L2TP met of zonder IKE

[dirklammers]

Klinkt logisch. Als dus een client zonder versleuteling wil connecten dan staat de server op de DS dat gewoon toe. Maar onversleutelde vpn lijkt me niet zo zinvol. Hooguit een voordeel dat je op afstand onderdeel wordt van je thuis-lan maar als dan vervolgens alles onbeveiligd over de lijn gaat geeft me dat geen goed gevoel. Jammer, het leek me een mooie oplossing.

[Babylonia]

Bij de bolletjes in de eerste screenshot staat wel degelijk een key en die heb ik ook nodig als ik rechtstreeks vanuit een iPhone een vpn verbinding wil opzetten.

Maar bij je 2e screenshot niet, en die is van de instelling van je WR710N reisrouter.
Ik ken die reisrouter niet, vandaar de voor mij wat vreemde instellingen voor een VPN Client.
De instellingen van het LAN zijn kennelijk die van je reisrouter als lokaal LAN.  Enkele routers die ik ken met VPN Client instellingen, komen bij het instellen van een VPN Client profiel alleen de instellingen voor van een WAN IP-adres (of domeinnaam) van de server waar je mee wilt verbinden, niet die van het lokale LAN. Idem bij profielen die je instelt apart in PC's en mobiele apparaten.

Als de verbinding zonder sleutel gemaakt kan worden, terwijl die wel is opgegeven, zou ik er niet op vertrouwen.
Verbaast me wel dat het überhaupt mogelijk is, en de NAS dat toestaat.

[dirklammers]

Het ip adres dat ik op het tweede screenshot heb doorgestreept is inderdaad mijn thuis ip adres. Ik vond het dus logisch dat ik daarmee samen met inlogcodes van de vpn server connectie kon maken met mijn vpn server. Maar inmiddels begrijp ik dus dat het geen versleutelde veilige verbinding is.

[Briolet]

Ik ben nog eens door de specificaties van het L2PT protocol gelopen: https://tools.ietf.org/html/rfc3193

Vooral hoofdstuk 2.1 is in dit punt interessant:

To meet the above requirements, all L2TP security compliant  implementations MUST implement IPsec ESP for securing both L2TP  control and data packets.  Transport mode MUST be supported; tunnel mode MAY be supported.  All the IPsec-mandated ciphersuites (described in RFC 2406 [4] and RFC 2402 [3]), including NULL encryption MUST be supported.  Note that although an implementation  MUST support all IPsec ciphersuites, it is an operator choice which ones will be used.  If confidentiality is not required (e.g., L2TP data traffic), ESP with NULL encryption may be used.  The implementations MUST implement replay protection mechanisms of IPsec.

Het is dus zelfs verplicht onder L2PT dat er een mogelijkheid is om zonder encryptie te verbinden. Dat je dus zonder PSK kunt verbinden is geen bug.