L2tp vpn что это

Что такое L2TP?

L2TP-протокол второго уровня туннелирования является одним из наиболее популярных вариантов беспрепятственного доступа к разным сайтам Интернета. Основной принцип его работы состоит из создания надежного соединения между потребителем и VPN – сервером.

Из-за отсутствия кодирования и конфиденциальности протокол уровня 2 принято сочетать с протоколом IPsec, который приводит к шифрованию пакетов L2TP между крайними точками и контролю данных в туннеле. Гарантируется неприкосновенность передаваемой информации.

Шифрование такого формата абсолютно безопасно. Однако, это более медленное решение, чем задействование ПО OpenVPN. Трафик преобразуется в L2TP и добавляется кодировка с помощью IPsec. Это двухэтапный процесс, который приводит к уменьшению скорости.

Особенности использования

Цели применения L2TP:

• поддерживает VPN-сервис;
• использование Интернет-провайдером для капсулирования данных клиента в свою IP-сеть;
• локальный концентратор в цепи не подразумевает плату за международную связь;
• используется клиентами для подключения к удаленному серверу локальной сети из любого места;
• помогает использовать соединения сетей для того, чтобы крайние точки могли быть на разных машинах.

L2TP применяется в качестве протокола конфигурации для служб VPN.

Принципы работы

Для того, чтобы понять, что такое PPTP и L2TP, следует уточнить нюансы их функционирования.

В качестве стандарта протокол туннелирования уровня 2 представляет собой набор процедур, управляющих процессами цифровой связи. Он был впервые предложен в 2000 году. Желая вникнуть в то, как работает протокол l2tp, нужно вспомнить, что он основан на двух более старых протоколах туннелирования: протоколе пересылки уровня 2 от Cisco и устаревшем и небезопасном PPTP от Microsoft.

Если интересно понять, что такое протокол L2TP , то это расширенная версия РРТР, и провайдеры используют его для подключения частных виртуальных сетей. Такой подход обеспечивает сохранность данных при прохождении в туннеле с помощью шифрования.

Он состоит из двух основных компонентов:

• Access Concentrator — устройство, оканчивающее вызов;
• LNS Network Server сетевой сервер – устройство, определяющее и оканчивающий PPTP.

Процедура позволяет запускать протоколы в сетях, которые не могут их поддерживать или безопасно передавать частные сведения. Это становится возможным, поскольку данные первых упакованы способом, удобным для вторых, L2TP обрабатывает часть туннелирования.

В процессе работы могут быть задействованы разные туннели. Для сравнения, РРТР можно использовать только через IP-сети.

L2TP между двумя точками с различным качеством обслуживания может поддерживать не один туннель.

Преимущества L2TP-протокола

Туннелирование 2 уровня имеет свои сильные стороны.

Протокол 12TP гибкий, легкий и быстро настраиваемый. Он может быть адаптирован к любым методам шифрования.

1. Отличается популярностью, поэтому его достаточно просто внедрить. Поддерживается большинством операционных систем.
2. Применяет качественный и безопасный алгоритм шифрования AES-256.
3. Сжимает заголовки до размера в 4 байта.

Недостатки L2TP-протокола

Следует сознавать и уязвимые места данной версии:

• используемый протоколом порт 500 может блокироваться;
• из-за двойного инкапсулирования данных пользователей скрывает или ограничивает прямой доступ к ним, что ограничивает скорость работы;
• не всегда способен помочь избежать сетевых ограничений.
• из-за несоответствия безопасности, невысоких скоростей, ограничений в поддержке портов могут возникать перебои при передаче данных.

Невзирая на наличие определенных минусов, удобств и преимуществ пользователям предоставляется гораздо больше.

Перспективное сотрудничество

В нашей компании Alt VPN можно выгодно для предприятий и физических лиц приобрести надежное ПО для беспрепятственной работы в Интернете. Предоставляем качественные и комфортные услуги по самым демократичным ценам. При необходимости проведем онлайн-консультацию и поможем решить любой технический вопрос.

Скорость соединения является одним из основных показателей нашей работы, серверы работают в диапазоне от 100 Мбит/с до 1Гбит/с. Перед тем, как решиться на покупку основного пакета, можно пройти тестирование, для чего нужно будет скачать VPN бесплатно.

После этого следует купить VPN в нашей компании на базе протокола L2TP для обеспечения конфиденциальности и безопасности личной или корпоративной информации.

Обсудить на странице: —> —> —>

VPN-протоколы: L2TP/IPsec и IKEv2

Узнайте больше о преимуществах использования протоколов L2TP/IPsec и IKEv2.

Гарантия возврата денег 30 дней

Что такое L2TP/IPsec?

Протокол L2TP (Layer 2 Tunneling Protocol) — это протокол туннелирования второго уровня. Протокол L2TP был впервые предложен в 1999 году в качестве обновления протоколов L2F (англ. Layer 2 Forwarding Protocol — протокол эстафетной передачи на втором уровне) и PPTP (англ. Point-to-Point Tunneling Protocol — туннельный протокол типа точка-точка). Поскольку протокол L2TP сам по себе не обеспечивает надежное шифрование или аутентификацию, то чаще всего его используют совместно с протоколом IPsec.

IPsec (Internet Protocol security) — это набор протоколов для обеспечения защиты данных. IPsec — очень гибкий протокол для сквозной защиты, который аутентифицирует и шифрует каждый отдельный IP-пакет в данном сообщении. IPsec используется во многих приложениях на сетевом уровне стека протоколов TCP/IP.

При совместном использовании протоколы L2TP и IPsec гораздо безопаснее, чем протокол PPTP, но всё же больше подходят для анонимизации, чем для обеспечения безопасности.

У протокола L2TP иногда возникают проблемы с файрволами из-за использования UDP-порта 500, который, как известно, блокируется некоторыми файрволами.

• Безопаснее, чем PPTP

• Медленнее, чем OpenVPN
• Иногда блокируется файрволами
• Обеспечивает только средний уровень защиты

Старый, но не золотой стандарт – L2TP VPN

Аббревиатура L2TP скорее похожа на название современной поп-группы, чем на имя VPN-провайдера. Что же означают эти буквы, которые могли бы быть неплохим паролем, если к ним добавить еще 4 символа? Читайте подробнее в этой статье!

Что такое L2TP?

L2TP («протокол туннелирования уровня 2») — это протокол туннелирования, используемый при создании VPN-соединений . При этом он обеспечивает только туннелирование — группирование данных в пакеты для их конфиденциальной передачи через общедоступные сети. Для выполнения функций VPN он использует IPsec с возможностями шифрования и обеспечения конфиденциальности.

Как работает L2TP?

В качестве стандарта протокол L2TP — набор процедур управления процессами цифровой связи — был впервые предложен в 2000 году. L2TP разработан на основе двух более старых протоколов туннелирования: протокола передачи 2-го уровня от Cisco и (очень раннего и небезопасного) PPTP от Microsoft.

Механизм туннелирования группирует данные в пакеты для их безопасной передачи по сети — для аналогии представьте себе, как конверт вкладывается в другой конверт. Это позволяет использовать протоколы в сетях, которые могут их не поддерживать (поскольку данные первого пакета упакованы способом, поддерживаемым следующим пакетом), или безопасно передавать личные данные. Протокол L2TP отвечает за этап туннелирования.

Он продолжает использоваться благодаря его реализации на платформах Windows (начиная с Windows 2000) и Mac (начиная с Mac OS X 10.3), а также множеству его версий для Linux.

Что такое L2TP/IPsec?

Туннелирование не имеет смысла, если передаваемые через туннель данные не зашифрованы. Именно поэтому L2TP используется вместе с IPsec . Набор протоколов IPsec, появившийся в 1995 году, сам по себе достаточен для создания VPN-туннеля , однако в паре с L2TP он отвечает только за безопасность.

IPsec выполняет сопоставление безопасности, когда ваше устройство и VPN-сервер «договариваются» об использовании определенных инструментов защиты и шифрования данных. Затем он создает ESP (инкапсулирующий протокол безопасности), с помощью которого устройства на обоих концах канала связи могут «узнавать», что данные действительно поступают оттуда, откуда заявлено. Затем L2TP устанавливает туннель связи. В итоге данные группируются в пакеты дважды: сначала с L2TP, затем с IPsec.

Безопасен ли L2TP?

Ходили слухи, что протокол L2TP был взломан АНБ США, однако фактически проблемы с его безопасностью возможны только в случае использования изначально слабого общего пароля. Так или иначе, безопасность VPN-сервиса зависит от того, насколько хорошо ее настроит VPN-провайдер.

Еще один, не менее важный параметр протокола — это его скорость. L2TP дважды инкапсулирует данные, на что затрачивается больше ресурсов устройства. Это также увеличивает «накладные расходы на шифрование» (назовем так долю пропускной способности, используемую исключительно на обеспечение безопасности) и, соответственно, замедляет ваше интернет-соединение.

Некоторые считают L2TP неудобным в настройке, однако для простых пользователей это не проблема. Если вы ищете VPN для разблокировки доступа к контенту и конфиденциальности в Интернете, VPN-провайдер предоставит вам решение, которое само выполнит всю настройку за вас.

Плюсы и минусы L2TP

Обобщить характеристики L2TP можно по следующим пунктам:

Удаленные клиентские подключения L2TP

Удаленные клиентские подключения реализуют функцию VPN для конечных хостов удаленных и мобильных сотрудников. В качестве протокола подключения используется L2TP, который можно настроить штатными средствами операционной системы или при помощи сторонних VPN-клиентов. VPN-клиент UserGate не поставляется. Настройка VPN-сервера для подключения пользовательских хостов аналогична настройке VPN для передачи трафика между ВМ UserGate.

На этой странице

• Шаг 1. Создать VPN-зону
• Шаг 2. Создать туннельный VPN-интерфейс
• Шаг 3. Создать правило NAT
• Шаг 4. Создать разрешающее правило межсетевого экрана для VPN-трафика
• Шаг 5. Создать локальных VPN-пользователей и профиль авторизации
• Шаг 6. Создать профиль безопасности VPN
• Шаг 7. Создать сети VPN
• Шаг 8. Создать серверное правило VPN
• Шаг 9. Настроить подключение L2TP на клиентском компьютере с ОС Windows 10
• Шаг 10. Внести изменения в реестр ОС Windows
• Шаг 11. Внести изменения в реестр MAC OS
• Шаг 12. Проверить межсетевой доступ

Шаг 1. Создать VPN-зону

Необходимо создать новую зону с выделенной IP-адресацией. Она станет подсетью, через которую будет передаваться зашифрованный трафик от ПК пользователя к серверной ВМ UserGate на центральной площадке.

Для создания VPN-зоны:

1. Перейдите в раздел Сеть → Зоны .
2. Нажмите Добавить .
3. На вкладке Общие введите название и описание новой зоны.
4. На вкладке Контроль доступа выберите пункты ICMP и VPN .
5. Нажмите Сохранить .

Шаг 2. Создать туннельный VPN-интерфейс

VPN-интерфейс — это виртуальный сетевой адаптер, который используется для подключения к VPN-серверу UserGate на центральной площадке. Его IP-адресация назначается из отдельного блока адресов и не должна пересекаться с другими VPN-подсетями. Номер интерфейса может быть любым.

Создание туннельного VPN-интерфейса:

1. В разделе Сеть → Интерфейсы нажмите Добавить и выберите Добавить VPN .
2. На вкладке Общие окна Настройка VPN адаптера активируйте параметр Включено .
3. В разделе Название введите номер интерфейса, начания с 4. Это локальный идентификатор VPN-интерфейса “tunnel4”.
4. В разделе Зона выберите VPN-зону, которая была создана на Шаге 1.
5. На вкладке Сеть установите режим адресации «Статический» для VPN-интерфейса.
6. В разделе IP интерфейс нажмите Добавить и введите IP-адрес из диапазона, который был использован на серверной части для транзитной VPN-подсети.
7. Дважды нажмите Сохранить .

Шаг 3. Создать правило NAT

Конечные хосты подключаются к VPN с использованием протокола Point-to-Point. Чтобы трафик можно быть передавать из VPN-зоны, необходимо создать правило NAT из этой зоны во все другие необходимые зоны.

Создание правила NAT:

1. В разделе Политики сети → NAT и маршрутизация нажмите Добавить .
2. В появившемся окне Свойства правила введите название и описание правила.
3. В графе Тип выберите NAT .
4. На вкладке Источник укажите VPN-зону, созданную на Шаге 1.
5. На вкладке Назначение укажите сетевые зоны, доступ к которым нужен удаленным пользователям.
6. Дважды нажмите Сохранить .

Шаг 4. Создать разрешающее правило межсетевого экрана для VPN-трафика

Для передачи VPN-трафика необходимо создать отдельное правило, в котором VPN-зона является исходной, а зоны, доступ к которым нужен удаленным пользователям, — зонами назначения.

Создание разрешающего правила для VPN-трафика:

1. В разделе Политики сети → Межсетевой экран нажмите Добавить .
2. Задайте название и описание правила. Для пункта Действие установите значение Разрешить .
3. На вкладке Источник укажите VPN-зону.
4. На вкладке Назначение укажите внутренние зоны, которые должны быть доступны через VPN-соединение.
5. Нажмите Сохранить .

Шаг 5. Создать локальных VPN-пользователей и профиль авторизации

Для идентификации пользователей VPN-подключений и разграничения доступа к сети необходимо задать отдельные учетные записи и сформировать из них группу. Для каждого пользователя должна быть создана отдельная пара из имени пользователя и пароля. Профиль авторизации необходим для указания метода аутентификации пользователей в серверном VPN-правиле, которое будет создано позже. Следует учесть, что для авторизации VPN запрещено использовать методы прозрачной авторизации, например Kerberos, NTLM, SAML IDP.

Создание локального пользователя:

1. В разделе Пользователи и устройства → Пользователи нажмите Добавить .
2. На вкладке Общие активируйте опцию Включено и задайте имя пользователя (обычно используется название филиала организации) и пароль для аутентификации каждого клиентского VPN-соединения.
3. Нажмите Сохранить .

После создания пользовательских учетных данных необходимо сформировать из них отдельную группу пользователей для PPTP VPN-подключений:

1. В разделе Пользователи и устройства → Группы нажмите Добавить .
2. На вкладке Свойства локальной группы введите название группы и ее описание.
3. В разделе Пользователи нажмите Добавить и укажите все учетные записи, предназначенные для VPN-подключений.
4. Нажмите Сохранить .

Для создания профиля авторизации:

1. Перейдите в раздел Пользователи и устройства → Профили авторизации .
2. Нажмите Добавить .
3. На вкладке Общие введите название и описание профиля.
4. На вкладке Методы аутентификации нажмите Добавить и выберите Локальный пользователь .
5. Нажмите Сохранить .

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы шифрования. Допускается наличие несколько профилей безопасности и использование их для построения соединений с различными типами клиентов.

Создание профиля VPN:

1. Перейдите в раздел VPN → Профили безопасности VPN .
2. Нажмите Добавить для создания нового профиля безопасности.
3. На вкладке Общие введите название и описания данного профиля. Укажите параметры работы IKE в соответствующих строках.
4. В разделе Общий ключ введите ключ шифрования, который должен совпадать у всех участников VPN-сети. Ключ шифрования должен состоять из сложных комбинаций букв, цифр и символов и иметь длину не менее 8 символов.
5. На вкладке Фаза 1 при необходимости укажите параметры Время жизни ключа шифрования, интервал определения недоступных участников VPN-сети Интервал Dead Peer detection и количество неудачных попыток подключения (параметр Неудачные попытки ), при достижении которого UserGate выдаст сообщение об ошибке подключения.
6. В разделе Diffie-Hellmann группы укажите те группы, которые поддерживаются на стороне подключаемых клиентов VPN-подключений. Рекомендуемые группы: 2, 5, 14, 15, 16.
7. В разделе Безопасность удалите существующие записи. Выберите алгоритм авторизации SHA1 и шифрование не ниже AES128 . Допустимо использовать AES192, AES256. Если параметров не видно в интерфейсе, потяните мышью нижнюю синюю рамку окна настроек.
8. На вкладке Фаза 2 при необходимости укажите время жизни ключа шифрования (параметр Время жизни ключа ) и максимальный объем данных, которые можно зашифровать одним ключом (параметр Максимальный объем данных, шифруемых одним ключом ). Смена ключа произойдет автоматически при достижении заданного объема переданного трафика.
9. В разделе Безопасность выберите алгоритм авторизации SHA1 и шифрование не выше AES128 . Более стойкое шифрование не поддерживается ОС Windows.
10. Дважды нажмите Сохранить .

Шаг 7. Создать сети VPN

Сеть VPN определяет диапазоны адресов, которые будут анонсированы при подключении к VPN-серверу клиентских установок ВМ UserGate. Таким образом клиент UserGate будет обладать информацией, что данные подсети находятся в VPN-сети. Обычно в VPN-сети добавляются те филиальные подсети, между которыми необходимо обеспечить межсетевое взаимодействие.

Создание сети VPN:

1. Перейдите в раздел VPN → Сети VPN , нажмите Добавить .
2. В появившемся окне Свойства VPN-сети на вкладке Общие введите название и описание создаваемой VPN-сети.
3. На вкладке Сеть укажите адресуемый диапазон внутри туннельного интерфейса, совпадающий диапазоном, который был указан на Шаге 2.
4. На вкладке Маршруты введите диапазоны внутренних подсетей, которые должны передаваться клиентской ВМ UserGate и взаимодействие с которыми будет происходить через VPN-туннель.
5. Нажмите Сохранить .

Шаг 8. Создать серверное правило VPN

Серверное правило VPN повторяет логику работы политики межсетевого взаимодействия. В нем указываются исходные зоны источника VPN-трафика и параметры конфигурации, которые были созданы выше.

Создание серверного правила:

1. Перейдите в раздел VPN → Серверные правила и нажмите Добавить .
2. В появившемся окне Свойства активируйте опцию Включено .
3. Заполните поля Название и Описание серверного правила VPN.
4. В полях Профиль безопасности VPN , Сеть VPN , Профиль авторизации и Интерфейс выберите элементы, созданные на предыдущих этапах.
5. На вкладке Источник укажите внешнюю зону c доступом в интернет, которая принимает подключение от VPN-клиентов.
6. Дважды нажмите Сохранить .

Шаг 9. Настроить подключение L2TP на клиентском компьютере с ОС Windows 10

1. Откройте панель Пуск и выберите пункт Параметры .
2. Выберите раздел Сеть и Интернет → VPN и нажмите Добавить VPN-подключение .
3. В появившемся окне Добавить VPN-подключение заполните информационные поля профиля подключения в соответствии с той информацией, которая была указана на предыдущих шагах. Созданное VPN-подключение типа WAN Miniport (L2TP) будет отображаться вместе с остальными сетевыми адаптерами в настройках операционной системы.
4. Перейдите в раздел Параметры Windows → Сеть и Интернет → Ethernet → Настройка параметров адаптера .
5. Нажмите правой кнопкой мыши на иконку с VPN-подключением и выберите пункт Свойства .
6. Перейдите на вкладку Безопасность и установите значения для следующих параметров:
   • Обязательное (отключиться, если нет шифрования) для параметра Шифрование данных .
   • Незашифрованный пароль (PAP) для параметра Разрешить следующие протоколы .

Созданное VPN-подключение будет отображаться в иконке сетевых подключений на панели задач.

Чтобы создать ярлык на Рабочем столе для VPN-соединения, перетащите его иконку из окна Параметры Windows → Сеть и Интернет → Ethernet → Настройка параметров адаптера на Рабочий стол.

Операционная система Windows по умолчанию отправляет весь сетевой трафик на туннельный VPN-интерфейс, т.к. новый маршрут по умолчанию прописывается в системные настройки.

Чтобы избежать полного туннелирования трафика и отправлять в VPN-туннель трафик только для необходимых удаленных подсетей:

1. Перейдите на вкладку Сеть , выберите IP версии 4 и нажмите Свойства .
2. В появившемся окне на вкладке Общие нажмите Дополнительно .
3. В появившемся окне Дополнительные параметры TCP/IP отключите опцию Использовать основной шлюз в удаленной сети .
4. Нажмите ОК .

Шаг 10. Внести изменения в реестр ОС Windows

Операционные системы Windows по умолчанию не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Например, такой метод внешней IP-адресации используется в платформе Advanced. Поэтому создать VPN-подключение в таком случае не удастся.

Для исправления этой ситуации необходимо внести изменения в реестр операционной системы, создав там специальное значение, которое позволит ОС использовать L2TP-подключения к VPN-серверам, расположенным за NAT-устройством.

1. Используя поиск в панели задач, введите запрос «Редактор реестра» и выберите соответствующее приложение.
2. Перейдите в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent .
3. Выберите пункт меню Правка → Создать → Параметр DWORD (32-bit) .
4. Введите имя AssumeUDPEncapsulationContextOnSendRule и установите значение 1 .
5. Закройте редактор реестра.

Шаг 11. Внести изменения в реестр MAC OS

Чтобы принудительно использовать протокол PAP на клиентах MacOS, используйте любой из приведенных ниже вариантов.

Введите следующие команды в файл nano ~/.ppprc :

refuse-chap refuse-mschap refuse-mschap-v2 

echo refuse-chap > ~/.ppprc echo refuse-mschap >> ~/.ppprc echo refuse-mschap-v2 >> ~/.ppprc 

Шаг 12. Проверить межсетевой доступ

После установки VPN-соединения нужно провести диагностику доступности удаленных ресурсов. Если они недоступны, то требуется диагностика маршрутизации.

На Панели задач в строке поиска введите «cmd» и нажмите Enter . Откроется консоль командной строки ОС. Выполните следующие отладочные команды, где * — это октеты вашей IP-адресации:

1. Просмотрите информацию о сетевых адаптерах и корректном назначении туннельной VPN-подсети при помощи команды ipconfig. Назначенный виртуальный VPN сетевой адаптер называется «Адаптер PPP».
2. Просмотрите информацию о переданных от VPN-сервера сетевых маршрутах и их корректном назначении в таблице маршрутизации ОС. Удаленные подсети должны быть доступны через IP-адрес сервера UserGate туннельной VPN-сети.
3. Для проверки доступности туннельного VPN-интерфейса выполните ICMP-запрос ping *.*.*.* к локальному IP-адресу туннельного интерфейса, а затем к туннельному VPN-интерфейсу, указанному на Шаге 2.
4. Для проверки доступности удаленного ресурса выполните ICMP-запрос к нему ping *.*.*.*.
5. Для трассировки сетевого пути до удаленного ресурса выполните команду tracert *.*.*.* и убедитесь, что первым хопом является туннельный VPN-интерфейс сервера UserGate. Это означает, что трафик ушел в VPN-туннель.