L2F (Layer 2 Forwarding) и улучшает их.

Как работает L2TP — основы

L2TP-туннелирование начинается с установления соединения между LAC (L2TP Access Concentrator) и LNS (L2TP Network Server) — двумя конечными точками протокола — в Интернете. Как только это будет достигнуто, канальный уровень PPP включается и инкапсулируется, а затем переносится через Интернет.

Соединение PPP инициируется конечным пользователем (вами) с провайдером.Как только LAC принимает соединение, устанавливается соединение PPP. После этого назначается свободный слот в сетевом туннеле, и запрос затем передается в LNS.

Наконец, когда соединение полностью аутентифицировано и принято, создается виртуальный интерфейс PPP. В этот момент кадры ссылок могут свободно проходить через туннель. Кадры принимаются LNS, который затем удаляет инкапсуляцию L2TP и обрабатывает их как обычные кадры.

Некоторые технические подробности о протоколе L2TP

  • L2TP часто соединяется с IPSec для защиты полезной нагрузки данных.
  • В паре с IPSec L2TP может использовать ключи шифрования длиной до 256 бит и алгоритм 3DES.
  • L2TP работает на нескольких платформах и изначально поддерживается в операционных системах и устройствах Windows и macOS.
  • Функция двойной инкапсуляции L2TP делает его довольно безопасным, но также означает более ресурсоемкий.
  • L2TP обычно использует TCP-порт 1701, но когда он соединен с IPSec, он также использует порты UDP 500 (для IKE — Internet Key Exchange), 4500 (для NAT) и 1701 (для трафика L2TP).

Структура пакета данных L2TP выглядит следующим образом:

  • IP-заголовок
  • IPSec ESP-заголовок
  • UDP-заголовок
  • L2TP-заголовок
  • PPP-заголовок
  • PPP Payload
  • IPSec ESP Trailer
  • IPSec Authentication Trailer

Как работает L2TP / IPSec?

По сути, вот краткий обзор того, как происходит подключение L2TP / IPSec VPN:

  • Сначала согласовывается ассоциация безопасности IPSec (SA — соглашение между двумя сетевыми устройствами по атрибутам безопасности).Обычно это выполняется через IKE и UDP-порт 500.
  • Затем для транспортного режима устанавливается процесс инкапсуляции защищенной полезной нагрузки (ESP). Это выполняется с использованием протокола IP 50. После установки ESP устанавливается защищенный канал между объектами сети (в данном случае VPN-клиент и VPN-сервер). Однако на данный момент никакого реального туннелирования не происходит.
  • Вот где в игру вступает L2TP — протокол согласовывает и устанавливает туннель между конечными точками сети.L2TP использует для этого TCP-порт 1701, а фактический процесс согласования происходит в рамках шифрования IPSec.

Что такое сквозная передача L2TP?

Так как L2TP-соединение обычно должно иметь доступ к сети через маршрутизатор, L2TP-трафик должен иметь возможность проходить через указанный маршрутизатор, чтобы соединение работало. L2TP Passthrough — это, по сути, функция маршрутизатора, которая позволяет вам включать или отключать трафик L2TP на нем.

Вы также должны знать, что — иногда — L2TP плохо работает с NAT (преобразование сетевых адресов) — функцией, которая гарантирует, что несколько подключенных к Интернету устройств, которые используют одну сеть, могут использовать одно и то же соединение и IP-адрес вместо нескольких.Вот когда L2TP Passthrough пригодится, поскольку его включение на вашем маршрутизаторе позволит L2TP хорошо работать с NAT.

Если вы хотите узнать больше о VPN Passthrough, у нас есть статья, которая может вас заинтересовать.

Насколько хороша безопасность L2TP?

Хотя туннелирование L2TP обычно считается улучшением по сравнению с PPTP, очень важно понимать, что шифрование L2TP не существует само по себе — протокол его не использует. В результате использовать только протокол L2TP при подключении к сети — не лучший шаг.

Вот почему L2TP всегда работает в паре с IPSec, который является довольно безопасным протоколом. Он может использовать мощные шифры шифрования, такие как AES, а также использует двойную инкапсуляцию для дополнительной защиты ваших данных. По сути, трафик сначала инкапсулируется, как обычное соединение PPTP, а затем происходит вторая инкапсуляция благодаря IPSec.

Тем не менее, стоит упомянуть, что ходили слухи, что L2TP / IPSec был либо взломан, либо намеренно ослаблен АНБ.Сейчас нет никаких четких доказательств этим утверждениям, хотя они исходят от самого Эдварда Сноудена. Итак, в конечном итоге это зависит от того, хотите ли вы верить ему на слово. Однако вы должны знать, что Microsoft была первым партнером программы слежки NSA PRISM.

По нашему личному мнению, L2TP / IPSec является достаточно безопасным протоколом VPN, но вы также должны убедиться, что используете надежного VPN-провайдера без регистрации. Кроме того, если вы имеете дело с очень конфиденциальной информацией, лучше просто использовать более безопасный протокол или попробовать каскадирование VPN.

Насколько быстр L2TP?

Сам по себе L2TP считается очень быстрым из-за отсутствия шифрования. Конечно, незащищенность ваших подключений очень серьезна, и ее не следует упускать из виду ради скорости.

Что касается L2TP / IPSec, протокол VPN может предложить приличную скорость, хотя рекомендуется иметь быстрое широкополосное соединение (где-то около 100 Мбит / с или более) и довольно мощный процессор. В противном случае вы можете увидеть некоторое снижение скорости, но ничего слишком серьезного, что испортило бы вашу работу в сети.

Насколько легко настроить L2TP?

На большинстве устройств Windows и macOS это так же просто, как просто зайти в настройки сети и выполнить несколько шагов, чтобы установить и настроить L2TP-соединение. То же самое и с протоколом L2TP / IPSec VPN — обычно вам может потребоваться просто изменить один или два параметра, чтобы выбрать шифрование IPSec.

L2TP и L2TP / IPSec довольно просто настроить вручную на устройствах без собственной поддержки. Возможно, вам придется выполнить несколько дополнительных шагов, но весь процесс настройки не должен занять у вас слишком много времени или потребовать слишком много знаний и усилий.

Что такое L2TP VPN?

Как следует из названия, L2TP VPN — это служба VPN, которая предлагает пользователям доступ к протоколу L2TP. Имейте в виду, что вы вряд ли найдете поставщика VPN, который предлагает доступ только к L2TP самостоятельно. Обычно вы видите только тех провайдеров, которые предлагают L2TP / IPSec, чтобы обеспечить безопасность данных и трафика пользователей.

Однако в идеале вам следует выбрать поставщика VPN, который предлагает доступ к нескольким протоколам VPN. Только возможность использовать L2TP сам по себе обычно является красным флагом, и просто иметь доступ к L2TP / IPSec не так уж и плохо, но нет причин, по которым вы должны ограничиваться только им.

L2TP Преимущества и недостатки

Преимущества
  • L2TP можно объединить с IPSec для обеспечения достойного уровня онлайн-безопасности.
  • Протокол

  • L2TP доступен на многих платформах Windows и macOS, поскольку он встроен в них. Он также работает на многих других устройствах и операционных системах.
  • L2TP довольно легко настроить, то же самое и для L2TP / IPSec.
Недостатки
  • L2TP не имеет собственного шифрования.Он должен быть сопряжен с IPSec для надлежащей онлайн-безопасности.
  • L2TP и L2TP / IPSec якобы были ослаблены или взломаны АНБ — хотя это только по словам Сноудена, и нет веских доказательств, подтверждающих это утверждение.
  • Из-за функции двойной инкапсуляции L2TP / IPSec имеет тенденцию быть немного ресурсоемким и не очень быстрым.
  • L2TP может быть заблокирован брандмауэрами NAT, если он не настроен для их обхода.

Нужен надежный L2TP VPN?

У нас есть именно то, что вам нужно — высокопроизводительный высокоскоростной VPN-сервис, который может предложить вам бесперебойную работу в сети с хорошо настроенным и оптимизированным протоколом L2TP / IPSec.Более того, вы также можете выбрать один из пяти других протоколов VPN: OpenVPN, IKEv2 / IPSec, SoftEther, PPTP, SSTP.

И да, наш протокол L2TP / IPSec VPN встроен в наши удобные для пользователя клиенты VPN, поэтому установить соединение очень просто.

Наслаждайтесь первоклассной безопасностью и душевным спокойствием

Мы хотим убедиться, что вам никогда не придется беспокоиться о злонамеренном слежении и злобных киберпреступниках в Интернете, поэтому мы позаботились о том, чтобы вы (в зависимости от вашей операционной системы) использовали либо AES-256, либо AES-128 с нашим L2TP / IPSec протокол.

Мало того, мы также придерживаемся строгой политики отказа от регистрации в нашей компании, что означает, что вам никогда не нужно беспокоиться о том, что кто-то в CactusVPN знает, что вы делаете в Интернете.

Специальное предложение! Получите CactusVPN за 2,7 доллара в месяц!

И как только вы станете клиентом CactusVPN, у нас все равно будет 30-дневная гарантия возврата денег.

Сохранить 72% сейчас

L2TP в сравнении с другими протоколами VPN

Мы будем сравнивать L2TP / IPSec с другими протоколами VPN в этом разделе.L2TP сам по себе предлагает нулевую безопасность, поэтому почти все провайдеры VPN предлагают его вместе с IPSec. Итак, когда вы обычно видите, что провайдер VPN говорит о протоколе L2TP и предлагает доступ к нему, на самом деле они имеют в виду L2TP / IPSec.

L2TP против PPTP

Во-первых, L2TP предлагает более высокий уровень безопасности по сравнению с PPTP (протокол туннелирования точка-точка) благодаря IPSec. Более того, по сравнению со 128-битным шифрованием PPTP, L2TP предлагает поддержку 256-битного шифрования. Кроме того, L2TP может использовать чрезвычайно безопасные шифры, такие как AES (шифрование военного уровня), в то время как PPTP застрял на MPPE, который не так безопасен в использовании.

Что касается скорости, PPTP имеет тенденцию быть намного быстрее, чем L2TP, но он проигрывает протоколу L2TP, когда дело доходит до стабильности, поскольку PPTP очень легко заблокировать с помощью брандмауэров. Поскольку L2TP работает через UDP, это труднее реализовать. Кроме того, провайдер VPN может еще больше настроить протокол, чтобы убедиться, что он не блокируется межсетевыми экранами NAT.

Наконец, есть также тот факт, что PPTP был разработан исключительно Microsoft (компанией, которая, как известно, утекает конфиденциальные данные в АНБ), а L2TP был разработан Microsoft в сотрудничестве с Cisco.По этой причине некоторые пользователи считают L2TP более безопасным и надежным. Кроме того, известно, что PPTP был взломан NSA, в то время как L2TP только предположительно был взломан NSA (еще не доказано).

В общем, вы должны знать, что L2TP считается улучшенной версией PPTP, поэтому вы всегда должны выбирать его вместо этого протокола.

Если вы хотите узнать больше о протоколе PPTP VPN, прочтите эту статью.

L2TP vs.IKEv2

Стоит упомянуть, что IKEv2 — это протокол туннелирования, основанный на IPSec, поэтому вы часто будете видеть, как провайдеры VPN говорят о IKEv2 / IPSec, когда они ссылаются на IKEv2. Таким образом, вы обычно получаете тот же уровень безопасности с IKEv2, что и с L2TP, с той лишь разницей, что от Сноудена нет слухов о том, что IKEv2 был ослаблен АНБ.

Кроме того, IKEv2 намного надежнее L2TP, когда дело касается стабильности, и все это благодаря протоколу Mobility and Multihoming (MOBIKE), который позволяет протоколу противостоять изменениям в сети.По сути, с IKEv2 вы можете свободно переключаться с Wi-Fi на свой тарифный план, не беспокоясь о том, что VPN-соединение разорвется. IKEv2 также может автоматически возобновить работу после внезапного прерывания вашего VPN-соединения (например, при отключении электроэнергии).

Хотя IKEv2 также был разработан Microsoft совместно с Cisco, еще одна причина, по которой многие люди предпочитают его протоколу L2TP, заключается в том, что существуют версии IKEv2 с открытым исходным кодом, что делает его более надежным.

Если вы хотите узнать больше о IKEv2, прочтите эту статью.

L2TP против OpenVPN

Оба протокола предлагают приличный уровень безопасности, но OpenVPN считается лучшим выбором, поскольку он имеет открытый исходный код, использует SSL 3.0 и может быть настроен для обеспечения дополнительной защиты. Обратной стороной этой дополнительной безопасности является более низкая скорость соединения. OpenVPN обычно медленнее, чем L2TP, хотя результаты могут быть немного другими, если вы используете OpenVPN для UDP.

Однако, когда дело доходит до стабильности, L2TP отходит на второй план из-за использования ограниченного количества портов. Проще говоря, протокол может быть заблокирован брандмауэрами NAT — если он не настроен должным образом (что может стать дополнительной проблемой, если у вас недостаточно опыта). OpenVPN, с другой стороны, может использовать любой порт, который он хочет, включая порт 443, порт, зарезервированный для трафика HTTPS. Это означает, что любому интернет-провайдеру или сетевому администратору очень сложно заблокировать OpenVPN с помощью брандмауэра.

Что касается доступности и настройки, OpenVPN действительно работает на многих платформах, но не совсем доступен на них, как L2TP.В результате настройка соединения OpenVPN на вашем устройстве обычно занимает гораздо больше времени, чем соединение L2TP. К счастью, если вы используете VPN, которая предлагает соединения OpenVPN, вам не нужно много делать, так как все уже настроено для вас.

Хотите узнать больше об OpenVPN? Тогда перейдите по этой ссылке.

L2TP против SSTP

Как и OpenVPN, SSTP (Secure Socket Tunneling Protocol) использует SSL 3.0 и может использовать порт 443. Таким образом, он более безопасен, чем L2TP, и его также сложнее заблокировать с помощью брандмауэра.Протокол SSTP разработан только Microsoft, поэтому — в этом отношении — L2TP может быть более надежным, поскольку Cisco участвовала в процессе его разработки.

Что касается скорости, то SSTP часто считается более быстрым, чем L2TP, потому что не происходит двойной инкапсуляции. Но когда дело доходит до кросс-платформенной совместимости, L2TP работает лучше, потому что SSTP встроен только в операционные системы Windows, и его также можно настроить на:

L2TP, с другой стороны, доступен на многих других платформах, и он также встроен в большинство из них.Таким образом, настройка протокола VPN также упрощается.

В целом, если бы вам пришлось выбирать между SSTP и L2TP, вам было бы лучше с SSTP. Если вы не хотите больше узнать об этом протоколе, перейдите по этой ссылке.

L2TP против Wireguard

Wireguard — это совершенно новый протокол VPN, основная цель которого — очевидно заменить IPSec. В результате Wireguard должен быть намного более безопасным, чем L2TP — тем более, что он имеет открытый исходный код и использует только один криптографический пакет (то есть в нем может быть меньше дыр в безопасности).Также утверждается, что он быстрее и легче.

Но на данный момент мы по-прежнему рекомендуем использовать L2TP вместо Wireguard — учитывая, что Wireguard пока работает только в Linux и все еще находится на экспериментальной стадии. Поэтому на данный момент это небезопасный протокол из-за его высокой нестабильности.

Тем не менее, если вы хотите узнать больше о Wireguard, перейдите по этой ссылке.

L2TP против SoftEther

Как и L2TP, SoftEther может также использовать 256-битный ключ шифрования и такой же надежный шифр, как AES.Но SoftEther делает все возможное — он также имеет открытый исходный код, использует SSL 3.0 и также очень стабилен. На самом деле SoftEther часто считается хорошей альтернативой OpenVPN.

Более того, SoftEther имеет очень интересную особенность — это и протокол, и сервер VPN. И VPN-сервер действительно может поддерживать протокол L2TP / IPSec, наряду со многими другими:

  • IPSec
  • OpenVPN
  • SSTP
  • SoftEther

Это то, чего вы не получите с сервером L2TP VPN.

Что касается скорости, то лучше с SoftEther. Несмотря на свою высокую безопасность, протокол также оказался очень быстрым. По словам разработчиков, все это связано с тем, что SoftEther был запрограммирован с расчетом на высокую пропускную способность, в то время как протокол вроде L2TP, основанный на PPP, был построен с учетом узкополосных телефонных линий.

Однако, когда дело доходит до процесса настройки,

L2TP кажется блестящим. Хотя SoftEther работает почти на том же количестве платформ, что и L2TP, его сложнее настроить.Поскольку это программное решение, вам также необходимо загрузить и установить программное обеспечение SoftEther на свое устройство — да, даже если вы пользуетесь услугами провайдера VPN, который предлагает протокол SoftEther.

Если вам интересно узнать больше о SoftEther, у нас уже есть статья по этой теме.

L2TP против IPSec

Мы сохраняем это сравнение напоследок, так как оно немного необычно. Тем не менее, поскольку есть поставщики VPN, которые предлагают доступ только к IPSec в качестве протокола, мы подумали, что некоторым из вас может быть интересно посмотреть, как L2TP сравнивается с ним сам по себе.

Во-первых, IPSec предлагает онлайн-безопасность по сравнению с L2TP, который сам по себе не обеспечивает никакого шифрования. Кроме того, IPSec намного сложнее заблокировать с помощью брандмауэра, чем L2TP, потому что он может зашифровать данные без ведома какого-либо конечного приложения.

С другой стороны, L2TP может передавать протоколы, отличные от IP, в то время как IPSec не может этого делать.

С точки зрения L2TP / IPSec и IPSec, безопасность довольно схожа, но L2TP / IPSec может быть немного более ресурсоемким и менее быстрым из-за дополнительной инкапсуляции, которая добавляет дополнительный пакет IP / UDP и заголовок L2TP.

Хотите узнать больше о IPSec? Не стесняйтесь прочитать статью об этом.

Итак, является ли L2TP хорошим протоколом VPN?

Пока L2TP используется с IPSec, он представляет собой довольно безопасный протокол — впрочем, в зависимости от того, как вы относитесь к обвинениям и заявлениям Сноудена. Это не самый быстрый протокол из-за возможности двойной инкапсуляции, но он довольно стабилен и работает на нескольких операционных системах и устройствах.

В заключение — что такое L2TP?

L2TP (протокол туннелирования уровня 2) — это протокол туннелирования VPN, который считается улучшенной версией PPTP.Поскольку он не имеет шифрования, L2TP часто используется вместе с IPSec. Таким образом, вы в основном будете видеть провайдеров VPN, предлагающих доступ к L2TP / IPSec, а не к L2TP как таковой.

L2TP / IPSec довольно безопасен в использовании, хотя стоит упомянуть, что были заявления, что протокол был взломан или ослаблен АНБ. Что касается скорости, L2TP не так уж и плох, но вы можете столкнуться с более медленными скоростями соединения из-за функции двойной инкапсуляции протоколов. Что касается доступности, L2TP изначально работает на многих платформах Windows и macOS и довольно легко настраивается на других устройствах и операционных системах.

В целом, L2TP / IPSec — достойный протокол VPN, но мы рекомендуем выбрать поставщика VPN, который предлагает на выбор несколько протоколов VPN помимо L2TP, если вы хотите по-настоящему безопасную работу в сети.

.

Что такое L2TP?

L2TP (протокол туннелирования второго уровня) определяет расширение PPTP (протокол туннелирования точка-точка), которое ISP (поставщик услуг Интернета) использует для обеспечения работы VPN (виртуальной частной сети). L2TP объединяет L2F от Cisco Systems и PPTP от Microsoft в один протокол. Два основных компонента L2TP — это LNS (сетевой сервер L2TP), который завершает и аутентифицирует поток PPP, и LAC (концентратор доступа L2TP), который физически завершает вызов.

Как работает L2TP?

L2TP инициирует туннель между LAC и LNS в Интернете, чтобы обеспечить инкапсуляцию канального уровня протокола точка-точка (PPP), а затем его перенос через Интернет. Конечный пользователь инициирует PPP-соединение с провайдером через сервис ISDN или PSTN. LAC принимает соединение и устанавливает связь PPP. Во время этого процесса соответствующий интернет-провайдер проводит частичную аутентификацию, чтобы получить имя пользователя подключенного пользователя. Затем эту информацию можно использовать для предоставления доступа в зависимости от пользователя.Затем назначается свободный слот в сетевом туннеле, и запрос на соединение передается в LNS, который принимает или отклоняет соединение. Запрос на соединение может также включать в себя информацию аутентификации для передачи в LNS для окончательной аутентификации соединения. Если соединение принято, создается виртуальный интерфейс PPP, и кадры канального уровня теперь могут передаваться по установленному туннелю. LNS принимает кадры от соединения, затем удаляет инкапсуляцию L2TP и обрабатывает их как обычные входящие кадры.

Что такое структура пакета L2TP?

Структура пакета L2TP / IPSec настраивается в следующем порядке:

IP-заголовок | Заголовок IPSec ESP | Заголовок UDP | Заголовок L2TP | Заголовок PPP | Полезная нагрузка PPP | Трейлер IPSec ESP | Трейлер аутентификации IPSec

Каковы возможности L2TP?

Протокол L2TP в основном используется для интеграции многопротокольных услуг коммутируемого доступа в существующую точку присутствия интернет-провайдера. Протокол обычно используется для перепродажи конечных точек ADSL и подключения к кабельной сети между конечным пользователем и интернет-провайдером.В результате провайдер кабельного телевидения, по всей видимости, не занимается транспортировкой.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *