- Более подробно
- Сравнение с PPTP
- Обязательные условия для работы подключения
- Keepalive
- Окончание сессии
- Безопасность
- Безопасность на концах туннеля
- Безопасность на уровне пакетов
- Начальный этап создания соединения
- Настройка L2TP-соединения: установка типа VPN
- Формат заголовка
- Управляющее соединение
- Обзор протокола
- Сравнение с OpenVPN
- L2ТР и IPsec
- Нумерация в канале данных
- Возможные ошибки и сбои
- Установление сессии
- Протокольные операции
Более подробно
Проблема этого протокола в том, что он не обеспечивает должной конфиденциальности информации, поэтому его редко используют отдельно. Обычно IPsec используется для шифрования пакетов данных вместе с L2TP-соединением – поэтому чаще всего можно увидеть префикс: L2TP/IPsec.
IPsec шифрует данные в два этапа по алгоритму шифрования AES, что делает соединение L2TP/IPsec очень надежным туннелем в мире VPN, но из-за этого оно медленнее, чем Open VPN и SSTP. Другая проблема заключается в том, что эта технология использует порт UDP 500, который часто блокируется межсетевыми экранами.
Плюс этой технологии в том, что она очень просто настраивается и интегрируется практически во все операционные системы, начиная с Windows и заканчивая мобильными iOS и Android. Вам не нужно устанавливать какое-либо дополнительное программное обеспечение. Да и настройки довольно простые.
Если говорить строго о L2TP, то этот протокол выполняет две функции:
- Создание туннеля, по которому можно передавать данные.
- Упаковка пакетов данных PPP, с помощью которых вся информация может передаваться через туннель.
Но мы помним, что основной протокол при этом UDP — если даже пакет не дойдёт до адресата, он не будет отправлен повторно.
- L2TP-клиент легко настраивается на любом устройстве, так как не требует установки каких-либо дополнительных программ.
- Есть во всех ОС.
- За счет двухэтапной инкапсуляции пакетов – максимально безвредных.
- Он работает медленно.
- Межсетевой экран маршрутизатора может блокировать этот туннель, поэтому для открытия 500-портового UDP необходима дополнительная настройка.
Сравнение с PPTP
PPTP (протокол туннелирования «точка-точка») – стандартный протокол построения VPN-сетей. Потому что он использует 128-битное шифрование намного быстрее, чем L2TP/IPsec. В далеком 1999 году был сломан MS-CHAP v.2. Поэтому он считается менее надежным вариантом. С другой стороны, он также прост в настройке, интегрирован во все операционные системы и широко используется во многих компаниях.
- Есть во всех ОС.
- Простой в настройке.
- Быстрая работа благодаря простым алгоритмам шифрования
- Читается ненадежным из-за грузов в алгоритмах отентификации.
Обязательные условия для работы подключения
Но это были лишь краткие теоретические сведения, так сказать, для общего развития. Теперь перейдем к практическим действиям и рассмотрим использование L2TP-соединений. Что это за технология, похоже, недостаточно ясно, поэтому основные действия по созданию такого соединения от стандартной настройки VPN ничем не будут отличаться.
Однако прежде чем приступать к подобным действиям, обратите внимание на несколько обязательных моментов, без соблюдения которых созданное соединение не будет работать, даже не будет создано. Основные критерии:
- операционная система не ниже Windows Vista (рекомендуется), хотя и в XP возможна настройка;
- наличие адреса корпоративного сервера, к которому предполагается подключение;
- наличие логина и пароля для входа в сеть.
Keepalive
L2TP использует механизм поддержки активности, чтобы различать простаивающие туннели и длительные периоды отсутствия контроля или активности в них. Механизм реализован посредством Hello – управляющих сообщений, передаваемых через фиксированные временные отрезки. При неполучении месяцев Hello L2TP считает туннель неактивным и возвращает систему в исходное состояние. Механизм поддержки активности гарантирует, что отключение между LAS и LNS будет определено по обе стороны туннеля.
Окончание сессии
сеанс может быть прерван как LAC, так и LNS путем отправки сообщений CDN. После прерывания последней сессии соединение может быть разорвано.
Безопасность
Известно, что в протоколе L2TP существует ряд проблем безопасности. Ниже мы перечислим некоторые подходы к их решению.
Безопасность на концах туннеля
При установке туннеля его цены могут аутентифицировать другого друга. Такая аутентификация аналогична CHAP и имеет защиту от искажений и атак воспроизведения во время установки туннеля. Для аутентификации LAS и LNS обязаны использовать один секретный ключ.
Безопасность на уровне пакетов
L2TP обеспечивает конфиденциальность, аутентификацию и целостность пакетов внутри туннеля. Шифрование данных, а также обеспечение целостности передаваемых сообщений и аутентификация сервисов, производимых L2TR-трафиком, должны обеспечиваться транспортной средой.
Начальный этап создания соединения
Итак, сначала необходимо войти в «Центр управления сетью и общего доступа» (вызвать этот раздел можно либо из стандартной «Панели управления», либо через меню ПКМ на значке сети в дереве системы (слева) часы и дата).
Здесь необходимо воспользоваться гиперссылкой для создания нового сетевого подключения и выбрать подключение к рабочему месту. Далее будет предложено использовать либо существующее соединение через VPN, либо прямую дозвонку.
Выбирайте первый, ведь использование второго имеет смысл только в том случае, если соединение осуществляется через оператора мобильной связи с использованием модема.
Следующий вопрос о том, как настроить L2TP-соединение, предполагает выбор отложенного соединения, а не немедленной установки соединения (данное действие рекомендуется, но не является обязательным, и единого решения для него не существует).
На следующем этапе будьте особенно внимательны, ведь точность ввода адреса сервера здесь играет первостепенную роль. Введите адрес, введите произвольное имя нового подключения (тип назначения), затем установите флажок, чтобы запомнить введенные данные (это избавит вас от постоянного ввода информации при последующих вводах). Далее просто нажмите кнопку создания подключения, после чего оно появится в разделе настроек сети и в дереве системы.
Читайте также: Как подключить PS3 к Интернету: проводное и беспроводное подключение
Настройка L2TP-соединения: установка типа VPN
Теперь самое главное. Новое соединение вроде бы создано, но без дополнительных настроек оно может работать некорректно.
Используйте свойства подключения через ПКМ-меню, а затем на вкладке безопасность для типа подключения L2TP выберите одноименный протокол с IPsec (уровень защиты). Это также обязательный параметр. Все остальные настройки, которые предлагаются по умолчанию, в принципе можно оставить без изменений.
Иногда на некоторых нестандартных моделях роутеров необходимо в параметрах веб-интерфейса указать тип подключения PPTP L2TP, однако при использовании обычных роутеров и ADSL-модемов подобные действия не требуются.
Формат заголовка
Информация из этого блока может быть интересна специалистам. В ознакомительных целях этот блок можно пропустить и сразу начать читать следующий.
И канал управления, и информационный канал L2T0050 используют один и тот же формат заголовка. Кратко перечислим значения битов в 32-битной последовательности:
0 – бит (Т) типа пакета характеризует его тип и ему присваивается значение 0 для информационных и 1 – для управляющих сообщений.
1 – битовая (L) длина пакета. Если оно равно 1 (требуется для управляющих сообщений), то в пакете присутствует поле «Длина» (от 16 до 31 бита).
2-3 – эти биты зарезервированы и должны быть установлены в 0 для исходящих и игнорируемых пакетов.
4 – битовая (S) последовательность. В управляющих сообщениях он равен 1. При этом в пакете присутствуют поля Nr и Ns.
5 – бит зарезервирован
6 – бит (О) смещения. Если оно равно 1, то имеется поле, определяющее величину сдвига.
7 – приоритет бита (Р). Для управленческих сообщений оно равно 0. Если оно равно 1 для информационных сообщений, оно имеет приоритет в первую очередь.
8-11 – биты зарезервированы
12-15 – поле «Версия» (Ver) определяет версию заголовков информационных сообщений L2TP. При этом между 1 пакетом L2F, если они пойдут перемешку с пакетами L2TP. Пакеты с неизвестными значениями необходимо выбросить.
16-31 – поле длины пакета, указывающее (в октетах) длину сообщения.
В поле ID туннеля содержится идентификатор соединения. Они имеют локальное значение, поэтому разные концы туннеля имеют разные идентификаторы. В этом случае идентификатор туннеля для каждого сообщения должен совпадать с тем, чего ждет получатель. Этот идентификатор создается при формировании туннеля передачи данных.
В поле ID сеанса определяется идентификатор сеанса. Идентификаторы сеансов также имеют локальное значение и должны быть именно тем, что ищет получатель. Этот идентификатор создается при формировании сеанса передачи данных.
Поле Ns содержит порядковый номер управляющего или информационного сообщения, начиная с 0 и увеличиваясь на 1 для каждого последующего сообщения. Порядковый номер следующего ожидаемого сообщения содержится в поле №. Следовательно, Nr равен Ns последнего пришедшего сообщения плюс 1.
Если в пакете присутствует поле «Размер смещения», оно определяет место начала поля данных, при этом содержание заполнения смещения не определяется.
Управляющее соединение
Перед началом сеанса между LAS и LNS должно быть реализовано управляющее соединение, включающее безопасную идентификацию партнеров и определение версии L2TR, а также возможностей канала и т.д. В процессе установления этого соединения выполняется простой CHAP -подобная аутентификация выполняется.
Обзор протокола
В протоколе L2TP используются 2 типа пакетов: информационные и управляющие сообщения. Первые используются для инкапсуляции кадров РРР, отправляемых по туннелю. Второе – при установке, ремонте и негизинии изканов и туннелей. Чтобы гарантировать доставку, управляющие сообщения используют надежный канал управления внутри самого L2TP, а в случае потери информационные сообщения пересылаются повторно. Дополнительно контрольным сообщениям для гарантированной доставки присваивается серийный номер. Информационные сообщения используют порядковые номера для определения потери кадров и восстановления порядка пакетов.
Сравнение с OpenVPN
Новый протокол, который используется не так давно у конкурентов. В работе используются библиотеки OpenSSL и протоколы SSLv3/TLSv1. Самый главный плюс в том, что этот протокол настраивается с разных сторон. Вы даже можете изменить используемый порт и протокол. Вы даже можете использовать TCP-туннелирование.
Также благодаря используемой библиотеке OpenSSL открывается огромный набор возможностей по использованию различных типов шифрования от AES до Camelia. И он работает быстрее, чем IPsec.
Основная проблема вытекает из главного преимущества – сложности настроек. Плюс OpenVPN не интегрирован в систему, поэтому необходимо устанавливать дополнительное программное обеспечение. Более того, после установки программы для подключения и работы необходимо произвести хирургическую настройку для обеспечения надежной работы. Вот почему файлы конфигурации обычно используются время от времени.
- Быстро.
- Надежный и безопасный.
- Имеет огромный набор настроек.
- Очень гибкий при работе с NAT.
- Он имеет множество алгоритмов шифрования благодаря встроенной библиотеке OpenSSL.
- Сложный в патникухах – используются файлы с уже предустановленными конфигурациями.
- Необходима установка программного обеспечения.
L2ТР и IPsec
Известно, что IPsec, работая поверх IP, обеспечивает безопасность на уровне пакетов. При этом все информационные и управляющие пакеты L2TR в туннеле выглядят как обычные пакеты UDP/IP для IPsec. Помимо транспортной безопасности, IPsec создает рабочий режим, позволяющий туннелировать IP-пакеты, а также инструменты контроля доступа для приложений, поддерживающих программу IPsec. Эти инструменты позволяют фильтровать пакеты по характеристикам транспортного и сетевого уровня. В модели туннеля L2TP аналогичная фильтрация выполняется на уровне PPP или поверх L2TP.
Нумерация в канале данных
Для надежной передачи управляющих сообщений в заголовке L2TP используются порядковые номера. Каждый из партнеров поддерживает свою нумерацию, как для управляющего соединения, так и для информационных сессий внутри туннеля.
Информационный канал L2TR, в отличие от контроллера, использует нумерацию не для повторной передачи, а для определения потери пакетов, а также для восстановления их последовательности.
Возможные ошибки и сбои
Что касается появления ошибок и сбоев при установке подключения к Интернету через созданное соединение, то проблем может быть сколько угодно. Главное – обычная невнимательность пользователя, который просто неправильно ввел адрес сервера или ввел неверные логин и пароль.
Второй момент, на который следует обратить внимание, — свойства протокола IPv4. В его параметрах и настройках необходимо указать автоматическое получение всех адресов, включая IP и DNS. Кроме того, для локальных адресов должны быть отключены условия прокси. Имейте в виду, что они не хотят работать с беспроводными технологиями статического IP. Единственный вариант — подключить несколько терминалов, подключенных к локальной или виртуальной сети, через один L2TP-сервер (в этом случае каждой машине присваиваются логины и пароли).
Наконец, если при задании вопроса возникают ошибки, попробуйте использовать бесплатные DNS-адреса предпочитаемого и альтернативного сервера, предоставленные, например, Google (комбинации четверок и восьмерок).
Установление сессии
После установления управляющего соединения компьютеры могут формировать отдельные сеансы. Каждый из них соответствует одному потоку РРР между LAS и LNS. В то же время LAS запрашивает доступ у LNS для входящих запросов, а LNS запрашивает LAC начать сеанс для обработки исходящих запросов.
После формирования туннеля РРР-кадры от удаленной системы, полученные LAC, освобождаются от заголовков каналов, CRC и так далее, инкапсулируются в L2ТР, а затем передаются через туннель. Затем LNS получает пакет L2ТР, извлекает кадр РРР и работает с ним так, как если бы он пришел через локальный интерфейс РРР.
Отправитель сообщения, связанного с определенным туннелем и сеансом, помещает поле заголовка идентификатора туннеля и сеанса в соответствующие спецификации во всех сообщениях.
Протокольные операции
Процедура установления РРР-сессии туннелирования L2ТР состоит из двух этапов:
- Создание канала управления туннелем.
- Создание сессии по запросу исходящего или входящего звонка.
Как тунлень, так и отвечений ему управляющий канал обеспечивает до фундаментализации изконов. То есть L2TP-сессия должна существовать до начала передачи кадров РРР через туннель. При этом в одном туннеле могут сосуществовать несколько сессий между LAS и LNS.