IPsec を利用した L2TP

レイヤ 2 トンネルプロトコル (L2TP) は、VPN をサポートするためか、ISP によるサービス提供の一部として使用される、トンネルプロトコルです。L2TP は、それ自体では暗号化も機密性も提供しません。L2TP は機密性がないため、しばしば IPsec と共に実装されます。L2TP/IPsec VPN を設定する一般的な手順は以下のとおりです。

1. 一般的には、インターネット鍵交換 (IKE) を通じて IPsec セキュリティアソシエーション (SA) をネゴシエートします。それは UDP ポート 500 を通じて実行され、共有パスワード (「事前共有鍵」ともいいます)、公開鍵、または両側における X.509 証明書を通常は使用します。ただし、その他の鍵交換方法も存在します。
2. 転送モードにおけるカプセル化セキュリティペイロード (ESP) 通信を確立します。ESP の IP プロトコル番号は 50 です (TCP の 6 や UDP の 17 と比較してください) この時点で、安全なチャンネルは確立されましたが、トンネリングは実現していません。
3. SA の両エンドポイント間で、L2TP トンネルをネゴシエートして確立します。実際のパラメータのネゴシエーションは SA の安全なチャンネルを通じて、IPsec の暗号化の下で実行されます。L2TP は UDP ポート 1701 を使用します。

手順が完了すると、両エンドポイント間の L2TP パケットは、IPsec でカプセリングされます。L2TP パケット自体は IPsec パケットにカプセリングされて隠されてしまうため、内部のプライベートネットワークに関する情報を暗号化されたパケットから収集することはできません。また、両エンドポイント間のファイアウォールにおいて、UDP ポート 1701 を解放する必要はありません。なぜなら、内部のパケットは IPsec データが復号化されて内部のパケットが取り出されるまで実行されず、それは両エンドポイントにおいてのみ実行されるからです。