Наиболее общим случаем является последний в списке. В этом случае Инициатор выбирает новый номер порта, и Получатель выбирает новый адрес и новый номер порта. Поток L2TP-сообщений, который возникает в этом случае, следующий: Настройка L2TP подключения на клиенте производится стандартными методами О том, как подключиться к vpn-серверу из Windows 7 можно прочитать здесь. L2TP не имеет указанного недостатка, так как использует только одну UDP-сессию для передачи данных и управления, что облегчает подключение клиентов и администрирование сетевой инфраструктуры.

Возможности OpenL2TP

Использование persist=yes, в упомянутой выше конфигурации, сообщает программе OpenL2TP повторять установку туннеля с отключённым L2TP-сервером (LNS на принимающей другой стороне). OpenL2TP периодически будет отправлять запросы на установку туннеля до тех пор, пока туннель не будет создан, а также попытается пересоздать туннель в случае, если позже вновь созданный туннель разорвётся.

Так как OpenL2TP по-умолчанию работает и как L2TP-клиент и как L2TP-сервер, то некоторым пользователям VPN может пригодится отключение ненужных лишних функциональных возможностей сервера. Для того, чтобы это сделать, включите следующую команду в упомянутый выше файл конфигурации:

Если Вам требуется безопасное VPN-соединение, то в таком случае Ваш L2TP-туннель можно защитить при помощи IPSec. Эта дополнительная надстройка для L2TP поддерживается в различных коммерческих программных продуктах, таких как Windows XP. За подробной информацией о создании VPN-соединений при помощи L2TP/IPSec — обратитесь к разделу IPSec, который расположен далее в руководстве.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Если вам нужна бесплатная консультация, пишите мне!

Настраиваем VPN сервер — L2TP. Платформа Windows server 2008 / 2008R2

Сервер L2TP

Читатели, которые не планируют использовать OpenL2TP в качестве сервера для удалённых других L2TP-клиентов, могут спокойно пропустить этот подраздел руководства.

1. Фиксированные IP-адреса, предварительно настроенные для каждого L2TP-клиента, который подключится к L2TP-серверу.
2. Динамические IP-адреса, полученные из пула IP-адресов.
3. Динамические IP-адреса, полученные через поиск в RADIUS-сервере.

ippoold

Настройка ippoold предельно проста. Пулы IP-адресов могут быть созданы в интерактивном режиме, используя утилиту ippoolconfig. Или, в другом случае, создание пулов IP-адресов может быть указано в файле настроек. Следующий пример показывает простую настройку с одним единственным пулом IP-адресов, содержащим 100 IP-адресов.

Настройка OpenL2TP проста в том случае, когда все PPP-клиенты должны использовать один и тот же пул IP-адресов. Следующая настройка — это всё, что потребуется, не более

В такой настройке будут использоваться временные UDP-порты, поэтому в настройке OpenSWAN необходимо внести следующие изменения: И хотя OpenSWAN уже содержит в себе отдельную собственную реализацию L2TP, она слишком ограничена в возможностях для использования её вместо OpenL2TP. Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу.

L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

И так вернемся к настройкам, для развертывания VPN L2TP-сервера мы будем использовать Windows Server 2008 R2, однако все сказанное, с небольшими поправками, будет справедливо и для иных версий Windows Server.

Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте Разрешить RAS выбирать адаптер):

В итоге у вас в списке портов должны остаться только нужные вам порты в указанном вами количестве.

Настройка L2TP подключения на клиенте производится стандартными методами(О том, как подключиться к vpn-серверу из Windows 7 можно прочитать здесь.), на вкладке Безопасность выберите тип VPN как L2TP с IPsec и нажмите кнопку Дополнительные свойства, в открывшемся окне укажите использование предварительного ключа и введите сам ключ.

В остальном никаких отличий от создания PPTP подключения нет, пользователи могут подключаться к нашему серверу используя свои учетные данные.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Если вам нужна бесплатная консультация, пишите мне!

Настройка VPN (L2TP/IPsec) для Windows и MacOS. Бесплатные серверы VPN Gate

Когда соединение установлено, весь сетевой трафик будет проходить через VPN-сервер. Убедиться в этом вы сможете с помощью команды tracert 8.8.8.8 в командной строке Windows. В остальном никаких отличий от создания PPTP подключения нет, пользователи могут подключаться к нашему серверу используя свои учетные данные. Рекомендуется использовать имя DDNS его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится.

Комментарии:

Осталось найти время проверить правильность написанного выше.
Какая часть написанного тебя смущает?:)

Попробовал вместо скрипта взять часть другой инструкции с iptables — заработало, но совершенно не обращает внимание на общий пароль, т.е. можно любой писать((

Попробовал вместо скрипта взять часть другой инструкции с iptables — заработало, но совершенно не обращает внимание на общий пароль, т.е. можно любой писать((
Это означает что у вас не работает IPSec. Т.е. L2TP работает, но без шифрования. Видно что-то у вас всё-таки настроено не так.

Собственно скорее всего у вас не «взлетел» strongswan. Потому и пришлось в iptables разрешать весь udp-трафик по порту 1701, а не только тот что с шифрованием. Так дело было?:)

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

администратор не может с уверенностью сказать, что данное подключение выполнено пользователем Иванов со служебного ноутбука, а не злоумышленником, получившим доступ к учетным данным. Если вам нужна бесплатная консультация, пишите мне!

Yellow Leaf — Статьи — Развёртывание L2TP-сервера с IPSec / PSK