L2tp соединение что это

L2tp соединение что это

Недавно столкнулся с проблемой подключения по l2tp протоколу к корпоративной сети, давайте разберем как работает этот протокол.

L2TP – Layer 2 Tunneling Protocol, или протокол туннелирования второго уровня. За счет аутентификации не только пользователя, но и компьютера, cчитается более безопасным чем PPTP, который может использовать небезопасную аутентификацию MS-CHAP v.2.

Протокол L2TP обеспечивает аутентификацию компьютера за счет проверки сертификата или общего ключа (pre-shared key) и аутентификацию пользователя, что сводит на нет риски компроментации учетных данных пользователя. Шифрование трафика происходит средствами протокола IPsec и использует такие алгоритмы как 3DES, Blowfish, CAST, IDEA, RC5 или AES.

IPsec в свою очередь использует протоколы Authentification header (AH) и Encapsulated security Payload (ESP). AH обеспечивает проверку подлинности, а ESP обеспечивает конфиденциальность передаваемых данных. Для шифрования используется IKE – internet key exchange то есть обмен ключами.

Всё это может вызывать проблемы при подключении, которые обычно возникают либо из-за NAT, либо из-за закрытых портов.

Самые распространенные ошибки:

Ошибка 789 – “Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.”

Microsoft рекомендует добавить следующее значение в реестре:

Значение имени: ProhibitIpSec
Тип данных: DWORD(32)
Значение: 1

Отключает политику проверки сертификата.

Ошибка 809 – “Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает”

Microsoft опять же рекомендует создать строковый параметр DWORD(32)

AssumeUDPEncapsulationContextOnSendRule в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

0 – нельзя подключится к серверам за NAT

1 – Можно подключаться к серверам за NAT

2 – И сервер и компьютер находятся за NAT

Я же в свою очередь рекомендую в первую очередь проверить, открыты ли у Вас порты UDP 500 (IKE), 4500 (IKE ESP NAT-T) и 1701 а также TCP 1701. Если Вы используете антивирусы с брандмауэром (dr.web, kaspersky) то для чистоты эксперимента советую не просто отключить брандмауэр, а полностью разрешить трафик на интерфейсе (allow all) В частности при отключенном брандмауэре dr.web, L2TP подключение выдавало ошибку 789 до тех пор, пока не был полностью разрешен трафик на внешнем интерфейсе.

Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.

Считается, что протокол L2TP вобрал в себя лучшие черты PPTP и L2F. [1]

Схема работы

На диаграмме показана схема работы протокола L2TP. Целью здесь является туннелирование кадров PPP между удаленной системой или клиентом LAC (L2TP Access Concentrator) и LNS (L2TP Network Server), размещенной в LAN. [3]

Удаленная система инициирует PPP-соединение с LAC через коммутируемую телефонную сеть PSTN (Public Switched Telephone Network). LAC затем прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, и таким образом осуществляется доступ к исходной LAN. Адреса удаленной системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация и аккаунтинг могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS.

Читайте также:  Как установить фон в повер поинт

LAC-клиент (ЭВМ, которая исполняет программу L2TP) может также участвовать в туннелировании до исходной LAN без использования отдельного LAC, если ЭВМ, содержащая программу LAC-клиента, уже имеет соединение с Интернет. Создается «виртуальное» PPP-соединение, и локальная программа L2TP LAC формирует туннель до LNS. Как и в вышеописанном случае, адресация, аутентификация, авторизация и аккаунтинг будут обеспечены областью управления исходной LAN.

Обзор протокола

L2TP использует два вида пакетов: управляющие и информационные сообщения. Управляющие сообщения используются при установлении, поддержании и аннулировании туннелей и вызовов. Информационные сообщения используются для инкапсуляции PPP-кадров, пересылаемых по туннелю. Управляющие сообщения используют надежный контрольный канал в пределах L2TP, чтобы гарантировать доставку. Информационные сообщения при потере не пересылаются повторно.

PPP кадры
L2TP информационные сообщения L2TP управляющие сообщения
L2TP информационный канал (ненадёжный) L2TP канал управления (надёжный)
Транспортировка пакетов (UDP, FR, ATM и т.д.)

Управляющее сообщение имеет порядковый номер, используемый в управляющем канале для обеспечения надежной доставки. Информационные сообщения могут использовать порядковые номера, чтобы восстановить порядок пакетов и детектировать потерю кадров. Все коды посылаются в порядке, принятом для сетей.

Формат заголовка

Пакеты L2TP для контрольного и информационного каналов используют один и тот же формат заголовка:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 31
T L x x S x O P x x x x Версия Длина(опц)
ID туннеля ID сессии
Ns (опц) Nr (опц)
Offset Size (опц) Offset Pad (опц).
Payload data
  • Бит тип (T) характеризует разновидность пакета.

Он устанавливается равным 0 для информационных сообщений и 1 — для управляющих.

  • Если бит длины (L) равен 1, поле длина присутствует.

Для управляющих сообщений этот бит должен быть равен 1.

  • Биты x зарезервированы для будущих применений.

Все зарезервированные биты должны быть установлены равными 0 для исходящих сообщений и игнорироваться для входящих.

  • Если бит последовательности (S) равен 1, присутствуют поля Ns и Nr.

Бит S для управляющих сообщений должен быть равен 1.

  • Если бит смещения (O) равен 1, поле величины смещения присутствует.

Бит O для управляющих сообщений должен быть равен 0.

  • Бит приоритета (Р) должен быть равен 0 для всех управляющих сообщений. Для информационных сообщений — если этот бит равен 1, это информационное сообщение имеет приоритет в очереди.
  • Поле Ver указывает версию заголовка информационного сообщения L2TP.

Значение 1 зарезервировано для детектирования пакетов L2F в условиях, когда они приходят вперемешку с L2TP-пакетами. Пакеты, полученные с неизвестным значением поля Ver, отбрасываются.

  • Поле Длина (опционально) указывает общую длину сообщения в октетах.
  • ID-туннеля содержит идентификатор управляющего соединения. Идентификаторы туннеля L2TP имеют только локальное значение. То есть, разные концы одного туннеля должны иметь разные ID. ID-туннеля в каждом сообщении должно быть тем, которое ожидает получатель. ID-туннеля выбираются при формировании туннеля.
  • ID-сессии определяет идентификатор для сессии данного туннеля. Сессии L2TP именуются с помощью идентификаторов, которые имеют только локальное значение. ID-сессии в каждом сообщении должно быть тем, которое ожидает получатель. ID-сессии выбираются при формировании сессии.
  • Поле Ns определяет порядковый номер информационного или управляющего сообщения, начиная с нуля и увеличиваясь на 1 (по модулю 216) для каждого посланного сообщения.
  • Поле Nr содержит порядковый номер, который ожидается для следующего сообщения. Таким образом, Nr делается равным Ns последнего по порядку полученного сообщения плюс 1 (по модулю 216). В информационных сообщениях, Nr зарезервировано и, если присутствует (это определяется S- битом), должно игнорироваться при получении.
  • Поле величина смещения (Offset Size), если имеется, специфицирует число октетов после заголовка L2TP, где должно начинаться поле данных. Содержимое заполнителя смещения не определено. Если поле смещения присутствует, заголовок L2TP завершается после завершающего октета заполнителя смещения.
Читайте также:  Управление кулером видеокарты amd

Типы управляющих сообщений

Тип сообщения AVP определяет специфический тип посылаемого управляющего сообщения.

Управление контрольным соединением

  • 0 (зарезервировано)
  • 1 (SCCRQ) Start-Control-Connection-Request
  • 2 (SCCRP) Start-Control-Connection-Reply
  • 3 (SCCCN) Start-Control-Connection-Connected
  • 4 (StopCCN) Stop-Control-Connection-Notification
  • 5 (зарезервировано)
  • 6 (HELLO) Hello

Управление вызовами (Call Management)

  • 7 (OCRQ) Outgoing-Call-Request
  • 8 (OCRP) Outgoing-Call-Reply
  • 9 (OCCN) Outgoing-Call-Connected
  • 10 (ICRQ) Incoming-Call-Request
  • 11 (ICRP) Incoming-Call-Reply
  • 12 (ICCN) Incoming-Call-Connected
  • 13 (зарезервировано)
  • 14 (CDN) Call-Disconnect-Notify

Сообщения об ошибках

Управление сессией PPP

Протокольные операции

Необходимая процедура установления PPP-сессии туннелирования L2TP включает в себя два этапа:

  • установление управляющего канала для туннеля
  • формирование сессии в соответствии с запросом входящего или исходящего вызова.

Туннель и соответствующий управляющий канал должны быть сформированы до инициализации входящего или исходящего вызовов. L2TP-сессия должна быть реализована до того, как L2TP сможет передавать PPP-кадры через туннель. В одном туннеле могут существовать несколько сессий между одними и теми же LAC и LNS.

Управляющее соединение

Является первичным, которое должно быть реализовано между LAC и LNS перед запуском сессии. Установление управляющего соединения включает в себя безопасную идентификацию партнера, а также определение версии L2TP, возможностей канала, кадрового обмена и т. д.

L2TP включает в себя простую, опционную, CHAP-подобную систему аутентификации туннеля в процессе установления управляющего соединения.

Установление сессии

После успешного установления управляющего соединения могут формироваться индивидуальные сессии. Каждая сессия соответствует одному PPP информационному потоку между LAC и LNS. В отличие от установления управляющего соединения, установление сессии является асимметричным в отношении LAC и LNS. LAC запрашивает LNS доступ к сессии для входных запросов, а LNS запрашивает LAC запустить сессию для работы с исходящими запросами.

Когда туннель сформирован, PPP-кадры от удаленной системы, получаемые LAC, освобождаются от CRC, канальных заголовков и т. п., инкапсулированных в L2TP, и переадресуются через соответствующий туннель. LNS получает L2TP-пакет и обрабатывает инкапсулированный PPP-кадр, как если бы он был получен через локальный интерфейс PPP.

Отправитель сообщения, ассоциированный с определенной сессией и туннелем, помещает ID сессии и туннеля (специфицированные партнером) в соответствующие поля заголовка всех исходящих сообщений.

Использование порядковых номеров в канале данных

Порядковые номера, определенные в заголовке L2TP, используются для организации надежной транспортировки управляющих сообщений. Каждый партнер поддерживает отдельную нумерацию для управляющего соединения и для каждой информационной сессии в пределах туннеля.

Читайте также:  Материнская плата стартует но не запускается

В отличие от канала управления L2TP, информационный канал L2TP использует нумерацию сообщений не для повторной пересылки, а для детектирования потерь пакетов и/или восстановления исходной последовательности пакетов, перемешанных при транспортировке.

LNS может инициировать запрет нумерации сообщений в любое время в ходе сессии (включая первое информационное сообщение).

Механизм keepalive (Hello)

Механизм keepalive используется L2TP для того, чтобы различать простои туннеля и длительные периоды отсутствия управления или информационной активности в туннеле. Это делается с помощью управляющих сообщений Hello после заданного периода времени, истекшего с момента последнего получения управляющего сообщения через туннель. При недоставке сообщения Hello туннель объявляется нерабочим, и система возвращается в исходное состояние. Механизм перевода транспортной среды в исходное состояние путем введения сообщений Hello гарантирует, что разрыв соединения между LNS и LAC будет детектирован на обоих концах туннеля.

Прерывание сессии

Прерывание сессии может быть инициировано LAC или LNS и выполняется путем посылки управляющего сообщения CDN. После того как последняя сессия прервана, управляющее соединение может быть также разорвано.

Разрыв контрольного соединения

Разрыв контрольного соединения может быть инициирован LAC или LNS и выполняется путем посылки одного управляющего сообщения StopCCN.

Реализация L2TP через специфическую среду

Протокол L2TP является самодокументируемым, работающим поверх уровня, который служит для транспортировки. Однако, необходимы некоторые детали подключения к среде, для того чтобы обеспечить совместимость различных реализаций.

Соображения безопасности

Протокол L2TP сталкивается при своей работе с несколькими проблемами безопасности. Ниже рассмотрены некоторые подходы для решения этих проблем.

Безопасность на конце туннеля

Концы туннеля могут опционно выполнять процедуру аутентификации друг друга при установлении туннеля. Эта аутентификация имеет те же атрибуты безопасности, что и CHAP, и обладает разумной защитой против атак воспроизведения и искажения в процессе установления туннеля. Для реализации аутентификации LAC и LNS должны использовать общий секретный ключ.

Безопасность пакетного уровня

Обеспечение безопасности L2TP требует, чтобы транспортная среда могла обеспечить шифрование передаваемых данных, целостность сообщений и аутентификацию услуг для всего L2TP-трафика. Сам же L2TP ответственен за конфиденциальность, целостность и аутентифицированность L2TP-пакетов внутри туннеля.

L2TP и IPsec

При работе поверх IP, IPsec (безопасный IP) предоставляет безопасность на пакетном уровне. Все управляющие и информационные пакеты L2TP в конкретном туннеле выглядят для системы IPsec, как обычные информационные UDP/IP-пакеты. Помимо транспортной безопасности IP, IPsec определяет режим работы, который позволяет туннелировать IP-пакеты, а также средства контроля доступа, которые необходимы для приложений, поддерживающих IPsec. Эти средства позволяют фильтровать пакеты на основе характеристик сетевого и транспортного уровней. В модели L2TP-туннеля аналогичная фильтрация выполняется на PPP-уровне или сетевом уровне поверх L2TP.

Ссылка на основную публикацию
Canon 600d для видеосъемки
Страница 142 Отснятые видеозаписи рекомендуется просматривать, подключив фотоаппарат к телевизору (стр. 218, 221). Поверните диск установки режима в положение ....
Adblock detector