digitech1
22.10.2007, aktualisiert am 01.11.2007
view12462
view9
0
Goto Top

l2tp-ipsec vpn tunnel, warum?

gelöstFrageNetzwerkeLAN, WAN, Wireless
Hi,

ich beschäftige mich gerade mit l2tp/ipsec vpn und hatte bisher nur mit ipsec vpns zu tun. jetzt mal meine frage: warum benutzt man üebrhupt l2tp/ipsec, warum nicht nur ipsec. ich werd nicht schlau dies bezüglich im internet und kann keine eindeutigen vorteile von l2tp erkennen, nur kompliziertere konfigurationen. warum bentuzt man also site to site l2tp over ipsec vpns und nicht nur ipsec, was ist da der vorteil? vielleicht könnt ihr mir helfen? grüße
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 71561

Url: https://administrator.de/contentid/71561

Ausgedruckt am: 26.11.2024 um 06:11 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
Dani
Dani 22.10.2007 um 11:13:23 Uhr
Goto Top
Hallo,
ganz einfach: L2TP bietet keine Sicherheit, da es keine Verschlüsselung mit sich bringt. Deswegen setzt man auf den L2TP einen IPSec Tunnel auf. Somit ist eine gewisse Sicherheit gegeben. Da gibt es eine 2 Möglichkeiten:

  • Sharedkey
  • Zertifiakte

Sprich mit Zertifiakten kannst du die Sicherheit nochmal deutlich erhöhen. Denn so ein Key kann schon mal ausspioniert werden.

Mehr kannst du hie nachlesen.


Grüße
Dani
digitech1
digitech1 22.10.2007 um 11:17:43 Uhr
Goto Top
Hi dani,
danke für die antwort, aber meine frage war eigentlich genau anders rum gestellt. ich mein, wenn l2tp nicht verschlüsselt sondern nur encapsulated, warum setz ich dann nicht komplett auf ipsec, warum dann noch l2tp.

deine antwort hätte auf die frage gepasst: warum benutz ich ipsec in verbindung mit l2tp und setze nicht komplett auf l2tp.

hoffe, du verstehst was ich meine face-smile

grüße
brammer
brammer 22.10.2007 um 11:39:01 Uhr
Goto Top
Hallo,

einer der wichtigsten unterschiede ist zum Beispiel das L2TP auch für ATM, Frame Relay und X.25 eingesetzt werden kann während IpSec nur für IP basierte Netze funktioniert. Und im Provider Bereich sind ATM und Frame Relay gebräuchlich.

brammer

/edit
hier ein tabellarischer Vergleich: (http://www.itwissen.info/definition/lexikon/_l2tpl2tp_l2tplayer%202%20t ..)
/edit
digitech1
digitech1 22.10.2007 um 11:41:14 Uhr
Goto Top
hallo,
danke
ok, aber bei einer internet site to side verbindung bringt l2tp 0 vorteile mit sich oder?
brammer
brammer 22.10.2007 um 11:43:12 Uhr
Goto Top
Hallo,

wenn deine Verbindung eine IP Verbindung ist nicht, ist es eine Frame Relay oder ATM Verbindung dann schon

brammer
digitech1
digitech1 22.10.2007 um 11:47:22 Uhr
Goto Top
hi,
dann versteh ich ehrlich gesagt nicht, warum meiner meinung nach geshcätzte 60% l2tp/ipsec vpns sind und nach weiterem recherchieren das ganze über ip-netze läuft.
Dani
Dani 22.10.2007 um 11:47:25 Uhr
Goto Top
Hi!
ahh...habe ich wohl verlesen. Aber brammer hat das schon richtig gesagt.

L2TP hat schon Vorteile. Du kannst z.B. mehrere Tunnel nebeneinander fahren ohne das Verwechselungen auftreten können. Zusätzlich hast du die Möglichkeit NAT zu verwenden.

L2TP Version 3 (?) ist auch eine Alternative zu MPLS.


Grüße
Dani
digitech1
digitech1 22.10.2007 um 14:30:50 Uhr
Goto Top
naja, ich versteh zwar jetzt nicht was du mit wechselungen auftreten meinst, aber nat und alle anderen sagen kann ich bei ipsec auch fahren. whatever face-wink

schönen tag noch face-smile
nikovandi
nikovandi 01.11.2007 um 02:34:48 Uhr
Goto Top
Hallo,
ganz einfach: L2TP bietet keine Sicherheit,
da es keine Verschlüsselung mit sich
bringt. Deswegen setzt man auf den L2TP
einen IPSec Tunnel auf. Somit ist eine
gewisse Sicherheit gegeben. Da gibt es eine 2
Möglichkeiten:

Aehmmm ......
Genau wie Du sagt.... L2TP macht keine Verschlüsselung...
Aber man setzt nicht auf L2Tp eine IPSEC auf , sondern IPSEC mit X509 oder PSK
ist die Grundvoraussetzung für L2TP....
Ohne Host-toHost Tunnel nix L2TP


  • Sharedkey
  • Zertifiakte

Sprich mit Zertifiakten kannst du die
Sicherheit nochmal deutlich erhöhen.
Denn so ein Key kann schon mal ausspioniert
werden.
Jepp . deswegen ist IPSEC mit X509 "State of the Art".

Also was heisst das nun..
Ich stelle Verschluesselung mit IPsec her.
Dann nehm ich mir den ollen PPP Daemon mit CHAP PAP v2 v1 oder was ich , und stopf den Kram
auf IPSEC drauf.

Kann das Sinn machen ? ... Jein ....
Warum ja ...
- weil es einfach easy ist mit dem Mickysoft Assistenten mal eben durchzuklicken.
- weil der Admin dann eine generelle PSK fuer Ipsec rausgeben kann , da er ja noch mit der CHAP PAP
Auth abgesichert ist, bevor der PPP den User reinlässt. (Bei verschienden Clients/IPs kann ich nur eine
einzige PSK setzen die für alle gilt.)
- Ergo für HomeUser deren DSL Router Ipsec Passtrough unterstützt (dat tun auch nich alle) ist das easy einzurichten..

Warum nein ...
- IPSEC verbarucht schon eineige Bytes für die Verschlüsselung, und dann stopf PPP durch, was auch noch wieder mal Protokolloverhead mitbringt. Macht irgendwie keine Sinn, da ja schon ne verschlüsselte Verbindung besteht.
- Die zweite Auth wie bei PPP kann auch IPSEC mit Extended Auth.
- Alles was vom PC bzw dahinter haengendem Netz kommt kriegt die IP der PPP Adresse, Betreiber Admin kann also nicht sehen ob da nur ein Rechner oder nen Netz hinter ist.

Die Enstehung von L2TPD unter Windows hat Jacco de Leuw (Autor des L2TPD unter Linux) irgendwie ganz net zusammengefasst...

PPTP git als unsicher (PPP mit GummiVerschluessleung)
MS hat den IPSEC Stack bei Cisco eingekauft , und das PPP oben raufgepflanzt, und nun ist L2TP
genauso einzurichten wie PPTP , aber endlich sicher, allerdings nur ducrh IPSEC.

Summasum....
L2TP ist noch ganz niedlich füer Aussendientmitarbeiter die mit Windows Bordmitteln
in die Firma kommen sollen, und wo die Admins bzw. Entscheider soweit "Beratungsresistent" sind,
das Sie die Gefahren nicht sehen.(Split Tunneling)
Der NCP Secure Client, verkauft sich wie "geschnitten Brot" und das hat seinen Grund.

Für eine Net-2-Net Kopplung zwiischen Aussenstellen und Firmen ist eh das nix.

Ich betreibe gut 250 Tunnel durch Europa, dabei einen PPTP und einen L2TP, und das nur
weil es am Endpunkt "Firmenpolitik" ist.

Der PPTP endet auf nem ISA-Server, dafür hab ich Verständnis und Mitgefühl.
Der L2TP terminiert auf eine Astaro Firewall , da bleibt nur Kopfschütteln.

Mehr kannst du
[http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.htm
hie] nachlesen.
Naja ... Gruppenrichtlinien ist schon wieder sehr MS lastig face-smile
Aber wie der der Titel schon sagt-- "VPN-Einwahl"...
Mit Bormitteln ins Firmennetz.

Gruesse Andre



Grüße
Dani
gelöstFrageNetzwerkeLAN, WAN, Wireless
Mehr von digitech1digitech1Snmp MIB II Filter?digitech1 - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare