L2TP over IPsec

L2TP over IPsec ist eine Kombination aus dem Sicherheitsprotokoll IPsec und dem Tunneling-Protokoll L2TP. L2TP over IPsec setzt Microsoft für Punkt-zu-Punkt-Verbindungen zwischen zwei virtuellen Netzwerk-Schnittstellen ein. Dabei wird L2TP durch IPsec getunnelt.
Durch die Kombination von L2TP und IPsec haben sich die Schwächen beider Protokolle gegenseitig auf. L2TP und IPsec miteinander zu kombinieren bedeutet, ein flexibles Tunneling-Protokoll mit höchster Sicherheit einsetzen zu können.

Nachteile von IPsec

IPsec hat den Nachteil, dass es nur IP-Pakete tunneln kann. Außerdem ist es ohne zusätzliche Protokolle eher ungeeignet für Remote Access. Es fehlen die Funktionen zur Konfiguration von IP-Adresse, Subnetzmaske und DNS. In Kombination mit L2TP ist es möglich über IPsec auch andere Protokolle als IP zu übertragen und gleichzeitig für Remote Access zu nutzen.

Nachteile von L2TP

L2TP kann alle Protokolle tunneln, sofern sie in PPP eingekapselt werden können. Das heißt, wenn es für ein Netzwerk-Protokoll einen NCP für PPP gibt, dann kann es durch L2TP getunnelt werden. Allerdings bietet L2TP keine besonderen Sicherheitsfunktionen. IPsec kümmert sich um die in L2TP nicht vorhandene Verschlüsselung.

L2TP/IPsec-Architektur

L2TP/IPsec-Architektur
Zuerst wird die IPsec-Verbindung aufgebaut. Danach folgt durch die sichere Verbindung der L2TP-Tunnel, durch den die privaten Netzwerk-Pakete in PPP-Paketen transportiert werden.

L2TP/IPsec-Protokoll-Stack

L2TP/IPsec-Protokoll-Stack
Die IP-Pakte werden in PPP-Frames eingekapselt. Die werden in L2TP-Pakete eingekapselt. Dann folgt der UDP-Paket. Und dann wird noch ein IPsec-Header und -Trailer drumherum gebaut. Die Daten sind somit verschlüsselt. Danach werden die Pakete noch von einem Schicht-2-Protokoll (L2), zum Beispiel PPP, PPPoE oder Ethernet, nochmals eingekapselt und vom VPN-Router weitergeleitet.
Die Verarbeitung ist recht aufwändig und der Paket-Overhead im Vergleich zu den Nutzdaten groß. Allerdings ist das die einzige Möglichkeit Nicht-IP-Pakete mit höchstmöglichster Sicherheit zu übertragen.

Übersicht: VPN-Technik und - Protokolle