私はこれを参照しています 質問 。そして明確にするために:これは実際には古いPPTP vs L2TPの議論についてではありません。;-)
L2TP実装を実行せずに、racoonをIKEサーバーとして正常にセットアップしましたが、非常にうまく機能します。ラップトップからVPNサーバーへのトンネルを確立し、これをインターネットゲートウェイとして使用できます。私が見る限り、すべてのIPパケットは安全にカプセル化されています。 Voilà、これが私が欲しかったすべてです。しかし、おっと、このタイプの「プレーンIPSec」VPNをすぐにサポートするのはOS X/iOSだけですが、他のプラットフォームもサポートする必要があります。 WindowsとAndroidを含む他のすべてのOSには、xl2tpdなどのソフトウェアを使用してL2TPを使用して確立される追加のPPP接続が必要なようです。興味があったので、設定しました。 racoon + xl2tpdを使用して再度起動し、L2TP/IPsecトンネルを作成しました。これは、L2TPを使用しない場合とまったく同じように機能します。
では、L2TPを使用する利点は何ですか?はい、X.25のような他のプロトコルをトンネリングできますが、大多数のユーザーがIP以外のものを必要とすることはめったにありません。 MSがVPN関連のものよりも複雑にそれを行っている理由を推測することができます。しかし、少なくとも、AndroidがまだこのL2TPレイヤーを必要としている理由は理解できません。これは、複雑さとオーバーヘッドを追加するだけだと思います。もちろん、OSの制限を克服するための追加のクライアントソフトウェアがあることはわかっています。
認証を使用しても違いはありません。リモート認証は通常、事前共有キーまたは証明書を使用して行われ、ユーザー認証はXAuthまたはCHAP/PAPを介して行われます。 –うん、ここでは単純化しているが、あなたは私が何を意味するか知っている。
L2TPが依然としてIPSecの標準的な方法である理由を誰かが知っていますか?私は何かが足りないのですか?
4.0以降のAndroidは、そのままの状態でプレーンIPsecをサポートします。また、ルート化されていないデバイスで他のVPNプロトコルを提供する4.x用のアプリがいくつかあります(例:IKEv2/IPsec with strongSwan VPN Client )。
Windows 7以降、組み込みのIKEv2/IPsecクライアントを使用できます。付与されたアライグマはIKEv2をサポートしていませんが、サポートしている他のオープンソース実装があります(例: strongSwan または Libreswan )。
L2TPが依然としてIPSecの標準的な方法である理由を誰かが知っていますか?
私はそれが標準的な方法だとは言いません。 Windows 7以降では最初にIKEv2を試しますが、クライアントがそれを非常に目立つように提供していることに同意します。
最初の成功の理由の1つは、ダイヤルアップ接続用に存在していたPPPインフラストラクチャを再利用できるようにしたことです(PPTPよりも安全で標準化されています)。また、L2TPのインストールが長い間、かなり広く展開されており、ほぼすべてのクライアントがそれをサポートしていました(そしてまだサポートしています)。これにより、VPNプロバイダーは、提供されるVPNテクノロジーの数を減らすことができるため、もちろん簡単になります。ただし、これにより、クライアントに他のプロトコルを実装するインセンティブ。
他のプロトコルの使用を妨げるライセンスの問題もある可能性があります。たとえば、上記のIKEv2実装はGPLライセンスであり、これはApple iOSおよびGooglein Android = racoon(どちらも製品で使用している)など、より寛容にライセンスされたソフトウェアを支持することを避ける傾向があります。
当初(BSD IPsec実装がLinuxカーネルに統合されるずっと前)、NATゲートウェイを介してIPsecVPNを使用することはできませんでした。これは、NATIPsec。 IPsecはIPv6用に開発されましたが、これはNATを認識しなくなり、IPv4用のIPsecの使用は常にある種のハッキングでした。 IPv4を使用するいわゆるロードウォリアーにNATがないことは許されませんでした。 L2TPはUDP上で機能し、NATが可能であるため、90番目に機能させる唯一の方法はL2TPを使用することでした。シスコはこのソリューションを採用し、VPNコンセントレータに実装しました。これが「標準」になった時期です。また、シスコとの互換性を保つために、他の多くのベンダーが実装しました。これが、Appleがそれを実装した理由であり、Androidもそれをサポートしている理由です。
しかし、IPsecトンネルを介したレイヤー2イーサネットフレームのトンネリングは、IPのみの通信にとって優れたアイデアではありませんでした。 90年代には、IPXのようにブリッジングが必要な他のプロトコルがありましたが、今日では誰もがIPを話します。そして、レイヤー2フレームのオーバーヘッドを取り除くために、RFC3948は「IPsecESPパケットのUDPカプセル化」を提案しました。これは、ESPおよびAHプロトコルをUDPパケットに入れることによっても機能し、これによってNATが可能になります。ただし、レイヤー2フレームは回避されます。これは、誰もが最初に試すべき最新のソリューションです。 L2TPの使用はレガシーな方法であり、下位互換性のためにのみ存在します。