Konfiguration der L2TP-Tunnel

Mit LANconfig konfigurieren Sie L2TP unter Kommunikation > Gegenstellen > L2TP.

Die Tunnel-Konfiguration für die Steuerdaten eines L2TP-Tunnels zu einem Tunnelendpunkt erfolgt unter L2TP-Endpunkte.

Name

Name des Tunnelendpunktes.

L2TP-Tunnel aktiv

Aktiviert den konfigurierten L2TP-Tunnel.

L2TP-Version

Die verwendete L2TP-Protokollversion, entweder Version 2 oder 3.

Wichtig: Ethernet-Tunnel sind nur mit Version 3 möglich. Achten Sie darauf, für diesen Fall hier das Protokoll "L2TPv3" auszuwählen.

Anmerkung: L2TPv3 wird im LCOS immer in UDP gekapselt. Dadurch ist eine problemlose Übertragung durch NAT-Gateways hindurch möglich.

IP-Adresse

IP-Adresse des Tunnelendpunktes (IPv4, IPv6, FQDN).

Anmerkung: Falls dieses Feld bei Auswahl des Protokolls L2TPv3 leer gelassen wird, dann handelt es sich um einen "Wildcard"-Eintrag, der Verbindungen von beliebigen Gegenstellen annehmen kann.

Routing-Tag

Routing-Tag der Route zum Tunnelendpunkt.

Anmerkung: Wenn für die Absende-Adresse eine Loopback-Adresse eingetragen ist und das Routing-Tag den Wert "0" besitzt, verwendet das Gerät das Routing-Tag der Loopback-Adresse.

Port

UDP-Port

Polling-Intervall

Poll-Intervall in Sekunden

Stations-Name

Name, mit dem sich das Gerät am Tunnelendpunkt authentifiziert

Passwort

Passwort, mit dem sich das Gerät am Tunnelendpunkt authentifiziert

Gegenseite authentisieren

Wenn zwei Tunnelendpunkte (LAC und LNS) sich gegenseitig authentifizieren sollen, um einen Tunnel aufzubauen, ist diese Option aktiv. In diesem Fall sind im Tunnelendpunkt Stations-Name und Passwort dieses Gerätes als Tunnelendpunkt konfiguriert und ebenfalls die Option Gegenseite authentisieren aktiv.

Tunnelaushandlung verschleiern

Wenn bereits die Aushandlung eines Tunnels zwischen LAC und LNS verschlüsselt erfolgen soll, ist diese Option aktiv. Hierbei ver- und entschlüsseln beide L2TP-Partner mit Hilfe eines gemeinsamen "preshared Secrets" bestimmte AVPs (Attribute Value Pair) der L2TP-Nachrichten.

Absende-Adresse

Hier können Sie optional eine Absende-Adresse konfigurieren, die das Gerät statt der ansonsten automatisch für die Zieladresse gewählten Absende-Adresse verwendet. Mögliche Werte sind:

Name der IP-Netzwerke, deren Adresse eingesetzt werden soll.
"INT" für die Adresse des ersten Intranets
"DMZ" für die Adresse der ersten DMZ
LB0 bis LBF für die 16 Loopback-Adressen
Beliebige gültige IP-Adresse

Anmerkung: Wenn in der Liste der IP-Netzwerke oder in der Liste der Loopback-Adressen ein Eintrag mit dem Namen "DMZ" vorhanden ist, verwendet das Gerät die zugehörige IP-Adresse.

Wichtig: Sofern die hier eingestellte Absende-Adresse eine Loopback-Adresse ist, wird diese auch auf maskiert arbeitenden Gegenstellen unmaskiert verwendet.

Ab LCOS 10.20 sind Layer-3-Ethernet-Tunnel mit L2TPv3 konfigurierbar. Die Konfiguration erfolgt in der soeben beschriebenen L2TP-Endpunkte-Tabelle und in der weiter unten beschriebenen L2TP-Ethernet-Tabelle. Für ein entsprechendes Szenario siehe Konfiguration eines WLAN-Szenarios mit zentraler Auskopplung der Nutzdaten. Falls Sie eine IP-Adresse oder einen Hostnamen angeben, dann wird versucht, eine Verbindung aufzubauen. Wird das entsprechende Feld leer gelassen, wird keine Verbindung aufgebaut, es können aber Verbindungen angenommen werden. Konfigurierte Eigenschaften wie Stations-Name oder Passwort werden beim Verbindungsaufbau durch die Gegenseite geprüft; beim Annehmen von Verbindungen werden diese entsprechend geprüft.

Anmerkung: Da die verschiedenen impliziten Abhängigkeiten bei der Verbindungsannahme und der Authentisierung nicht direkt offensichtlich sind, hier einige Erläuterungen dazu:

Es wird geprüft, ob der von der Gegenseite übermittelte Hostname einem konfigurierten L2TP-Endpunkt entspricht. Der Hostname kann in der L2TP-Endpunktetabelle der Gegenseite unter Stations-Name konfiguriert werden. Wird dieses Feld leer gelassen, wird der Gerätename zur Authentifizierung verwendet.
Ist dies der Fall, wird für den Verbindungsaufbau mit der Konfiguration für eben diesen L2TP-Endpunkt fortgefahren.
Ist dies nicht der Fall, wird geschaut ob ein "Wildcard"-Eintrag in der L2TP-Endpunkte-Tabelle existiert. Dies ist ein Eintrag ohne konfigurierten Hostnamen / Stations-Namen und ohne Routing-Tag. Es wird für den Verbindungsaufbau dann mit der Konfiguration dieses "Wildcard"-Eintrages fortgefahren.
Ist für den passenden Eintrag der L2TP-Endpunkte-Tabelle die Authentisierung eingeschaltet, wird die Authentisierung anhand des konfigurierten Passworts gemacht.
Ist das Passwort leer und die Authentisierung eingeschaltet, wird eine RADIUS-Authentisierung durchgeführt. Siehe Authentifizierung über RADIUS.
Ist die Authentisierung ausgeschaltet wird mit einem "Wildcard"-Eintrag dementsprechend jeder eingehende Tunnel akzeptiert.

Unter L2TP-Liste verknüpfen Sie die L2TP-Gegenstellen mit einem zuvor konfigurierten Tunnelendpunkt.

Ein Eintrag in dieser Tabelle ist nur für die folgenden Bedingungen notwendig:

abgehende Verbindungen,
ankommende Verbindungen mit einem Idle-Timeout ungleich "20" oder
wenn ankommende Verbindungen nur einen bestimmten Tunnel nutzen sollen.

Gegenstelle: Name der L2TP-Gegenstelle
L2TP-Endpunkt: Name des Tunnelendpunktes, den diese Gegenstelle verwendet.
Haltezeit: Bestimmt, wie lange der L2TP-Tunnelendpunkt den Tunnel bei Inaktivität offen hält.
IPv6: Dieser Eintrag gibt den Namen der IPv6-WAN-Schnittstelle an. Ein leerer Eintrag schaltet IPv6 für dieses Interface ab. Die IPv6-Gegenstellen konfigurieren Sie unter IPv6 > Allgemein > WAN-Schnittstellen.

Unter L2TP-Ethernet verknüpfen Sie L2TPv3-Sessions mit einer der 16 virtuellen L2TP-Ethernet-Schnittstellen. Die virtuellen L2TP-Ethernet-Schnittstellen können anschließend an anderer Stelle in der Konfiguration verwendet werden, z. B. in der LAN-Bridge zur Verknüpfung mit WLAN- oder LAN-Schnittstellen.

Gegenstelle: Konfigurieren Sie hier den Namen, anhand dessen der Ethernet-Tunnel auf der Gegenseite zugeordnet werden soll. Je Ethernet-Tunnel muss dieser Name also auf aufbauender und annehmender Seite gleich lauten.
L2TP-Endpunkt: Konfigurieren Sie hier den Namen des in der L2TP-Endpunkte-Tabelle konfigurierten L2TP-Endpunkts. Somit wird eine Ethernet-Tunnel-Session über diesen Endpunkt aufgebaut. Wenn nur Verbindungen angenommen, aber nicht selber aufgebaut werden sollen, kann durch leer lassen des Feldes erwirkt werden, dass beliebige Sessions angenommen werden. Natürlich müssen diese trotzdem über einen akzeptierten / aufgebauten Endpunkt aus der L2TP-Endpunkte-Tabelle "laufen". Dies kann in Szenarien, in denen nicht jeder Endpunkt auf der annehmenden Seite separat konfiguriert werden soll, sinnvoll sein.
Interface: Die für die L2TPv3-Session zu verwendende virtuelle L2TP-Ethernet-Schnittstelle.

Bei ankommenden Tunnel-Anfragen erfolgt eine Prüfung entweder über RADIUS oder über einen Eintrag des anfragenden Hostes in der L2TP-Endpunkte-Tabelle. Existiert ein Tabellen-Eintrag mit identischer IP-Adresse (oder ist für diesen Eintrag keine IP-Adresse definiert), lässt das Gerät diesen Host für einen Tunnelaufbau zu.

Als zusätzliche Sicherung, um z. B. eine Verschlüsselung der L2TP-Sessions über IPSec zu ermöglichen, kann das Gerät darüber hinaus auch das Routing-Tag der Gegenstelle prüfen, über die es die Daten empfangen hat. Diese Option aktivieren Sie unter L2TP-Quell-Routing-Tag-Prüfung aktiviert.

Um bis zu 32 zusätzliche Gateways je Tunnelendpunkt zu konfigurieren, klicken Sie auf Weitere entfernte Endpunkte.

Wichtig: Achten Sie darauf, dass alle zusätzlich angegebenen L2TP-Endpunkte identisch zum referenzierten Tunnel-Endpunkt konfiguriert sind.

L2TP-Endpunkt

Name des Tunnelendpunktes, wie er in der Tabelle L2TP-Endpunkte konfiguriert ist.

Anfangen mit L2TP-Endpunkt

Option zur Auswahl des nächsten Gateways. Folgende Auswahl ist möglich:

Zuletzt Benutztem: Auswahl der zuletzt erfolgreichen Adresse
Erstem: Auswahl des ersten Gateways in der Liste
Zufall: Zufällige Auswahl eines Gateways aus der Liste

Auf den folgenden Reitern konfigurieren Sie die Namen sowie die jeweiligen Routing-Tags der alternativen Gateways.