IPSec-mit oder ohne L2TP?
Ich beziehe mich auf diese Frage. Und um klar zu sein: Hier geht es wirklich nicht um die alte PPTP vs L2TP-Debatte. ;-)
Ich habe Racoon erfolgreich als IKE-Server eingerichtet, ohne dass eine L2TP-Implementierung ausgeführt wird, und es funktioniert recht gut. Ich kann einen Tunnel von meinem Laptop zum VPN-Server einrichten und diesen als Internet-Gateway verwenden. Soweit ich sehen kann, sind alle IP-Pakete sicher gekapselt. Voilà, das ist alles, was ich wollte. Aber, oops, es ist nur OS X / iOS, das unterstützen Sie diese Art eines" einfachen IPSec " - VPN sofort, aber ich muss auch andere Plattformen unterstützen. Alle anderen Betriebssysteme, einschließlich Windows und Android, scheinen die zusätzliche PPP-Verbindung zu benötigen, die mit L2TP mithilfe von Software wie xl2tpd hergestellt wird. Ich war neugierig, also habe ich es wieder mit Racoon+xl2tpd eingerichtet und einen L2TP/IPSec-Tunnel erstellt. Und es funktioniert genau wie ohne L2TP.
Also, was ist der Vorteil der Verwendung von L2TP überhaupt? Ja, ich kann andere Protokolle wie X. 25 tunneln, aber alles anders als IP wird von der überwiegenden Mehrheit der Benutzer selten benötigt. Ich kann Gründe annehmen, warum MS es komplexer macht, als das VPN-Zeug sein muss. Aber zumindest kann ich nicht verstehen, warum Android diese L2TP-Schicht immer noch benötigt, was meiner Meinung nach nur Komplexität und Overhead hinzufügt. Und ja, ich weiß, dass es zusätzliche Client-Software gibt, um die Betriebssystemgrenzen zu überwinden.
Auch bei der Authentifizierung gibt es keinen Unterschied: Die Fernauthentifizierung erfolgt in der Regel mit Pre-Shared-Keys oder Zertifikaten und Benutzer die Authentifizierung erfolgt über XAuth oder CHAP / PAP. - Jep, ich vereinfache hier, aber du weißt, was ich meine.
Weiß jemand, warum L2TP mit IPSec immer noch der Standard ist? Fehlt mir etwas?
2 answers
Android seit 4.0 unterstützt einfache IPSec aus der Box. Und es gibt mehrere apps für 4.x, die andere VPN-Protokolle auf nicht gerooteten Geräten bereitstellen (z. B. IKEv2/IPSec mit dem strongSwan VPN Client).
Seit Windows 7 können Sie den integrierten IKEv2 / IPSec-Client verwenden. Zugegeben, Racoon unterstützt IKEv2 nicht, aber es gibt andere Open-Source-Implementierungen (z. B. strongSwan oder Libreswan).
Weiß jemand, warum L2TP immer noch der Standard ist Weg mit IPSec?
Ich würde nicht sagen, dass dies der Standardweg ist, da z. B. Windows 7 und neuer zuerst IKEv2 ausprobieren, aber ich stimme zu, dass Clients es immer noch ziemlich prominent anbieten.
Ein Grund für den anfänglichen Erfolg war wahrscheinlich, dass die vorhandene PPP-Infrastruktur für DFÜ-Verbindungen wiederverwendet werden konnte (während sie sicherer und standardisierter als PPTP war). Und weil es L2TP-Installationen schon lange gibt und ziemlich weit verbreitet waren, hatte jeder Client (und hat immer noch), um es zu unterstützen. Dies macht es VPN-Anbietern natürlich leichter, da sie die Anzahl der angebotenen VPN-Technologien reduzieren können. Dies verringert jedoch den Anreiz, andere Protokolle in Clients zu implementieren.
Es könnte auch Lizenzprobleme geben, die verhindern, dass andere Protokolle verwendet werden, zum Beispiel sind die oben genannten IKEv2-Implementierungen GPL-lizenziert, die Apple in iOS und Google in Android zugunsten zulässiger lizenzierter Software wie z racoon (die sie beide in ihren Produkten verwenden).
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2014-04-03 06:39:45
Am Anfang (lange bevor die BSD IPSec-Implementierung in den Linux-Kernel integriert wurde) war es nicht möglich, ein IPSec-VPN über ein NAT-Gateway zu verwenden, da NAT IPSec nicht möglich war. IPSec wurde für IPv6 entwickelt, das NAT nicht mehr kennt, und die Verwendung von IPSec für IPv4 war schon immer eine Art Hack. NAT für die sogenannten Road Warriors mit IPv4 nicht zu haben, war ein No-Go. Die einzige Möglichkeit, es in der 90. zum Laufen zu bringen, war die Verwendung von L2TP, da L2TP oben funktioniert UDP und NAT ist möglich. Cisco nahm diese Lösung auf und implementierte sie in ihren VPN-Konzentratoren. Dies ist die Zeit, es wurde ein "Standard". Und um mit Cisco kompatibel zu sein, haben viele andere Anbieter es implementiert. Das ist der Grund, warum Apple es implementiert hat und warum Android es auch unterstützt.
Das Tunneln von Layer - 2-Ethernet-Frames durch den IPSec-Tunnel war jedoch noch nie eine großartige Idee für eine reine IP-Kommunikation. In der 90. gab es andere Protokolle, die Überbrückung wie benötigt IPX aber heutzutage spricht jeder IP. Und um den Layer-2-Frame-Overhead loszuwerden, schlug RFC 3948 die "UDP-Kapselung von IPSec-ESP-Paketen"vor. Dies funktioniert auch, indem die ESP-und AH-Protokolle in UDP-Pakete eingefügt werden und dadurch NAT möglich ist. Es werden jedoch Layer-2-Frames vermieden. Dies ist die moderne Lösung, die jeder zuerst ausprobieren sollte. Die Verwendung von L2TP ist der Legacy-Weg, der nur für die Abwärtskompatibilität existiert.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-02-12 16:59:38