Авторизация

l2tpL2TP (Layer 2 Tunneling Protocol) - наряду с PPTP тоже весьма старый протокол. Использует передачу данных поверх протокола UDP и имеет зарегистрированный порт 1701. Особенность этого протокола состоит в возможности работы не только поверх IP / UDP, но и поверх таких древних протоколов как Frame Relay и ATM, однако эта его особенность сейчас уже не столь актуальна.

Можно считать, что L2TP это логичное развитие протокола PPTP, который избавился от двух соединений (одно из которых - GRE) и добавил себе новые логические сущности - LNS (сервер) и LAC (концентратор). Теперь клиенты подключаются к концентратору, а тот, в свою очередь, подключается к серверу LNS и затем уже в локальную сеть. В реальности, туннель L2TP образуется между концентратором и сервером. Сейчас такая логика выглядит странной, но во времена модемных соединений через телефонную сеть концентратор был важным звеном в приеме соединений от клиентов.

 

Аутентификация

В протоколе L2TP могут быть использованы различные методы аутентификации – PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией, мы не будем описывать их особенности, а лишь отметим, что PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.

 

Шифрование данных

В составе L2TP нет механизма шифрования данных. Для шифрования используется работа L2TP поверх IPsec.

 

Компрессия данных

В составе L2TP нет механизма компрессии данных.

 

Автоматическая проверка работоспособности VPN соединения

L2TP обладает встроенным механизмом проверки работоспособности соедиенения в виде посылки keepalive пакетов Hello. Механизм гарантирует корректный разрыв соединения и освобождение ресурсов с обеих сторон сессии.

 

Разрыв VPN соединения

Разрыв VPN соединения осуществляется в несколько шагов из-за использования двух видов пакетов - управляющих и сессионных, а также из-за наличия сущностей LAC / LNS, однако все эти шаги происходят незаметно для пользователя.

 

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании действующего. Такое переустановление соединения может осуществляться клиентом, но не LAC / LNS.

 

Плюсы:

  • широко распространен
  • просто настраивается

 

Минусы:

  • нет шифрования
  • нет компрессии
  • слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2

PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность "Белый список". В этом случае, установление соединения будет возможно лишь с указанных в списке IP адресов.

 

Далее:

IPsec