L2TP mit IPsec Verschlüsselung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo an Alle,

wie bekomme ich im Lancom eine VPN mit "L2TP mit IPsec Verschlüsselung" hin?

Ein L2TP Verbindung habe ich zum laufen bekommen.

Aber wie oder wo trage ich den PSK für die IPsec Verschlüsselung ein?

Grüße
Cpuprofi
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: L2TP mit IPsec Verschlüsselung

Beitrag von Dr.Einstein »

Hi Cpuprofi,

geht leider nicht.

Gruß Dr.Einstein
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo Dr. Einstein,

ich befürchte das auch...

Aber im Lancom Dokument https://www.lancom-systems.de/docs/LCOS ... ation.html

steht "Als zusätzliche Sicherung, um z. B. eine Verschlüsselung der L2TP-Sessions über IPSec zu ermöglichen, kann das Gerät darüber hinaus auch das Routing-Tag der Gegenstelle prüfen, über die es die Daten empfangen hat."

Was das "Routing-Tag der Gegenstelle" mit "Verschlüsselung der L2TP-Sessions über IPSec" zu tun hat, erschließt sich mir jetzt nicht auf dem ersten Blick, aber ich bin noch Hoffnungsvoll, dass LANCOM "L2TP mit IPSec" doch noch zeitnah ins LCOS implementiert.

Zumal, wo jetzt die Verbreitung von Glasfaser-Anschlüssen (z.B. Deutsche Glasfaser [CG-NAT]) steigt, man nur so eine feste IPv4 Adresse über andere Carrier bekommen kann.

Es wäre doch peinlich, dass Billig-Router so etwas können und ein Lancom nicht...

Grüße
Cpuprofi
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von backslash »

Hi cpuprofi

bei der Microsoftsche L2TP-Verschlüsselung handelt es sich im Prinzip um einen IKEv2-Transport-Mode auf den Microsoft noch ein L2TP gestapelt hat - warum auch immer... Vermulich damit man sich nicht mit SA-Konfiguration herumärgern muß. Aber gerade bei IKEv2 ist das völlig überflüssig, denn es kennt ja die any <-> any SAs und den Austausch von Routen (IKEv2-Routing).

Da LANCOMs den IPSec-Transport-Mode nicht unterstützen, ist es auch nicht mal so eben möglich, die Microsoftsche L2TP-Verschlüsselung zu implementieren.

Ein L2TP über ein IPSec im Tunnel-Mode hingegen ist sehr wohl möglich - und da kommt dann auch das mit dem Routing-Tag ins Spiel... Über die Routing-Tag-Prüfung kann erzwungen werden, daß eine L2TP-Verbiundung nur über einen VPN-Tunnel angenommen wird, der das betreffende Routing-Tag hat. Ohne diese Prüfung wird L2TP auch aus dem Internet angenommen und läuft dann unverschlüsselt

Ich sage hier i.Ü. explizit Microsoftsche L2TP-Verschlüsselung, weil es eine propietäre Lösung ist - genau wie damals die PPTP-Verschlüsselung
Zumal, wo jetzt die Verbreitung von Glasfaser-Anschlüssen (z.B. Deutsche Glasfaser [CG-NAT]) steigt, man nur so eine feste IPv4 Adresse über andere Carrier bekommen kann.
Dafür ist aber keine Verschlüsslung nötig... Und wenn du es unbedingt verschlüsselt haben willst: Es gibt auch Carrier, die reine IKEv2-Tunnel anbieten, ohne daß darüber noch ein eigentlich überflüssiges L2TP gestapelt werden muß...

Gruß
Backslash
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo Backslash,

vielen Dank für Deine schnelle Antwort.

Es geht in der Tat bei meinem Fall nicht um die "Microsoftsche L2TP-Verschlüsselung" sondern um die Bereitstellung von einer öffentlichen IPv4-Adresse von einem alternativen/anderen Carrier (nicht der welcher mir den Internet-Anschluss bereitstellt) mittels "L2TP mit IPSec" Verbindung.
backslash hat geschrieben: 21 Jun 2022, 12:50 Es gibt auch Carrier, die reine IKEv2-Tunnel anbieten, ohne daß darüber noch ein eigentlich überflüssiges L2TP gestapelt werden muß...


Könntest Du mir passende Carrier nennen? Ich habe bisher nur 3 gefunden welche eben "L2TP mit IPSec" nutzen...

Grüße
Cpuprofi
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von backslash »

Hi cpuprofi
Könntest Du mir passende Carrier nennen?
nun ja, ich hab mal nach "internet ikev2 provider" gegoogelt und das liefert nach ein paar allgemeinen Treffern zu IKEv2 Links zu Test von Computerzeitschriften, wie z.B. https://www.netzwelt.de/vergleich/vpn-a ... test.html ... Das war der erste Link und in der Liste können fast alle Anbieter IKEv2...

Gruß
Backslash
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo Backslash,

danke für die Liste. Es gibt nur ein Problem: Die meisten (Anonymous-/Secure-) VPN-Anbieter lassen keine Portweiterleitung zu bzw. diese sind nur sehr eingeschränkt möglichen. Unabhängig davon, daß die meisten VPN-Anbieter nur eine sehr langsame Verbindungsgeschwindigkeit haben/zulassen. Wie schon geschrieben, scheint dieses ein schwieriges Unterfangen zu sein...

Grüße
Cpuprofi
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von backslash »

Hi cpuprofi ,
Die meisten (Anonymous-/Secure-) VPN-Anbieter lassen keine Portweiterleitung zu bzw. diese sind nur sehr eingeschränkt möglichen.
das verstehe ich jetzt nicht...
Ob als Tunnel nun IKEv2 oder ein Stapel von IKE und L2TP genutzt wird, macht doch keinen Unterschied dabei, ob du echte öffentliche IPs bekommst oder auch wieder hinter einem Carrier-Grade-NAT hängst. Das hat doch rein gar nichts mit dem Tunnelprotokoll zu tun und ist somit völlig irrevant... Oder anders gesagt: ein Anbieter der dir bei IKEv2 ein NAT vorsetzt, wird das auch bei L2TP machen...
Unabhängig davon, daß die meisten VPN-Anbieter nur eine sehr langsame Verbindungsgeschwindigkeit haben/zulassen.
auch das verstehe ich nicht...
Wieso sollte ein Stapel von IKE und L2TP schneller sein als nur IKEv2 - wenn es überhaupt einen unterschied gibt, dann ist pures IKEv2 schneller als der Stapel (weil weniger zu tun ist).

Also ehrlich das klingt mir doch alles sehr an den Haaren herbeigezogen

Gruß
Backslash
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: L2TP mit IPsec Verschlüsselung

Beitrag von Dr.Einstein »

cpuprofi hat geschrieben: 21 Jun 2022, 12:00 Es wäre doch peinlich, dass Billig-Router so etwas können und ein Lancom nicht...
So ist das aber leider. Im Datenblatt steht nichts von L2TP over IPSec. Genauso könntest du jetzt fragen, wieso kann die LMC als "führender deutscher Netzwerkhersteller" kein IPv6, kann doch sonst jeder andere Cloudanbieter... Davon steht aber auch nichts im Datenblatt.

Du solltest den Sachverhalt einfach hinnehmen, und entweder auf einen anderen Hersteller für dein Szenario wechseln, oder einen Anbieter finden, der IKEv2 beherrscht.

Gruß Dr.Einstein
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo Backslash,

du hast meine Aussagen bezüglich der VPN-Tunnel und Geschwindigkeit der VPN-Anbieter aus Deiner "ge-google-ten" Liste falsch verstanden.

Es ging diesbezüglich nicht darum ob IPsec oder L2TP "technisch" schneller sind und ich habe auch nicht behauptet, dass für eine echte öffentliche IP nur das eine oder andere geht.

Du hattest nur gesagt, dass es (problemlos) möglich ist Anbieter zu finden welche eine echte öffentliche IP per IPsec Tunnel anbieten. Nur ist dem leider nicht so. Ich habe mir alle Anbieter aus der Liste angesehen und keiner davon ist für meinen Zweck geeignet.

Ich hatte vorher schon 3 andere Anbieter gefunden, welche aber eben nur "L2TP mit IPsec" für das VPN nutzen und das kann der Lancom ja (immer noch) nicht.

Ich kann dem VPN Anbieter ja auch schlecht sagen "Sorry LANCOM kann das Protokoll nicht, baut mal eben einen IPsec Tunnel für mich". Da lachen die mich bestenfalls aus...

Grüße
Cpuprofi
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo Dr. Einstein,
Dr.Einstein hat geschrieben: 21 Jun 2022, 18:12 ...entweder auf einen anderen Hersteller für dein Szenario wechseln, oder einen Anbieter finden, der IKEv2 beherrscht...
es wird wohl so sein: Entweder andere Hardware oder Server mieten und alles selber machen. Kostengünstig und effizient sieht aber anders aus... Ist wohl leider so.

Grüße
Cpuprofi
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: L2TP mit IPsec Verschlüsselung

Beitrag von andreas »

Hey,

ich hatte das mal ohne IPSec Verschlüsselung im Einsatz:
https://www.portunity.de/access/produkt ... unnel.html
https://www.portunity.de/access/wiki/L2 ... Anleitung)

Sollte aber lt. Anbieter funktionieren.

VG
Andreas
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: L2TP mit IPsec Verschlüsselung

Beitrag von cpuprofi »

Hallo Andreas,

Portunity hatte ich schon mal getestet. Die machen L2TP ohne IPsec, das ist richtig.

Leider ist die Bandbreite des Tunnels mit 85Mbps (Labortest bei Portunity) nicht allzu flink...

Weiter ist in der Anleitung von Portunity unter L2TP-Endpunkte -> Stations-Name und Passwort: Fügen Sie Ihren Produkt-Loginnamen und Ihr Produkt-Passwort ein" ein Fehler! Dort wird nichts eingetragen.

Ich habe jetzt noch Zugänge von zwei anderen Anbietern (auch L2TP) bekommen, da bin ich noch am testen.

Grüße
Cpuprofi
Antworten