Bosh sahifa Wiki L2TP

L2TP

L2TPPPP sessiyalarini IP tarmog‘i orqali tunnelda tashishga mo‘ljallangan protokol. Uning to‘liq nomi Layer 2 Tunneling Protocol hisoblanadi.

L2TP foydalanuvchi autentifikatsiyasi, IP konfiguratsiyasi va session boshqaruvi kabi PPP imkoniyatlarini masofaviy tarmoq orqali yetkazadi.

L2TPning o‘zi kuchli shifrlash bermaydi. Internetdagi VPNlarda u ko‘pincha IPsec bilan birga L2TP/IPsec ko‘rinishida ishlatilgan.

L2TP arxitekturasi

L2TPda ikki asosiy endpoint mavjud.

LAC

L2TP Access Concentrator foydalanuvchi ulanishini qabul qiladi va L2TP tunnelga joylaydi.

LAC provayder access qurilmasi, VPN client, router yoki modem server bo‘lishi mumkin.

LNS

L2TP Network Server tunnelning boshqa tomonida PPP sessiyasini yakunlaydi.

LNS:

  • foydalanuvchini autentifikatsiya qiladi;
  • IP manzil beradi;
  • routing va policy qo‘llaydi;
  • accounting yuboradi;
  • korporativ tarmoqqa kirish beradi.

Tunnel va session

L2TPda tunnel va session alohida tushuncha.

Bitta tunnel ichida bir nechta session bo‘lishi mumkin.

L2TP Tunnel
├── PPP Session 1
├── PPP Session 2
└── PPP Session 3

Tunnel LAC va LNS orasidagi umumiy nazorat aloqasi. Har session alohida foydalanuvchi yoki PPP ulanishiga tegishli.

Control va data xabarlari

L2TP ikki turdagi xabardan foydalanadi.

Control message

Tunnel va sessionni boshqaradi.

Vazifalari:

  • tunnel yaratish;
  • session ochish;
  • capability almashish;
  • error;
  • keepalive;
  • tunnelni yopish.

Control xabarlar reliable sequence va acknowledgement mexanizmiga ega.

Data message

PPP frame’larni tashiydi. Data xabarlar uchun sequencing ixtiyoriy bo‘lishi mumkin.

UDP port

L2TPv2 odatda UDP 1701-portdan foydalanadi.

L2TP/IPsecda tashqi tarmoq quyidagi trafikni ko‘rishi mumkin:

IPsec L2TP paketini tashqi hujumchidan himoya qiladi.

Tunnel yaratish

Control tunnel yaratishda quyidagi xabarlar uchraydi:

  • SCCRQ — Start-Control-Connection-Request;
  • SCCRP — Start-Control-Connection-Reply;
  • SCCCN — Start-Control-Connection-Connected.

Shundan keyin session uchun alohida xabarlar almashiladi. Aniq session xabarlari incoming yoki outgoing call modeliga bog‘liq.

AVP

L2TP control xabarlari ma’lumotni Attribute-Value Pair ko‘rinishida tashiydi.

AVP misollari:

  • protocol version;
  • host name;
  • vendor name;
  • tunnel ID;
  • session ID;
  • receive window;
  • challenge;
  • error code.

Ayrim AVPlar yashirilgan ko‘rinishda uzatilishi mumkin, lekin bu umumiy trafik shifrlash o‘rnini bosmaydi.

PPPning roli

L2TP PPP frame’larini tunnel qiladi. PPP esa quyidagilarni bajaradi:

  • LCP orqali link parametrlarini kelishish;
  • PAP, CHAP yoki EAP autentifikatsiyasi;
  • IPCP orqali IPv4 manzil;
  • IPv6CP orqali IPv6 parametr;
  • compression yoki boshqa option;
  • session lifecycle.

L2TP foydalanuvchi autentifikatsiyasini o‘zi to‘liq almashtirmaydi. U PPP autentifikatsiyasini tashiydi.

L2TP/IPsec

Internetdagi eng mashhur ko‘rinish L2TP over IPsec bo‘lgan.

Qatlamlar:

Foydalanuvchi ma’lumoti
PPP
L2TP
UDP
IPsec ESP
Tashqi IP

IPsec peerlarni autentifikatsiya qiladi va trafikni shifrlaydi. L2TP esa PPP sessionni tashiydi.

Autentifikatsiya qatlamlari

L2TP/IPsecda ikki xil autentifikatsiya bo‘lishi mumkin.

IPsec autentifikatsiyasi

VPN gateway yoki client PSK yoki sertifikat bilan tekshiriladi.

PPP foydalanuvchi autentifikatsiyasi

Foydalanuvchi PAP, CHAP, MS-CHAPv2 yoki EAP orqali tasdiqlanadi.

Zaif PPP usuli IPsec kanal ichida yashirilsa ham, credential xavfsizligi va server komprometatsiyasi nuqtai nazaridan muhim.

NAT bilan ishlash

IPsec ESP NAT bilan muammo qilishi mumkin. NAT-T ESPni UDP 4500 ichiga joylaydi.

L2TP/IPsec clientlar ko‘pincha NAT ortida ishlaydi. Gateway NAT detection, UDP encapsulation, keepalive va multiple clients behind same NAT holatlarini qo‘llashi kerak.

Ayrim eski NAT qurilmalar L2TP/IPsecni noto‘g‘ri qayta ishlaydi.

MTU

L2TP/IPsec bir nechta header qo‘shadi:

Ichki packet uchun samarali MTU kamayadi.

Belgilar:

  • kichik saytlar ochiladi, kattalari qotadi;
  • file transfer uziladi;
  • fragmentatsiya;
  • ping faqat kichik hajmda ishlaydi.

Tunnel MTU va MSS clamp moslashtiriladi.

Tunnel ID va Session ID

Control va data xabarlari tunnel hamda session identifikatoriga ega.

Har tomon o‘z lokal ID qiymatini tanlaydi. Peer qarshi tomon bergan IDni paketlarda ishlatadi.

Bu bitta UDP endpoint orasida bir nechta tunnel va sessionni ajratishga yordam beradi.

Sequencing

Control xabarlarda Ns va Nr sequence qiymatlari mavjud.

Ular:

  • xabar tartibi;
  • acknowledgement;
  • retransmission;
  • receive window

uchun ishlatiladi.

Data xabar sequencing ixtiyoriy. Real vaqt trafikda tartibni qayta tiklash kerak bo‘lishi mumkin.

Keepalive

L2TP Hello control xabari orqali tunnelning tirikligini tekshirishi mumkin.

IPsecda Dead Peer Detection ham bo‘lishi mumkin.

Ikki qatlamdagi keepalive vazifalari farq qiladi:

L2TP access network

L2TP faqat remote-access VPN emas. Provayder tarmog‘ida subscriber PPP sessiyalarini access qurilmadan markaziy Broadband Network Gatewayga uzatishda ishlatilishi mumkin.

Masalan:

  • foydalanuvchi PPPoE bilan provayderga ulanadi;
  • LAC PPP sessionni L2TP orqali LNSga olib boradi;
  • LNS autentifikatsiya va IP manzil ajratadi.

Bu wholesale broadband modelida uchraydi.

L2TPv3

L2TPv3 Layer 2 pseudowire xizmatlari uchun kengaytirilgan variant.

U Ethernet, Frame Relay, ATM va boshqa Layer 2 frame’larni tashishi mumkin.

L2TPv3 L2TPv2dagi PPP remote access vazifasidan farq qiladi.

Xavfsizlik holati

Oddiy L2TP shifrlamaydi, payload maxfiyligini bermaydi va kuchli peer autentifikatsiyasiga tayanmaydi.

Shu sababli internetda u IPsec bilan ishlatiladi.

L2TP/IPsec tarixan keng tarqalgan bo‘lsa ham, yangi tizimlarda IKEv2, WireGuard yoki TLS asosidagi VPNlar soddaroq va tezroq bo‘lishi mumkin.

Diagnostika

L2TP/IPsec ishlamasa, qatlamlar ketma-ket tekshiriladi:

  1. Internet reachability.
  2. IKE SA.
  3. IPsec Child SA.
  4. UDP 1701 trafik.
  5. L2TP control tunnel.
  6. PPP LCP.
  7. Foydalanuvchi autentifikatsiyasi.
  8. IPCP manzil.
  9. Routing va DNS.

Shuningdek PSK, sertifikat, NAT-T, firewall, MTU, session limit, RADIUS, accounting va server loglari tekshiriladi.

Bog‘liq tushunchalar

PPP, VPN, LAC, LNS, Tunnel, Session, L2TP/IPsec, IPsec, NAT-T, RADIUS, PPPoE, L2TPv3