Маршрутизатор не поддерживает l2tp

Обновлено: 21.11.2024

По мере развития предприятий и расширения услуг многие филиалы открываются в разных местах. Некоторые сотрудники часто ездят в командировки, а некоторые могут работать дома. Им требуется быстрое, безопасное и надежное сетевое соединение со штаб-квартирой. В традиционных коммутируемых сетях они используют телефонные линии, арендованные поставщиком услуг Интернета (ISP), и запрашивают строку набора или IP-адреса у поставщика услуг Интернета. Это приводит к высоким затратам. Кроме того, выделенные линии не могут обслуживать удаленный персонал, особенно персонал, находящийся в командировках. Чтобы использовать PSTN или ISDN и облегчить пользователям из разных мест доступ к сети штаб-квартиры, используется VPDN. VPDN устанавливает прозрачную виртуальную связь «точка-точка» между удаленными пользователями и шлюзом штаб-квартиры.

Протокол туннелирования уровня 2 (L2TP) — это технология виртуальной частной удаленной сети (VPDN), которая позволяет пользователям коммутируемым образом устанавливать туннельные соединения с удаленным концом. L2TP использует PSTN или ISDN и основан на согласовании PPP для установления туннелей. Он расширяет применение протокола «точка-точка» (PPP) и является важной технологией VPDN, используемой удаленными пользователями с коммутируемым доступом для доступа к сети штаб-квартиры. Технология PPP over Ethernet (PPPoE) расширяет возможности L2TP и позволяет устанавливать туннели L2TP между удаленными пользователями и штаб-квартирой через Ethernet и Интернет.

Туннели L2TP устанавливаются между сетевым сервером L2TP (LNS) и концентратором доступа L2TP (LAC). Когда туннели L2TP установлены, удаленные пользователи могут получить доступ к ресурсам в штаб-квартире.

LAC — это клиент L2TP, а LNS — это сервер L2TP. Устройство можно развернуть как LAC или LNS.

Клиент L2TP

Контекст

Клиент L2TP развертывается на стороне удаленного пользователя и подключается к серверу L2TP в режиме автоматического коммутируемого доступа.

Клиент L2TP инициирует запрос виртуального соединения и отправляет информацию о себе на сервер L2TP. Сервер L2TP аутентифицирует информацию клиента L2TP и завершает установление соединения L2TP. Таким образом, после того как удаленный пользователь сможет использовать доступ клиента L2TP для подключения к серверу L2TP, удаленный пользователь сможет получить доступ к ресурсам в штаб-квартире, где находится сервер L2TP, без какой-либо дополнительной настройки.

Процедура

  • Создание клиента L2TP
  • Выберите VPN >L2TP VPN >Клиент L2TP.

Рисунок 2-186 L2TP-клиент

Созданный клиент L2TP отображается в области списка клиентов. Таблица 2-130 описывает параметры в списке клиентов.

IP-адрес сервера

IP-адрес сервера L2TP.

Доменное имя сервера L2TP.

Имя пользователя клиента L2TP. Туннель L2TP можно настроить, только если на клиенте L2TP и на сервере L2TP настроены одинаковые имя пользователя и пароль L2TP.

Вы не можете установить для этого параметра имя онлайн-пользователя.

Пароль клиента L2TP.

IP-адрес назначения/маска подсети 1

Разрешенные сегменты IP-адресов на сервере L2TP. Данные пользователей, обращающихся к серверу L2TP, пересылаются через туннель L2TP.

Клиент L2TP поддерживает максимум 10 сегментов IP-адресов.

Значение Да указывает, что исходный IP-адрес потока данных, пересылаемого через туннель L2TP, заменяется IP-адресом, выделенным клиенту L2TP сервером L2TP.

По умолчанию NAT отключен.

Локальное имя туннеля

Имя туннеля клиента L2TP.

По умолчанию в качестве имени туннеля используется имя устройства. Чтобы просмотреть или изменить имя устройства, см. информацию об устройстве в разделе Информация об устройстве .

Если туннельная аутентификация включена на сервере L2TP, туннельная аутентификация должна быть включена на клиенте L2TP.

По умолчанию туннельная аутентификация отключена.

Пароль для аутентификации в туннеле.

Пароль туннеля, установленный на клиенте L2TP, должен совпадать с паролем, установленным на сервере L2TP; в противном случае клиент L2TP не сможет пройти аутентификацию.

Это значение представляет собой строку от 1 до 16 символов с учетом регистра без метасимволов, таких как пробелы и вопросительные знаки.

По умолчанию пароль для туннеля не установлен.

Интервал сохранения (в секундах)

Интервал отправки пакетов Hello через туннель.

После создания туннеля между клиентом L2TP и сервером L2TP клиент L2TP отправляет пакеты Hello на сервер L2TP с заданным интервалом для проверки соединения. Если клиент L2TP не получает ответа от сервера L2TP после отправки пяти последовательных пакетов Hello, туннельное соединение между клиентом L2TP и сервером L2TP автоматически разрывается.

Значение по умолчанию – 60 секунд.

Шифрование параметров AVP в пакетах L2TP.

После установки этого параметра пакеты согласования L2TP шифруются в процессе установки сеанса L2TP, что повышает безопасность, но увеличивает время установки туннеля.Согласование L2TP может быть выполнено должным образом, только если шифрование параметров AVP включено как на клиенте L2TP, так и на сервере L2TP.

По умолчанию параметры AVP не шифруются.

Максимальная длина пакетов TCP на интерфейсе.

Рекомендуемое значение TCP-MSS — 1200 байт.

Максимальная единица передачи (MTU) интерфейса.

MTU интерфейса по умолчанию 1500 байт.

Настроен ли туннель L2TP между клиентом L2TP и сервером L2TP.

IP-адрес сервера L2TP.

IP-адрес клиента

IP-адрес клиента L2TP.

Имя пользователя клиента L2TP.

  1. Выберите VPN >L2TP VPN >Клиент L2TP.
  2. В области «Список клиентов» выберите клиент L2TP и нажмите «Отключить автоматический набор» . Клиент L2TP находится в состоянии Down.
  3. Нажмите справа.
  4. В диалоговом окне "Изменить клиент L2TP" задайте параметры, перечисленные в Табл. 2-129.

Рисунок 2-187 Изменение клиента L2TP

Удаленный клиент L2TP не отображается в области списка клиентов.

L2TP-сервер

Контекст

Сервер L2TP развернут в штаб-квартире и функционирует как шлюз.

После получения информации о пользователе от клиента L2TP сервер L2TP аутентифицирует пользователя и отвечает на запрос настройки туннеля L2TP от клиента L2TP. Затем устанавливается соединение L2TP между сервером L2TP и клиентом L2TP.

Маршрутизаторы AR502EG-L, AR502EGW-L, AR502CG-L, AR502EGRb-L, AR502EGRc-Lc, AR502EG-L-PD, AR502EG-La , AR502EGRz-L, AR502EGRz-Lc не поддерживают сервер L2TP.

Процедура

  • Создание сервера L2TP
  • Выберите VPN >L2TP VPN >L2TP-сервер.

Рисунок 2-188 L2TP-сервер

Созданный сервер L2TP отображается в области списка служб. Табл. 2-132 описывает параметры в списке служб.

Необходимо ли настроить туннель L2TP по умолчанию.

При использовании туннеля L2TP по умолчанию любой клиент L2TP может установить соединение L2TP с сервером L2TP. Туннель L2TP по умолчанию нельзя изменить на туннель L2TP, отличный от стандартного.

Имя туннеля клиента L2TP, который может получить доступ к серверу L2TP.

Если выбран этот параметр, сервер L2TP аутентифицирует клиента L2TP, который инициирует запрос на установку туннеля. Туннель L2TP можно настроить, только если включена аутентификация в туннеле и один и тот же пароль туннеля установлен на сервере и клиенте L2TP.

Если включена проверка подлинности туннеля, требуется пароль туннеля. Туннель L2TP можно настроить, только если включена аутентификация в туннеле и один и тот же пароль туннеля установлен на сервере и клиенте L2TP.

Чтобы предотвратить ввод неправильного пароля, введите пароль еще раз в текстовое поле Подтвердить пароль.

Режим аутентификации для клиентов L2TP.

PAP: протокол аутентификации с двусторонним рукопожатием, который передает пароли в виде обычного текста. PAP используется в сетях, не требующих высокой безопасности.

CHAP: протокол аутентификации с трехсторонним рукопожатием, который передает пароли в зашифрованном виде. В сетях, требующих высокой безопасности, аутентификация CHAP используется для установления соединения PPP. На практике широко используется аутентификация CHAP.

Домен AAA. Если вы выбираете домен, используется режим аутентификации домена.

По умолчанию на маршрутизаторе существует домен AAA с именем default, а домен по умолчанию использует режим аутентификации с именем default.

IP-адрес шлюза/маска подсети

Частный IP-адрес и пул адресов сервера L2TP.

В параметре IP-адрес шлюза/маска подсети IP-адрес шлюза указывает адрес шлюза клиента L2TP, а маска подсети указывает IP-адрес, выделенный клиенту L2TP.

Имя туннеля L2TP-сервера.

По умолчанию имя туннеля для сервера L2TP не настроено. Имя устройства используется в качестве имени туннеля. Чтобы просмотреть или изменить имя устройства, см. информацию об устройстве в разделе Информация об устройстве .

Интервал сохранения (в секундах)

Интервал отправки пакетов Hello через туннель.

После создания туннеля между клиентом L2TP и сервером L2TP сервер L2TP отправляет пакеты Hello клиенту L2TP с заданным интервалом для проверки соединения. Если сервер L2TP не получает ответа от клиента L2TP после отправки пяти последовательных пакетов Hello, туннельное соединение между клиентом L2TP и сервером L2TP автоматически разрывается.

Значение по умолчанию – 60 секунд.

Шифрование параметров AVP в пакетах L2TP.

После установки этого параметра пакеты согласования L2TP шифруются в процессе установки сеанса L2TP, что повышает безопасность, но увеличивает время установки туннеля. Согласование L2TP может быть выполнено должным образом, только если шифрование параметров AVP включено как на клиенте L2TP, так и на сервере L2TP.

По умолчанию параметры AVP не шифруются.

Обязательное повторное согласование LCP

Если включено обязательное повторное согласование LCP, L2TP выполняет вторую аутентификацию после завершения первого согласования LCP. Клиенту L2TP необходимо инициировать второе согласование, и L2TP-соединение может быть установлено только после успешного завершения второго согласования. Обязательное повторное согласование LCP применимо к сценариям, требующим высокой сетевой безопасности, и увеличивает время настройки туннеля.

По умолчанию обязательное повторное согласование LCP отключено.

Некоторые клиенты PPP могут не поддерживать вторую аутентификацию. В этом случае соединение L2TP завершается сбоем, когда включено повторное согласование LCP.

Когда повторное согласование LCP и обязательная аутентификация CHAP настроены одновременно в группе L2TP, повторное согласование LCP вступает в силу.

Обязательная аутентификация CHAP

Обязательная аутентификация CHAP.

Если включена обязательная проверка подлинности CHAP, сервер L2TP выполняет только проверку подлинности CHAP на клиентах L2TP. Если проверка подлинности CHAP не удалась, сеанс не может быть установлен. Обязательное повторное согласование CHAP применимо к сценариям, требующим высокой сетевой безопасности, и увеличивает время настройки туннеля.

По умолчанию обязательная аутентификация CHAP отключена.

Некоторые клиенты PPP могут не поддерживать вторую аутентификацию. В этом случае соединение L2TP завершается ошибкой, когда включена обязательная проверка подлинности CHAP.

Когда повторное согласование LCP и обязательная аутентификация CHAP настроены одновременно в группе L2TP, повторное согласование LCP вступает в силу.

Имя туннеля клиента L2TP, который может получить доступ к серверу L2TP.

Вам не нужно указывать имя туннеля при настройке туннеля по умолчанию.

Количество подключенных пользователей

Количество пользователей доступа на сервере L2TP. Вы можете нажать Подробности, чтобы управлять пользователями доступа.

  1. Выберите VPN >L2TP VPN >L2TP-сервер.
  2. В области списка служб выберите сервер L2TP и нажмите справа.

Удаленный сервер L2TP не отображается в области списка служб.

Я нашел это, и это выглядит несколько близко к тому, что вы спрашиваете - в основном маршрутизатор Cisco, действующий как клиент IPSec L2TP для VPN-сервера. Так что это выглядит выполнимым.

21 ответ

Джастин Г.

Вы пытаетесь настроить VPN типа "сеть-сеть"? pfSense может работать с OpenVPN

Брианинка

Райан120913

Устройства Mikrotik работают.

Я также согласен с Брайаном, ERL также является отличным вариантом.

Джастин Грейвс написал:

Вы пытаетесь настроить VPN-соединение между сайтами? pfSense может работать с OpenVPN

Я пытаюсь настроить определенным образом, но не уверен, что pfSense поддерживает эту конфигурацию

Джастин Г.

Джастин Грейвс написал:

Вы пытаетесь настроить VPN-соединение между сайтами? pfSense может работать с OpenVPN

Я пытаюсь настроить определенным образом, но не уверен, что pfSense поддерживает эту конфигурацию

Ваш измененный вопрос теперь имеет больше смысла. pfSense 2.1 пока не поддерживает L2TP поверх IPSec, но я думаю, что он находится в разработке для версии 2.2

Брэндон Свек

Почему бы не использовать два из них?

Cisco Meraki использует L2TP поверх IPSec, как и десятки других брандмауэров.

Поддерживает ли DD-WRT конфигурацию с несколькими глобальными сетями (скажем, трафик LAN1 направляется в WAN1 с L2TP через IPSec, трафик WAN1 + другой LANS выходит из маршрутизатора в WAN2. См. рисунок в моем посте)

Поддерживает ли DD-WRT только "L2TP" (не с IPSec) для интерфейса WAN?

Что касается Cisco Meraki, то он поддерживает только PPPoE или прямое соединение (даже без опции L2TP)

Cisco ASA будет использовать L2TP через IPSec. Он также будет работать с конфигурацией Multi-Wan, а также с подключением L2TP через IPSec со статическим или динамическим адресом.

Брэндон Свек

Я смотрел на вашу диаграмму около 5 минут и до сих пор не понимаю, чего вы хотите добиться.

Предположим, что ответ на ваш конкретный вопрос отрицательный, затем опишите свой вариант использования/приложение. Возможно, кто-то узнает его или что-то похожее и подскажет вам хорошие идеи.

bsvec написал:

Я просто смотрел на вашу диаграмму около 5 минут и до сих пор не понимаю, чего вы хотите добиться.

Предположим, ответ на ваш конкретный вопрос нет, тогда опишите свой вариант использования/приложение. Возможно, кто-то узнает его или что-то подобное и предложит вам несколько хороших идей.

Мой вопрос и диаграмма должны проиллюстрировать, может ли любая настройка маршрутизатора достичь:

Конечная цель — разрешить несколько подключений к глобальной сети (с одной или несколькими глобальными сетями, подключенными к VPN-серверам с использованием "L2TP через IPSec") через один IP-интерфейс/интерфейс, предоставляемый модемом интернет-провайдера.

OEIAdmin пишет:

Cisco ASA будет использовать L2TP через IPSec. Он также будет обрабатывать конфигурацию Multi-Wan, а также L2TP через соединение IPSec со статическим или динамическим адресом.

Я не могу найти ни одного документа, в котором говорилось бы, что интерфейс WAN маршрутизатора Cisco может быть настроен с использованием "L2TP через IPSec" для туннелирования всего трафика на внешний VPN-сервер

  • отметить 148 лучших ответов
  • thumb_up – 592 благодарных голоса

Вы не настраиваете интерфейс WAN как VPN-клиент. Точно так же, как вы не настраиваете сетевую карту ПК как клиент vpn. VPN работает как отдельный объект в операционной системе маршрутизатора.

В общих чертах на любом маршрутизаторе вы настраиваете VPN (L2TP через IPsec), а затем указываете, какой трафик должен направляться по туннелю.

Специфика Cisco: вы настраиваете параметры VPN с помощью криптокарт, а затем применяете криптокарту к внешнему интерфейсу. ACL используется для указания того, какой трафик следует отправлять через VPN.

OEIAdmin пишет:

Cisco ASA будет использовать L2TP через IPSec. Он также будет обрабатывать конфигурацию Multi-Wan, а также L2TP через соединение IPSec со статическим или динамическим адресом.

Я не могу найти ни одного документа, в котором говорилось бы, что интерфейс WAN маршрутизатора Cisco может быть настроен с использованием "L2TP через IPSec" для туннелирования всего трафика на внешний VPN-сервер

Это в точности как утверждает m@ttshaw

Правка: чего именно вы пытаетесь достичь?

Я не понимаю, зачем вам нужен маршрутизатор через туннель VPN L2TP Over IPSec, подключенный к VPN-серверу. Вы пытаетесь настроить какое-то VPN-подключение Site-to-Site, если да, то почему бы просто не использовать 2 маршрутизатора, которые поддерживают то, что вам нужно делать.

Или у вас уже есть VPN-сервер, к которому подключаются ваши клиенты, и им нужно получить доступ к какому-то ресурсу в другом офисе, и вы хотите сделать это через безопасный VPN-туннель.

Если это так, вы можете использовать что-то вроде пары маршрутизаторов ASA, чтобы не только построить соединение между сайтами через VPN-туннель, но и выступать в качестве конечной точки для любого из ваших VPN-клиентов.< /p>

Брэндон Свек

Я могу ошибаться, но я уверен, что ASA и большинство других брандмауэров работают только на стороне VPN-сервера и позволяют клиентам подключаться. OP ищет брандмауэр для работы в качестве VPN-клиента. Предположительно, есть причина, по которой он не хочет использовать VPN-клиент на рабочих станциях (что может быть возможным решением).

Брэндон Свек

Исключением является VPN типа site-to-site, но я не думаю, что VPN типа site-to-site использует протоколы, которые требует OP. Насколько я понимаю, IPSEC является распространенным протоколом site-to-site, а L2TP через IPSEC или OpenVPN — нет.

Таким образом, если сценарий действительно заключается в подключении какого-либо VPN-сервера к маршрутизатору, который поддерживает L2TP через IPsec, что говорит о том, что OP не может разместить клиент L2TP через IPSec на реальном VPN-сервере и заставить его установить L2TP через IPSec. подключение к маршрутизатору?

OEIAdmin написал:

Итак, если сценарий действительно подключает какой-то VPN-сервер к маршрутизатору, который поддерживает L2TP через IPsec, что говорит о том, что OP не может разместить клиент L2TP через IPSec. на фактическом VPN-сервере и установить соединение L2TP через IPSec с маршрутизатором?

Вы правы. Я пытаюсь подключиться к VPN-серверу (который не принадлежит мне), используя WAN-порт маршрутизатора, который поддерживает «L2TP через IPSec», который, я полагаю, тот же протокол появляется в iphone (Настройки> Общие> Сеть> VPN> Добавить конфигурацию> L2TP), чтобы подключиться к VPN-серверу

bsvec написал:

Я могу ошибаться, но я уверен, что ASA и большинство других брандмауэров работают только на стороне VPN-сервера и позволяют клиентам подключаться. OP ищет брандмауэр для работы в качестве VPN-клиента. Предположительно, есть причина, по которой он не хочет использовать VPN-клиент на рабочих станциях (что может быть возможным решением).

Да, вы правы, на рабочей станции не разрешен VPN-клиент, и маршрутизатор будет действовать как VPN-клиент для подключения к VPN-серверу в Интернете

[EDIT] Меня не волнует, действует ли маршрутизатор как VPN-клиент на интерфейсе WAN или где-либо внутри маршрутизатора.

[EDIT] Кстати, что такое "OP"

Брэндон Свек

Милан с детства увлекался компьютерами, и это побудило его проявить интерес ко всем технологиям, связанным с ПК. До прихода в WindowsReport он работал веб-разработчиком. Подробнее

  • Неудивительно, что пользователи, заботящиеся о конфиденциальности, заинтересованы в защите всей своей сети с помощью VPN, а не одного устройства.
  • Соединив VPN с маршрутизатором, вы можете обеспечить конфиденциальность и безопасность всех устройств в вашей сети.
  • Если подключение не установлено, у нас есть список предложений, которые вы можете попробовать.
  • Чаще всего ошибка может быть вызвана отсутствием поддержки VPN-клиентов вашим маршрутизатором.

VPN пригодится, если вы хотите получить доступ к контенту с географическим ограничением, или получить более выгодные цены на программное обеспечение, или анонимно просматривать через безопасный туннель. Учитывая все эти потребности, существует реальная потребность в маршрутизаторе, способном реализовать все это и многое другое.

Подключение маршрутизатора к службе VPN также имеет много преимуществ с точки зрения конфиденциальности в Интернете, поскольку и маршрутизатор, и VPN будут включены, и вы сможете подключаться к сети Wi-Fi или Ethernet, будучи защищенными.

Существует два способа настроить VPN на маршрутизаторе: либо купить новый маршрутизатор для конкретной задачи, либо установить его на существующий маршрутизатор — обязательно проверьте совместимость в обоих случаях.

Напомню, другие пользователи упомянули, что беспроводной маршрутизатор не работает через TL-R600VPN, Windows VPN не работает через маршрутизатор с OpenWRT или что Express VPN через маршрутизатор не работает.

Маршрутизатор VPN защитит все ваши устройства, обеспечив при этом более высокий уровень безопасности, а также вы получите простой в использовании интерфейс, возможность использовать больше устройств с одной учетной записью VPN и обойти цензуру на всех устройствах.

Однако при всем при этом вы можете столкнуться с ситуацией, когда ваш VPN не работает через роутер, и, возможно, перезапуск приложения VPN или даже вашего компьютера и/или роутера не дает ощутимых результатов.

Что такое сквозная передача VPN?
В двух словах, транзитная передача VPN – это функция маршрутизатора, которая позволяет любому устройству, подключенному к этому маршрутизатору, устанавливать исходящее VPN-подключение. Напротив, VPN-маршрутизатор — это устройство, которое активно реализует VPN-подключение. Сквозной VPN-трафик — это пассивный активатор VPN-трафика.

Читайте ниже, чтобы узнать больше о том, как работает транзитная передача VPN.

Используйте меню навигации справа (на компьютере) или внизу (на мобильном устройстве), чтобы быстро перейти к нужным разделам.

Главы

Зачем некоторым маршрутизаторам нужна сквозная передача VPN?

Маршрутизаторы бывают двух основных типов: те, которые изначально принимают VPN-подключение, и те, которые этого не делают.

Маршрутизаторы, изначально принимающие VPN-подключение, будут поддерживать такие технологии, как IPsec (безопасность интернет-протокола), PPTP (протокол двухточечного туннелирования) или L2TP (протокол туннелирования второго уровня). Вы можете настроить этот тип маршрутизатора для работы в качестве VPN-сервера или создать VPN типа "сеть-сеть" с другим VPN-шлюзом.

Конструкция некоторых маршрутизаторов не позволяет использовать их в качестве VPN-серверов. Они изначально не поддерживают такую ​​технологию и поэтому блокируют VPN-трафик. Чтобы использовать VPN, вы должны обойти это ограничение. Вы можете сделать это с помощью функции сквозного VPN. При активации трафик, исходящий от VPN-клиента, будет проходить через Интернет и достигать VPN-шлюза.

Функция сквозной передачи VPN доступна на многих домашних маршрутизаторах, и те из них, которые это делают, широко признаны стандартом, поскольку они поддерживают VPN как PPTP, так и IPsec.

Другими словами, эта функция позволит компьютерам в частной сети устанавливать исходящие VPN. Это не влияет и не мешает нормальному функционированию любых входящих VPN-соединений.

Название связано с тем, что эта функция позволяет VPN-трафику проходить через маршрутизатор. Для этого не нужно открывать какие-либо порты. Процесс полностью автоматический.

В чем разница между VPN и VPN Passthrough?

Эта функция в основном присутствует в интернет-шлюзах малого бизнеса и потребительских VPN-маршрутизаторах. Эти устройства будут работать с протоколами VPN, такими как IPsec, PPTP, L2TP или даже с технологией VPN SSL (Secure Sockets Layer).

Это означает, что они смогут подключаться к центральному серверу или VPN-шлюзу без присутствия VPN-клиента. Этот тип клиента несовместим с таким маршрутизатором, и вы только потратите время, пытаясь их перепутать.

Сетевые устройства малого бизнеса, поддерживающие функцию сквозной передачи VPN, позволяют шифровать пакеты данных, поступающие от клиента VPN, с помощью технологии VPN и попадать в Интернет.

Зачем вам нужен сквозной VPN?

Большинство маршрутизаторов, представленных на рынке, имеют встроенную сквозную сеть VPN. Это необходимо, если вы хотите использовать VPN, использующую протоколы IPsec или PPTP. Однако замена этих протоколов безопасности более быстрыми и безопасными протоколами, такими как OpenVPN и IKEv2/IPsec, сделала эту функцию в целом избыточной.

Протоколы VPN изначально несовместимы с технологиями NAT (преобразование сетевых адресов) и PAT (преобразование адресов портов). Эта несовместимость является проблемой, если вы используете сетевые устройства, основанные на этих технологиях, для совместного использования одного и того же интернет-соединения между несколькими компьютерами. В этом сценарии есть два возможных решения: сквозная передача PPTP или сквозная передача IPsec.

Проход через PPTP и как он работает

Большинство маршрутизаторов подключаются к Интернету с помощью протокола NAT, несовместимого с PPTP. Прохождение PPTP позволяет обойти эту проблему, позволяя VPN-подключениям проходить через фоновый NAT. Однако для правильной работы NAT требуется использование портов.

PPTP использует канал TCP (протокол управления передачей) на порту 1723 для управления и протокол GRE (общая инкапсуляция маршрутизации) для сбора данных и создания туннеля VPN, что происходит без использования каких-либо портов.

Собственному GRE PPTP не нужны никакие порты для установки VPN-туннеля. Поскольку NAT требует действительный IP-адрес и номер порта, возникает конфликт.

Функция транзита PPTP работает путем перенастройки функции GRE и улучшения некоторых ее служб. Самое главное, он добавляет идентификатор вызова.

Когда клиент PPTP подключается к серверу, он создает уникальный идентификатор вызова, который вставляется в измененный заголовок. Этот идентификатор вызова затем доступен в качестве замены портов в преобразовании NAT.

Идентификаторы вызовов широко используются при сопоставлении портов PPTP для идентификации клиентов PPTP, которые используют только NAT. Изначально предполагалось, что он заменит только PPTP-трафик, но это нестандартная процедура, которая не распознается маршрутизатором автоматически.

Функция сквозной передачи PPTP позволяет PPTP проходить через маршрутизатор NAT. Это заставляет маршрутизатор переключаться со стандартного порта на тот, который указан идентификатором вызова, когда он сталкивается с любым трафиком PPTP. В результате эта функция позволяет VPN-клиентам устанавливать исходящие соединения PPTP.

Скачать IPsec и как это работает

Проход IPsec работает с использованием NAT-T, обхода транслятора сетевых адресов. Реализация этой сетевой процедуры позволит установить и безопасно поддерживать IP-соединения через шлюзы, для которых требуется NAT.

Виртуальные частные сети IPsec должны использовать NAT-T, если они должны правильно работать с протоколом NAT. В противном случае трафик не будет зашифрован, и VPN-туннелирование не будет создано.

NAT-T инкапсулирует полезную нагрузку безопасности в пакет UDP (протокол пользовательских дейтаграмм), который распознается NAT.

Этот процесс намного эффективнее, поскольку в основе IPsec лежат протоколы, которые должны быть полностью разрешены для прохождения через брандмауэры и преобразователи сетевых адресов:

  • Обмен ключами через Интернет (IKE) — порт 500 протокола пользовательских дейтаграмм (UDP)
  • Обход IPsec NAT — UDP-порт 4500, когда работает обход NAT
  • Инкапсуляция полезной нагрузки безопасности (ESP) — IP-протокол номер 50
  • Заголовок аутентификации (AH) — номер IP-протокола 51

Многие маршрутизаторы имеют специальные функции, встроенные в их программы, и они называются сквозной передачей IPsec. Во всех поддерживаемых версиях Microsoft Windows обход NAT включен по умолчанию, поэтому вам не нужно изменять какие-либо настройки.

Стоит ли отключать транзитную передачу VPN?

Отключать сквозную передачу VPN следует только в том случае, если это повышает общую безопасность. Коммуникационные порты через брандмауэр, которые в противном случае открыты и доступны, теперь будут заблокированы.

Однако это означает, что любой пользователь за шлюзом не сможет создавать и поддерживать VPN-подключение. Это ограничение будет связано с блокировкой портов VPN брандмауэром.

Пользователи VPN в сети SOHO (Small Office Home Office) не должны блокировать эти порты.

Заключение

Проход через VPN необходим, если вам нужно использовать старый протокол VPN, который не поддерживается маршрутизатором, который вы используете для подключения к сети или Интернету. Если вы используете устаревшие технологии, вам, возможно, потребуется активировать эту функцию, но есть вероятность, что в настоящее время она представляет просто исторический интерес.

Маршрутизаторы, поддерживающие сквозную передачу VPN

Самым надежным и эффективным маршрутизатором в этом случае, ставшим стандартом сквозной передачи VPN, является беспроводной маршрутизатор Netgear WGR614. Он поддерживает не менее 3 одновременных VPN-подключений.

Далее Netgear FWAG114 ProSafe. Хотя этот вариант немного дороже предыдущего, он также поддерживает сквозные VPN, более известные как VPN типа "сеть-сеть".

В итоге вы можете увидеть, что процедура VPN passthrough имеет много преимуществ и почти не имеет недостатков. Это эффективно дает вам возможность использовать VPN почти со всеми маршрутизаторами, преодолевая их системные настройки по умолчанию.

Теперь вы знаете, что делать, если ваш маршрутизатор не может подключиться к VPN. Выполните сквозную передачу IPSec или PPTP VPN, в зависимости от самого маршрутизатора, и наслаждайтесь свежим воздухом конфиденциальности.

Должен ли я разрешать сквозную передачу VPN?

Разрешить, если ваше VPN-подключение основано на старых протоколах VPN, таких как PPTP и L2TP. Эти протоколы плохо работают с NAT. Маршрутизаторы используют NAT, чтобы знать, как отображать и маршрутизировать пакеты на сетевых устройствах. Однако, если вы используете современное VPN-подключение, нет необходимости включать транзитную передачу VPN. Современный протокол работает с NAT.

Как мне включить сквозную передачу VPN?

Чтобы проверить, включена ли сквозная передача VPN, вам необходимо получить доступ к веб-странице настройки маршрутизатора. На большинстве маршрутизаторов настройка сквозной передачи VPN находится на вкладке «Безопасность» или «VPN». Убедитесь, что следующие параметры включены/включены; Сквозная передача IPSec, сквозная передача PPTP и сквозная передача L2TP. Если они включены, вы сможете установить VPN-подключение.

Безопасно ли прохождение VPN?

Протоколы, предлагаемые для проброса VPN, не являются безопасными. Они предложат самые быстрые скорости и за счет вашей безопасности. Если вас беспокоит онлайн-безопасность, вам следует отключить сквозную передачу VPN и использовать VPN-соединения с современными безопасными протоколами, такими как протокол OpenVPN.

Все ли маршрутизаторы имеют сквозную передачу VPN?

Большинство популярные маршрутизаторы поставляются со встроенным сквозным VPN. Это сделано для того, чтобы приспособить устаревших пользователей, которые все еще используют VPN-подключения, основанные на протоколах IPSec, PPTP и L2TP. Если вы не используете эти протоколы, нет необходимости включать эту функцию.

Должен ли я отключить NAT?

Нет. NAT полезен, поскольку позволяет маршрутизаторам перенаправлять интернет-трафик на ваши устройства. Ваш маршрутизатор обычно подключается к Интернету с одним зарегистрированным внешним IP-адресом. Ваши устройства, подключенные к маршрутизатору, используют частные IP-адреса. Отключение NAT означает, что вы потеряете подключение к Интернету.

Читайте также: