9
l2tp-ipsec vpn tunnel, warum?
Hi,
ich beschäftige mich gerade mit l2tp/ipsec vpn und hatte bisher nur mit ipsec vpns zu tun. jetzt mal meine frage: warum benutzt man üebrhupt l2tp/ipsec, warum nicht nur ipsec. ich werd nicht schlau dies bezüglich im internet und kann keine eindeutigen vorteile von l2tp erkennen, nur kompliziertere konfigurationen. warum bentuzt man also site to site l2tp over ipsec vpns und nicht nur ipsec, was ist da der vorteil? vielleicht könnt ihr mir helfen? grüße
ich beschäftige mich gerade mit l2tp/ipsec vpn und hatte bisher nur mit ipsec vpns zu tun. jetzt mal meine frage: warum benutzt man üebrhupt l2tp/ipsec, warum nicht nur ipsec. ich werd nicht schlau dies bezüglich im internet und kann keine eindeutigen vorteile von l2tp erkennen, nur kompliziertere konfigurationen. warum bentuzt man also site to site l2tp over ipsec vpns und nicht nur ipsec, was ist da der vorteil? vielleicht könnt ihr mir helfen? grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71561
Url: https://administrator.de/contentid/71561
Printed on: April 20, 2024 at 00:04 o'clock
9 Comments
Latest comment
Hallo,
ganz einfach: L2TP bietet keine Sicherheit, da es keine Verschlüsselung mit sich bringt. Deswegen setzt man auf den L2TP einen IPSec Tunnel auf. Somit ist eine gewisse Sicherheit gegeben. Da gibt es eine 2 Möglichkeiten:
Sprich mit Zertifiakten kannst du die Sicherheit nochmal deutlich erhöhen. Denn so ein Key kann schon mal ausspioniert werden.
Mehr kannst du hie nachlesen.
Grüße
Dani
ganz einfach: L2TP bietet keine Sicherheit, da es keine Verschlüsselung mit sich bringt. Deswegen setzt man auf den L2TP einen IPSec Tunnel auf. Somit ist eine gewisse Sicherheit gegeben. Da gibt es eine 2 Möglichkeiten:
- Sharedkey
- Zertifiakte
Sprich mit Zertifiakten kannst du die Sicherheit nochmal deutlich erhöhen. Denn so ein Key kann schon mal ausspioniert werden.
Mehr kannst du hie nachlesen.
Grüße
Dani
Hi dani,
danke für die antwort, aber meine frage war eigentlich genau anders rum gestellt. ich mein, wenn l2tp nicht verschlüsselt sondern nur encapsulated, warum setz ich dann nicht komplett auf ipsec, warum dann noch l2tp.
deine antwort hätte auf die frage gepasst: warum benutz ich ipsec in verbindung mit l2tp und setze nicht komplett auf l2tp.
hoffe, du verstehst was ich meine
grüße
danke für die antwort, aber meine frage war eigentlich genau anders rum gestellt. ich mein, wenn l2tp nicht verschlüsselt sondern nur encapsulated, warum setz ich dann nicht komplett auf ipsec, warum dann noch l2tp.
deine antwort hätte auf die frage gepasst: warum benutz ich ipsec in verbindung mit l2tp und setze nicht komplett auf l2tp.
hoffe, du verstehst was ich meine
grüße
Hallo,
einer der wichtigsten unterschiede ist zum Beispiel das L2TP auch für ATM, Frame Relay und X.25 eingesetzt werden kann während IpSec nur für IP basierte Netze funktioniert. Und im Provider Bereich sind ATM und Frame Relay gebräuchlich.
brammer
/edit
hier ein tabellarischer Vergleich: (http://www.itwissen.info/definition/lexikon/_l2tpl2tp_l2tplayer%202%20t ..)
/edit
einer der wichtigsten unterschiede ist zum Beispiel das L2TP auch für ATM, Frame Relay und X.25 eingesetzt werden kann während IpSec nur für IP basierte Netze funktioniert. Und im Provider Bereich sind ATM und Frame Relay gebräuchlich.
brammer
/edit
hier ein tabellarischer Vergleich: (http://www.itwissen.info/definition/lexikon/_l2tpl2tp_l2tplayer%202%20t ..)
/edit
hallo,
danke
ok, aber bei einer internet site to side verbindung bringt l2tp 0 vorteile mit sich oder?
danke
ok, aber bei einer internet site to side verbindung bringt l2tp 0 vorteile mit sich oder?
Hallo,
wenn deine Verbindung eine IP Verbindung ist nicht, ist es eine Frame Relay oder ATM Verbindung dann schon
brammer
wenn deine Verbindung eine IP Verbindung ist nicht, ist es eine Frame Relay oder ATM Verbindung dann schon
brammer
hi,
dann versteh ich ehrlich gesagt nicht, warum meiner meinung nach geshcätzte 60% l2tp/ipsec vpns sind und nach weiterem recherchieren das ganze über ip-netze läuft.
dann versteh ich ehrlich gesagt nicht, warum meiner meinung nach geshcätzte 60% l2tp/ipsec vpns sind und nach weiterem recherchieren das ganze über ip-netze läuft.
Hi!
ahh...habe ich wohl verlesen. Aber brammer hat das schon richtig gesagt.
L2TP hat schon Vorteile. Du kannst z.B. mehrere Tunnel nebeneinander fahren ohne das Verwechselungen auftreten können. Zusätzlich hast du die Möglichkeit NAT zu verwenden.
L2TP Version 3 (?) ist auch eine Alternative zu MPLS.
Grüße
Dani
ahh...habe ich wohl verlesen. Aber brammer hat das schon richtig gesagt.
L2TP hat schon Vorteile. Du kannst z.B. mehrere Tunnel nebeneinander fahren ohne das Verwechselungen auftreten können. Zusätzlich hast du die Möglichkeit NAT zu verwenden.
L2TP Version 3 (?) ist auch eine Alternative zu MPLS.
Grüße
Dani
naja, ich versteh zwar jetzt nicht was du mit wechselungen auftreten meinst, aber nat und alle anderen sagen kann ich bei ipsec auch fahren. whatever 
schönen tag noch
schönen tag noch
Hallo,
ganz einfach: L2TP bietet keine Sicherheit,
da es keine Verschlüsselung mit sich
bringt. Deswegen setzt man auf den L2TP
einen IPSec Tunnel auf. Somit ist eine
gewisse Sicherheit gegeben. Da gibt es eine 2
Möglichkeiten:
ganz einfach: L2TP bietet keine Sicherheit,
da es keine Verschlüsselung mit sich
bringt. Deswegen setzt man auf den L2TP
einen IPSec Tunnel auf. Somit ist eine
gewisse Sicherheit gegeben. Da gibt es eine 2
Möglichkeiten:
Aehmmm ......
Genau wie Du sagt.... L2TP macht keine Verschlüsselung...
Aber man setzt nicht auf L2Tp eine IPSEC auf , sondern IPSEC mit X509 oder PSK
ist die Grundvoraussetzung für L2TP....
Ohne Host-toHost Tunnel nix L2TP
- Sharedkey
- Zertifiakte
Sprich mit Zertifiakten kannst du die
Sicherheit nochmal deutlich erhöhen.
Denn so ein Key kann schon mal ausspioniert
werden.
Also was heisst das nun..
Ich stelle Verschluesselung mit IPsec her.
Dann nehm ich mir den ollen PPP Daemon mit CHAP PAP v2 v1 oder was ich , und stopf den Kram
auf IPSEC drauf.
Kann das Sinn machen ? ... Jein ....
Warum ja ...
- weil es einfach easy ist mit dem Mickysoft Assistenten mal eben durchzuklicken.
- weil der Admin dann eine generelle PSK fuer Ipsec rausgeben kann , da er ja noch mit der CHAP PAP
Auth abgesichert ist, bevor der PPP den User reinlässt. (Bei verschienden Clients/IPs kann ich nur eine
einzige PSK setzen die für alle gilt.)
- Ergo für HomeUser deren DSL Router Ipsec Passtrough unterstützt (dat tun auch nich alle) ist das easy einzurichten..
Warum nein ...
- IPSEC verbarucht schon eineige Bytes für die Verschlüsselung, und dann stopf PPP durch, was auch noch wieder mal Protokolloverhead mitbringt. Macht irgendwie keine Sinn, da ja schon ne verschlüsselte Verbindung besteht.
- Die zweite Auth wie bei PPP kann auch IPSEC mit Extended Auth.
- Alles was vom PC bzw dahinter haengendem Netz kommt kriegt die IP der PPP Adresse, Betreiber Admin kann also nicht sehen ob da nur ein Rechner oder nen Netz hinter ist.
Die Enstehung von L2TPD unter Windows hat Jacco de Leuw (Autor des L2TPD unter Linux) irgendwie ganz net zusammengefasst...
PPTP git als unsicher (PPP mit GummiVerschluessleung)
MS hat den IPSEC Stack bei Cisco eingekauft , und das PPP oben raufgepflanzt, und nun ist L2TP
genauso einzurichten wie PPTP , aber endlich sicher, allerdings nur ducrh IPSEC.
Summasum....
L2TP ist noch ganz niedlich füer Aussendientmitarbeiter die mit Windows Bordmitteln
in die Firma kommen sollen, und wo die Admins bzw. Entscheider soweit "Beratungsresistent" sind,
das Sie die Gefahren nicht sehen.(Split Tunneling)
Der NCP Secure Client, verkauft sich wie "geschnitten Brot" und das hat seinen Grund.
Für eine Net-2-Net Kopplung zwiischen Aussenstellen und Firmen ist eh das nix.
Ich betreibe gut 250 Tunnel durch Europa, dabei einen PPTP und einen L2TP, und das nur
weil es am Endpunkt "Firmenpolitik" ist.
Der PPTP endet auf nem ISA-Server, dafür hab ich Verständnis und Mitgefühl.
Der L2TP terminiert auf eine Astaro Firewall , da bleibt nur Kopfschütteln.
Mehr kannst du
[http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm
hie] nachlesen.
Naja ... Gruppenrichtlinien ist schon wieder sehr MS lastig [http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm
hie] nachlesen.
Aber wie der der Titel schon sagt-- "VPN-Einwahl"...
Mit Bormitteln ins Firmennetz.
Gruesse Andre
Grüße
Dani
