Что это такое?

Это настройка туннелей L2TP (Layer 2 Tunneling Protocol).

Зачем это нужно?

Для организации сеансовых соединений, с аутентификацией пользователей и учётом потребления услуг, поверх сетей IP. Количество промежуточных физических сетей и их типы могут быть произвольными.

ПРИМЕЧАНИЕ. В данной версии NSG Linux поддерживается только L2TP ver.1 и ver.2.

Особенности туннеля L2TP и требования для его создания:

• По туннелю передаются любые IP-пакеты.
• Для сервера L2TP необходим статический IP-адрес. Сервер может находиться за Destination NAT, но в этом случае в NAT должен быть настроен проброс порта UDP 1701.
• Один сервер L2TP может обслуживать многих клиентов.
• IP-адрес клиента L2TP может быть произвольным, в т.ч. динамическим и/или приватным. Клиент может находиться за Source NAT или Masquerading.

Как это настроить?

Протоколы PPPoE, PPTP и L2TP представляют собой расширения PPP, позволяющие устанавливать соединения "точка-точка", вместо физической среды, через сети Ethernet и IP, соответственно. VPN такого типа обобщённо называются Virtual Private Dial-up Networks — VPDN. Они широко применяются в сетях доступа для аутентификации, авторизации и учёта работы клиентов городских и домовых сетей Ethernet и xDSL. Все три протокола имеют ряд свойств, унаследованных от PPP:

• Соединения имеют сеансовый, а не статический, характер.
• При установке PPP-соединения может быть выполнена аутентификация и авторизация (односторонняя или взаимная), а в процессе работы — учёт времени и потребляемого трафика. Для этих целей могут быть использованы локальная таблица пользователей или централизованные сервера TACACS+ и RADIUS.
• При установке IP-соединения могут быть согласованы параметры IP в туннеле.
• При передаче трафика может использоваться сжатие с использованием различных методов, а также защита по протоколу MPPE (Microsoft Point-to-Point Encryption).

ПРИМЕЧАНИЕ. На сегодняшний день MPPE — весьма слабая защита и не рекомендуется для передачи критически важных данных.

Протокол L2TP передаёт пакеты PPP через сеть IP при помощи инкапсуляции в пакеты UDP. В этих же пакетах, помимо потока датаграмм, содержащих полезную нагрузку PPP, организуется управляющее соединение, устанавливаемое от клиента к серверу.

L2TP продолжает использоваться некоторыми поставщиками услуг Интернет, особенно в регионах.

Существенное отличие PPPoE, PPTP и L2TP от PPP заключается в том, что эти три протокола — асимметричные, т.е. основаны на чётком разделении ролей клиента и сервера. Клиент всегда инициирует соединение со своей стороны, сервер находится в режиме пассивного ожидания соединений. Как правило, сервер динамически назначает клиенту параметры IP.

На устройстве NSG могут работать одновременно несколько туннелей L2TP. Каждое создаваемое соединение может работать в режиме клиента (в терминологии L2TP, LAC — L2TP Access Concentrator) либо сервера (LNS — L2TP Network Server). Как и для соединений PPP по физической среде передачи, имена IP-интерфейсов назначаются динамически в формате pppN; имя же туннеля, как и имя физического порта (aNUM, mNUM и т.п.), остаётся неизменным, и именно его следует использовать в описаниях маршрутов, фильтров, событий и т.п., когда устройство NSG работает в качестве клиента. При работе в режиме сервера одному имени туннеля соответствует несколько IP-интерфейсов (по числу подключённых клиентов), и отслеживать их можно только динамически.

Для добавления туннелей используйте команды +, _new или _insert. Имя следует вводить в формате l2tpНомер или только целочисленный номер. Данный список является именованным и не упорядочивается автоматически. Для удаления используйте команду - или _remove.

Что делать, если это не работает?

1. Убедиться в доступности сервера L2TP.
2. Убедиться, что порт UDP 1701 не закрыт фильтрами, не занят другими приложениями, не перехватывается NAT на стороне сервера и т.п.
3. Смотреть журнал работы туннеля.
4. Проконтролировать процедуру установления соединения с помощью tcpdump.
5. Убедиться, что маршрутизация в туннель и в удалённый сегмент сети задана правильно не только на шлюзах туннеля, но и на прикладных хостах в том и другом сегменте.
6. Убедиться, что размер MTU соединения согласован с MTU интерфейса, через который оно должно устанавливаться. MTU соединения должно быть меньше, по крайней мере, на длину заголовка L2TP — 4 байта. В частности, при работе через физический интерфейс Ethernet максимальный размер MTU — 1496 байт.
   Несоблюдение этого условия, в принципе, не препятствует работе большинства приложений, но может приводить к излишней фрагментации пакетов; некоторые же приложения могут быть весьма критичны к нему.
7. Если TCP-соединения через туннель нормально работают при небольших размерах пакета, но "зависают" на длинных пакетах — уменьшить максимальный размер сегмента TCP для пакетов, отправляемых через данный интерфейс L2TP (см. действие TCPMSS). Данная проблема относительно часто встречается в некорректно настроенных сетях поставщиков услуг.
8. При работе с серверами PPPoE, PPTP и L2TP компании Cisco Systems рекомендуется использовать на них следующие настройки для корректного согласования размера MTU и корректной обработки фрагментированных пакетов:

   vpdn-group номер	
     ip mtu adjust
   no ip cef