Konfiguration der L2TP-Tunnel

Mit LANconfig konfigurieren Sie L2TP unter Kommunikation > Gegenstellen > L2TP.





Die Tunnel-Konfiguration für die Steuerdaten eines L2TP-Tunnels zu einem Tunnelendpunkt erfolgt unter L2TP-Endpunkte.





Name
Name des Tunnelendpunktes.
L2TP-Tunnel aktiv
Aktiviert den konfigurierten L2TP-Tunnel.
L2TP-Version
Die verwendete L2TP-Protokollversion, entweder Version 2 oder 3.
Wichtig: Ethernet-Tunnel sind nur mit Version 3 möglich. Achten Sie darauf, für diesen Fall hier das Protokoll "L2TPv3" auszuwählen.
Anmerkung: L2TPv3 wird im LCOS immer in UDP gekapselt. Dadurch ist eine problemlose Übertragung durch NAT-Gateways hindurch möglich.
IP-Adresse
IP-Adresse des Tunnelendpunktes (IPv4, IPv6, FQDN).
Anmerkung: Falls dieses Feld bei Auswahl des Protokolls L2TPv3 leer gelassen wird, dann handelt es sich um einen "Wildcard"-Eintrag, der Verbindungen von beliebigen Gegenstellen annehmen kann.
Routing-Tag
Routing-Tag der Route zum Tunnelendpunkt.
Anmerkung: Wenn für die Absende-Adresse eine Loopback-Adresse eingetragen ist und das Routing-Tag den Wert "0" besitzt, verwendet das Gerät das Routing-Tag der Loopback-Adresse.
Port
UDP-Port
Polling-Intervall
Poll-Intervall in Sekunden
Stations-Name
Name, mit dem sich das Gerät am Tunnelendpunkt authentifiziert
Passwort
Passwort, mit dem sich das Gerät am Tunnelendpunkt authentifiziert
Gegenseite authentisieren
Wenn zwei Tunnelendpunkte (LAC und LNS) sich gegenseitig authentifizieren sollen, um einen Tunnel aufzubauen, ist diese Option aktiv. In diesem Fall sind im Tunnelendpunkt Stations-Name und Passwort dieses Gerätes als Tunnelendpunkt konfiguriert und ebenfalls die Option Gegenseite authentisieren aktiv.
Tunnelaushandlung verschleiern
Wenn bereits die Aushandlung eines Tunnels zwischen LAC und LNS verschlüsselt erfolgen soll, ist diese Option aktiv. Hierbei ver- und entschlüsseln beide L2TP-Partner mit Hilfe eines gemeinsamen "preshared Secrets" bestimmte AVPs (Attribute Value Pair) der L2TP-Nachrichten.
Absende-Adresse
Hier können Sie optional eine Absende-Adresse konfigurieren, die das Gerät statt der ansonsten automatisch für die Zieladresse gewählten Absende-Adresse verwendet. Mögliche Werte sind:
  • Name der IP-Netzwerke, deren Adresse eingesetzt werden soll.
  • "INT" für die Adresse des ersten Intranets
  • "DMZ" für die Adresse der ersten DMZ
  • LB0 bis LBF für die 16 Loopback-Adressen
  • Beliebige gültige IP-Adresse
Anmerkung: Wenn in der Liste der IP-Netzwerke oder in der Liste der Loopback-Adressen ein Eintrag mit dem Namen "DMZ" vorhanden ist, verwendet das Gerät die zugehörige IP-Adresse.
Wichtig: Sofern die hier eingestellte Absende-Adresse eine Loopback-Adresse ist, wird diese auch auf maskiert arbeitenden Gegenstellen unmaskiert verwendet.

Ab LCOS 10.20 sind Layer-3-Ethernet-Tunnel mit L2TPv3 konfigurierbar. Die Konfiguration erfolgt in der soeben beschriebenen L2TP-Endpunkte-Tabelle und in der weiter unten beschriebenen L2TP-Ethernet-Tabelle. Für ein entsprechendes Szenario siehe Konfiguration eines WLAN-Szenarios mit zentraler Auskopplung der Nutzdaten. Falls Sie eine IP-Adresse oder einen Hostnamen angeben, dann wird versucht, eine Verbindung aufzubauen. Wird das entsprechende Feld leer gelassen, wird keine Verbindung aufgebaut, es können aber Verbindungen angenommen werden. Konfigurierte Eigenschaften wie Stations-Name oder Passwort werden beim Verbindungsaufbau durch die Gegenseite geprüft; beim Annehmen von Verbindungen werden diese entsprechend geprüft.

Anmerkung: Da die verschiedenen impliziten Abhängigkeiten bei der Verbindungsannahme und der Authentisierung nicht direkt offensichtlich sind, hier einige Erläuterungen dazu:

Unter L2TP-Liste verknüpfen Sie die L2TP-Gegenstellen mit einem zuvor konfigurierten Tunnelendpunkt.





Ein Eintrag in dieser Tabelle ist nur für die folgenden Bedingungen notwendig:
Gegenstelle
Name der L2TP-Gegenstelle
L2TP-Endpunkt
Name des Tunnelendpunktes, den diese Gegenstelle verwendet.
Haltezeit
Bestimmt, wie lange der L2TP-Tunnelendpunkt den Tunnel bei Inaktivität offen hält.
IPv6
Dieser Eintrag gibt den Namen der IPv6-WAN-Schnittstelle an. Ein leerer Eintrag schaltet IPv6 für dieses Interface ab. Die IPv6-Gegenstellen konfigurieren Sie unter IPv6 > Allgemein > WAN-Schnittstellen.

Unter L2TP-Ethernet verknüpfen Sie L2TPv3-Sessions mit einer der 16 virtuellen L2TP-Ethernet-Schnittstellen. Die virtuellen L2TP-Ethernet-Schnittstellen können anschließend an anderer Stelle in der Konfiguration verwendet werden, z. B. in der LAN-Bridge zur Verknüpfung mit WLAN- oder LAN-Schnittstellen.





Gegenstelle
Konfigurieren Sie hier den Namen, anhand dessen der Ethernet-Tunnel auf der Gegenseite zugeordnet werden soll. Je Ethernet-Tunnel muss dieser Name also auf aufbauender und annehmender Seite gleich lauten.
L2TP-Endpunkt
Konfigurieren Sie hier den Namen des in der L2TP-Endpunkte-Tabelle konfigurierten L2TP-Endpunkts. Somit wird eine Ethernet-Tunnel-Session über diesen Endpunkt aufgebaut. Wenn nur Verbindungen angenommen, aber nicht selber aufgebaut werden sollen, kann durch leer lassen des Feldes erwirkt werden, dass beliebige Sessions angenommen werden. Natürlich müssen diese trotzdem über einen akzeptierten / aufgebauten Endpunkt aus der L2TP-Endpunkte-Tabelle "laufen". Dies kann in Szenarien, in denen nicht jeder Endpunkt auf der annehmenden Seite separat konfiguriert werden soll, sinnvoll sein.
Interface
Die für die L2TPv3-Session zu verwendende virtuelle L2TP-Ethernet-Schnittstelle.

Bei ankommenden Tunnel-Anfragen erfolgt eine Prüfung entweder über RADIUS oder über einen Eintrag des anfragenden Hostes in der L2TP-Endpunkte-Tabelle. Existiert ein Tabellen-Eintrag mit identischer IP-Adresse (oder ist für diesen Eintrag keine IP-Adresse definiert), lässt das Gerät diesen Host für einen Tunnelaufbau zu.

Als zusätzliche Sicherung, um z. B. eine Verschlüsselung der L2TP-Sessions über IPSec zu ermöglichen, kann das Gerät darüber hinaus auch das Routing-Tag der Gegenstelle prüfen, über die es die Daten empfangen hat. Diese Option aktivieren Sie unter L2TP-Quell-Routing-Tag-Prüfung aktiviert.

Um bis zu 32 zusätzliche Gateways je Tunnelendpunkt zu konfigurieren, klicken Sie auf Weitere entfernte Endpunkte.





Wichtig: Achten Sie darauf, dass alle zusätzlich angegebenen L2TP-Endpunkte identisch zum referenzierten Tunnel-Endpunkt konfiguriert sind.
L2TP-Endpunkt
Name des Tunnelendpunktes, wie er in der Tabelle L2TP-Endpunkte konfiguriert ist.
Anfangen mit L2TP-Endpunkt
Option zur Auswahl des nächsten Gateways. Folgende Auswahl ist möglich:
  • Zuletzt Benutztem: Auswahl der zuletzt erfolgreichen Adresse
  • Erstem: Auswahl des ersten Gateways in der Liste
  • Zufall: Zufällige Auswahl eines Gateways aus der Liste

Auf den folgenden Reitern konfigurieren Sie die Namen sowie die jeweiligen Routing-Tags der alternativen Gateways.





www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo