Протокол L2TP (Layer 2 Tunneling Protocol) - наряду с PPTP тоже весьма старый протокол. Использует передачу данных поверх протокола UDP и имеет зарегистрированный порт 1701. Особенность этого протокола состоит в возможности работы не только поверх IP / UDP, но и поверх таких древних протоколов как Frame Relay и ATM. Однако эта его особенность сейчас уже не столь актуальна.
Можно считать, что L2TP это логичное развитие протокола PPTP. При этом протокол избавился от двух соединений (одно из которых - GRE) и добавил себе новые логические сущности - LNS (сервер) и LAC (концентратор). Теперь клиенты подключаются к концентратору, а тот, в свою очередь, подключается к серверу LNS и затем уже в локальную сеть. В реальности, туннель L2TP образуется между концентратором и сервером. Сейчас такая логика выглядит странной, но во времена модемных соединений через телефонную сеть концентратор был важным звеном в приеме соединений от клиентов.
Протокол L2TP и методы аутентификации - безопасные и не очень
В протоколе L2TP могут быть использованы различные методы аутентификации – PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией. Здесь мы не будем описывать их особенности, но лишь отметим - PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.
Шифрование данных в протоколе L2TP
В составе L2TP нет механизма шифрования данных. Для шифрования используется работа L2TP поверх IPsec. "Поверх" означает, что сначала устанавливается шифрованное соединение IPsec, а внутри него осуществляется проверка имени пользователя и пароля по протоколу L2TP. После этого возникает соединение по протоколу PPP внутри Ipsec. Вот так мудрено.
Компрессия данных в L2TP
В составе L2TP нет механизма компрессии данных.
Автоматическая проверка работоспособности VPN соединения
L2TP обладает встроенным механизмом проверки работоспособности соедиенения в виде посылки keepalive пакетов Hello. Механизм гарантирует корректный разрыв соединения и освобождение ресурсов с обеих сторон сессии.
Разрыв VPN соединения
Разрыв VPN соединения осуществляется в несколько шагов из-за использования двух видов пакетов - управляющих и сессионных, а также из-за наличия сущностей LAC / LNS, однако все эти шаги происходят незаметно для пользователя.
Автоматическое установление разорванного VPN соединения
Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании действующего. Такое переустановление соединения может осуществляться клиентом, но не LAC / LNS.
Плюсы:
- широко распространен;
- просто настраивается.
Минусы:
- нет шифрования;
- нет компрессии;
- слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2.
PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность "Белый список". В этом случае, установление соединения будет возможно лишь с указанных в списке IP адресов.
Далее:
PPTP;
ДОПОЛНИТЕЛЬНО
Кроме базового функционала по объединению VPN туннелей, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя:
