标签: l2tp

我有一个 VPN 服务，它让我可以选择通过 PPTP、IPsec 或 L2TP over IPsec 进行连接。我知道 PPTP 在安全性和加密方面较差，但我不确定这两个 IPsec 选项之间有什么区别。

有趣的是，我注意到 L2TP over IPsec 似乎比普通 IPsec 慢得多，但这可能只是服务器、它们的配置，甚至是我端的设备。

安全方面有什么区别吗？一个比另一个“更好”，还是它们只是功能相同但实现方式不同？

Windows 2003 可以配置为使用带有预共享密钥的 L2TP 的 VPN 服务器。
Windows 7 可以配置为接受传入的 VPN 连接，大概是使用 PPTP。

有没有办法将 Windows 7 配置为接受传入的 L2TP 连接？传入连接的配置设置极其稀疏；我看不到任何地方可以输入预共享密钥或指定要使用的协议。也许它超出了 Win 7 的能力，但我希望我忽略了一些允许它的组策略设置或注册表编辑。

我已经用一个预共享密钥配置了一个 L2TP/ipsec 服务器，它在我的手机上就像一个魅力。我尝试了多种方法，包括禁用防火墙在 Windows 10 上进行连接，但总是失败。这是它抛出的错误：

我怎样才能让它工作？• 我的手机和 Windows 10 笔记本电脑在同一网络上。

连接到 VPN（标准包含的 MS 客户端）的默认方式似乎是单击系统托盘中的网络图标将其展开，然后选择 VPN 连接，然后单击连接按钮。这将打开一个对话框，您可以在其中输入您的用户名和密码。

我已经告诉 VPN 连接记住我的凭据。有什么方法可以跳过那个对话框并让它连接吗？

我试过使用rasdial.exe，只要我将用户名和密码作为参数传递，我就可以连接。出于某种原因，它似乎不想使用存储的凭据，也许我需要使用提升的帐户来存储它们。

我有一台运行 OS X 10.8.2 和来自应用商店的 OS X Server 2.2.1 的 Mac mini，我已经在 Server.app 界面中使用 L2TP 设置了 VPN。我已经使用 Macbook 测试了这个 VPN 连接，它可以工作，但我不知道如何让 Android 的内置 VPN 工作。

当前设置：

• 我在路由器上打开了端口 500、1701、1723 和 4500。
• 我使用的是来自 no-ip.com 的动态 DNS，我们会说 hostname.no-ip.org
• 我已经设置了一个“共享秘密”，我们会说 1234567890
• 我已经在服务器上为我的 android 手机设置了一个帐户，假设用户名为“nexus”，密码为“google”

在 Macbook 上，我只需使用我在服务器上设置的 DNS、密码和凭据，然后它就会连接。

在我的 Android 设备 (Galaxy Nexus 4.2.2) 上，我使用以下设置：

• 名称：Mac 服务器
• 类型：L2TP/IPSec PSK
• 服务器地址：hostname.no-ip.org
• LT2TP 秘密：（未使用）
• IPSec 标识符：（未使用）
• IPSec 预共享密钥：1234567890

当我尝试使用这些设置进行连接时，它会提示输入用户名和密码，因此我输入了“nexus”和“google”。它坐在那里说“正在连接...”大约 30 秒，然后它会返回到“已断开连接”，没有错误或其他消息。我也尝试将“共享秘密”放在 L2TP 秘密字段中，但结果相同。

内置的 Android VPN 是否与 OS X Server 的 VPN 不兼容？还是我配置错误？

注意：我强烈希望继续使用 L2TP，而不是安全性较低的 PPTP …

从我的 MacBook/iOS 设备到具有 openswan/xl2tp 的 Debian 服务器的 VPN 连接工作正常，直到由于 openssl heartbleed 公告而使用 apt-get 升级所有内容。

现在 VPN 连接停止使用服务器 auth.log 中的以下内容：

Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [RFC 3947] method set to=109
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike] method set to=110
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] …

我运行的是 10.6.8，无法使用内置 VPN 客户端登录任何 L2TP VPN 服务器（尝试了 2 个完全不同的服务器）。升级到 10.7.2，同样的问题。机器似乎甚至没有尝试连接到 VPN 服务器（至少 Little Snitch 没有显示任何内容）。

我在 /var/log/ppp.log 中可以看到的是：

timestamp : L2TP connecting to server 'vpn.example.com' (xxx.xxx.xxx.xxx)...

timestamp : L2TP: cannot connect racoon control socket: No such file or directory

其中 xxx... 是 VPN 服务器的 IP 地址。

在 /var/log/system.log 中：

timestamp: computername configd[14]: SCNC: start, triggered by SystemUIServer, type L2TP, status 0
timestamp: computer pppd[454]: pppd 2.4.2 (Apple version 560.13) started by username, uid 502

然后是 ppp.log 中的 2 行

什么不是导致它： …

我指的是这个问题。需要明确的是：这真的不是关于旧的 PPTP 与 L2TP 的辩论。;-)

我成功地将 racoon 设置为 IKE 服务器，而没有运行任何 L2TP 实现，并且运行良好。我可以建立一条从笔记本电脑到 VPN 服务器的隧道，并将其用作 Internet 网关。据我所知，所有 IP 数据包都被安全地封装。瞧，这就是我想要的一切。但是，哎呀，只有 OS X/iOS 支持这种开箱即用的“普通 IPSec”VPN，但我也需要支持其他平台。包括 Windows 和 Android 在内的所有其他操作系统似乎都需要使用 L2TP 使用 xl2tpd 等软件建立的额外 PPP 连接。我很好奇，所以我用 racoon+xl2tpd 再次设置并创建了一个 L2TP/IPSec 隧道。它的工作原理与没有 L2TP 时完全一样。

那么，使用 L2TP 有什么好处呢？是的，我可以通过隧道传输其他协议，例如 X.25，但绝大多数用户很少需要 IP 以外的任何协议。我可以假设为什么 MS 做的事情比 VPN 的东西更复杂。但至少我不明白为什么 Android 仍然需要这个 L2TP 层，在我看来这只会增加复杂性和开销。是的，我知道有额外的客户端软件可以克服操作系统限制。

即使使用身份验证，也没有区别：远程身份验证通常使用预共享密钥或证书完成，用户身份验证通过 XAuth 或 CHAP/PAP 完成。– Jep，我在这里简化了，但你知道我的意思。

有谁知道为什么 L2TP 仍然是 IPSec 的标准方式？我错过了什么吗？

我有一个已配置为连接到 L2TP VPN 的 Windows 10 客户端。

为了使连接正常工作，我必须添加"AssumeUDPEncapsulationContextOnSendRule"注册表项，然后完全禁用 Windows 防火墙——VPN 以这种方式完美连接。

但是，我无法让 VPN 与启用的Windows 防火墙连接，我真的需要保持启用 Windows 防火墙并能够连接到 L2TP VPN。

我也允许...

• 协议50(ESP) 输入和输出
• UDP 1701, 4500,500进出

但是，只有当我完全禁用 Windows 防火墙而不启用它时，VPN 仍会连接。

问题：是否建议提供任何帮助或指导来进一步解决此问题？

我使用带有用户名/密码和预共享密钥的L2TP/IPsec协议连接到带有Windows 10 内置提供商的 VPN 服务器。一切都很好，除了每 1.5 小时它会自动断开连接。然后我必须再次进入 VPN 设置并按下连接按钮以连接到 VPN 服务器。