Knowledge base

Grundlagen

Layer 2 Tunneling Protocol

Layer 2 Tunneling Protocol (L2TP) ist ein Netzwerkprotokoll, das Frames von Protokollen der zweiten Schicht (Sicherungsschicht, Data Link Layer) des OSI-Modells zwischen zwei Netzwerken über das Internet tunnelt, um ein virtuelles privates Netzwerk (VPN) herzustellen. L2TP ist eine Tunnel-Lösung, die die Vorteile von PPTP (Point-to-Point Tunneling Protocol) und L2F (Layer 2 Forwarding) vereint. Mit Hilfe einer Tunnel-ID im L2TP-Header sind mehrere Tunnel nebeneinander ebenso möglich wie die Nutzung von NAT (Network Address Translation).

Als Authentifizierungsverfahren bietet L2TP die Verfahren CHAP (Challenge Handshake Authentication Protocol) und PAP (Password Authentication Protocol) an. Eine Verschlüsselung ist in L2TP direkt nicht enthalten. Dies muss von Protokollen der unteren Schichten übernommen werden. L2TP wird deshalb oft in Kombination mit IPSec verwendet.

Internet Protocol Security

Im Internet werden die Datenpakete von einem Computer zum nächsten weitergeleitet. Damit kann jeder Computer auf dem Weg des Datenpakets dessen Inhalt lesen und sogar verändern. Ein Computer kann auch Datenpakete im Namen eines anderen Computer versenden, indem er dessen Adresse als "Absender" einträgt (IP-Spoofing). IPsec soll es ermöglichen, in einem solchen IP-Netz die Schutzziele Vertraulichkeit, Authentizität und Integrität zu erfüllen. Dazu werden verschiedene Mechanismen eingesetzt, etwa Verschlüsselung einzelner IP-Pakete und Einfügen eines zusätzlichen Paket-Headers mit einem Message Authentication Code. IPsec kann zum Aufbau virtueller privater Netzwerke (VPN) verwendet werden oder zum Schutz vor Replay-Angriffen eingesetzt werden.

Internet Key Exchange Protokoll (IKE)

Das VPN der Synology wird mit dem IKE Pre-Shared Keys betrieben, d.h. der Server und alle Clients haben den gleichen Schlüssel. Beim beginn der Authentifizierung wird über den verschlüsselten Kanal der Pre-Shared Key gesendet. Danach folgt der Austausch der Identitäten.

L2TP over IPsec

Durch die Kombination beider Protokolle kann nun ein VPN-Tunneling erstellt werden. Dabei ist L2TP für den Transport und IPSec das kryptografische Element. Die Verbindung wird über den UDP Port 1701 gestartet (initial L2TP configuration). Der UDP Port 500 nutzt man für den Schlüsselaustausch (initial key exchange) und schlussendlich UDP Port 4500 für die NAT-Unterstützung (NAT traversal).

Somit muss man am Router folgende Ports auf die NAS weiterleiten:

• UDP: 500
• UDP: 1701
• UDP: 4500

Server: Synology NAS mit L2TP over IPsec

Seit der Version DSM 4.3 unterstützt Synology NAS das L2TP/IPsec VPN. Somit hat man neben OpenVPN eine alternative die auf gängigen Geräten funktioniert und hat eigentlich keinen Grund mehr auf PPTP zurückzugreifen.

Der VPN-Sever ist bei der Synology NAS schnell konfiguriert. Man aktiviert den L2TP/IPsec VPN Server und  richtet folgendes ein:

• Separater privaten IP-Adress-Bereich: z.B. 192.168.200.0
• Anz. Verbindungen: 5
• Verschlüsselung: MS-CHAP v2
• DNS Server: IP-Adresse des DNS Server, sofern vorhanden
• IKE (pre-shared key): Passwort für Aufbau der Verbindung

Wichtig: Benutzer die das VPN nutzen dürfen, müssen noch bei Privilegien ausgewählt werden.

Client: Windows

Vorarbeit

Windows Benutzer müssen einen Wert in der Registry ändern, damit das VPN korrekt funktioniert. So muss man im Regestry-Pfad einen neuen DWORD (32-Bit) erstellen, bez. ändern:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
AssumeUDPEncapsulationContextOnSendRule = 2

Damit kann Windows eine VPN-Verbindung aufbauen auch wenn er hinter einem NAT-Geräte befindet.

VPN Einrichten

Im Freigabecenter kann man auf eine „Neue Verbindung oder neues Netzwerk“ klicken und wählt „Verbindung mit dem Arbeitsplatz herstellen“.

Man erstellt eine neue Verbindung und wählt VPN. Die Internet-Adresse nimmt man einen DNS-Namen wie z.B. DynDNS von Synology und wählt einen aussagekräftigen Namen. Der Username ist de gleiche wie der man beim Synology-NAS. Sofern man kein LDAP nutzt kann die Domain leer sein.

Danach geht man direkt in die Eigenschaften der Verbindung und ändert folgende Punkte.

Sicherheit:

• Layer2 Tunneling L2PT/IPsec und gibt bei Erweitert den Pre-Shared Key ein.
• Authentifizierung: Diese Protokolle erlauben: MS-CHAP v2
  
  

Client: Android

Unter Android 4.x nimmt man das nativen VPN-Client. In den Einstellungen unter weitere Netzwerke>VPN nimmt man L2TP/IPSec PSK:

• Server Adresse: DNS-Name
• L2TP secret: leer
• LPSec identifier: leer
• IPsec Pre-Shared Key: IKE Schlüssel
• Erweitert kann man den DNS-Server und Forwarding Routens des internen Netzes z.b. 192.168.0.0/24 eintragen.

Fazit

Wer keine Möglichkeit hat OpenVPN zu verwenden kann mit L2PT/IPSec auf ein stabiles und leistungsstarkes Protokoll zurückgreifen welches auf allen gängigen Plattformen verfügbar ist. Die heartbleed Lücke bei OpenSSL hat gezeigt, da man alternativen braucht. OpenVPN war von diesem Problem auch betroffen, war aber nicht so gravierend. L2PT/IPSec ist einfacher zu konfigurieren und ist in relativer kurzer Zeit eingerichtet muss aber 3 Ports auf beiden Seiten freigegeben werden. Somit kann der Admin das VPN auch leicht sperren. In dieser Hinsicht ist OpenVPN sicherlich flexibler, da man es auf einen freien Port konfiguriert werden kann.

• http://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol 
• http://en.wikipedia.org/wiki/IPsec 
• https://www.ivpn.net/pptp-vs-l2tp-vs-openvpn
• http://support.microsoft.com/kb/926179/de