linuxvpn加密

『壹』 如何在linux下開啟VPN服務

linux下配置VPN： 檢查伺服器是否有必要的支持.如果檢查結果沒有這些支持的話,是不能安裝pptp的,執行指令

『貳』 linux代理不能代理項目網路

如果您在 Linux 上設置了代理，但是項目仍然無法連接到網路，可能有以下原因：

1. 沒有將代理配置正確地分配給項目。確保您已經在項目中正確地設置了代理，並使用正確的 IP 地址和埠號。

2. 項目可能已經禁用了代理或使用了其他設備或方式進行網路連接。如果您不確定項目是否需差雹要代理，請聯系項目開發者或管理員確認。

3. 防火牆或安全軟體可能會阻止代理連接。請檢查您的防火牆和安全軟體設置，確保代理伺服器已經被允許連接。

4. 代理伺服器可能已經停止工作或故障。請聯系代理服務提供商雀慶缺或管理員確認代理伺服器是否正常工作頃辯。

希望以上解答可以對您有所幫助。

『叄』 怎樣在VPN中使用網路加密

在VPN中使用網路加密的具體操作步驟如下：

需要准備的材料有：電腦

1、首先打開電腦，滑鼠右鍵單擊「網路」選擇打開「屬性」按鈕。

『肆』 vpn是否都有加密

在理論上VPN是有不同的方式實現，一般的家用VPN都是一種加密技術實現的。但是在運營商的網路中有的是使用硬體實現的，如多協議標簽交換MPLS網路就不是使用加密方式，而是使用流標簽進行標識。

『伍』 什麼是VPN的加密技術

VPN加密技術的應用

加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，下面就分別簡敘。

1、在電子商務方面的應用

電子商務（E-business）要求顧客可以在網上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然後使用用戶的信用卡進行付款。現在人們開始用RSA（一種公開/私有密鑰）的加密技術，提高信用卡交易的安全性，從而使電子商務走向實用成為可能。

許多人都知道NETSCAPE公司是Internet商業中領先技術的提供者，該公司提供了一種基於RSA和保密密鑰的應用於網際網路的技術，被稱為安全插座層（Secure Sockets Layer，SSL）。

也許很多人知道Socket，它是一個編程界面，並不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0現在已經應用到了伺服器和瀏覽器上，SSL2.0則只能應用於伺服器端。

SSL3.0用一種電子證書（electric certificate）來實行身份進行驗證後，雙方就可以用保密密鑰進行安全的會話了。它同時使用「對稱」和「非對稱」加密方法，在客戶與電子商務的伺服器進行溝通的過程中，客戶會產生一個Session Key，然後客戶用伺服器端的公鑰將Session Key進行加密，再傳給伺服器端，在雙方都知道Session Key後，傳輸的數據都是以Session Key進行加密與解密的，但伺服器端發給用戶的公鑰必需先向有關發證機關申請，以得到公證。

基於SSL3.0提供的安全保障，用戶就可以自由訂購商品並且給出信用卡號了，也可以在網上和合作夥伴交流商業信息並且讓供應商把訂單和收貨單從網上發過來，這樣可以節省大量的紙張，為公司節省大量的電話、傳真費用。在過去，電子信息交換（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在專用網路上完成的，使用專用網的費用大大高於互聯網。正是這樣巨大的誘惑，才使人們開始發展網際網路上的電子商務，但不要忘記數據加密。

2、加密技術在VPN中的應用

現在，越多越多的公司走向國際化，一個公司可能在多個國家都有辦事機構或銷售中心，每一個機構都有自己的區域網LAN（Local Area Network），但在當今的網路社會人們的要求不僅如此，用戶希望將這些LAN連結在一起組成一個公司的廣域網，這個在現在已不是什麼難事了。

事實上，很多公司都已經這樣做了，但他們一般使用租用專用線路來連結這些區域網 ，他們考慮的就是網路的安全問題。現在具有加密/解密功能的路由器已到處都是，這就使人們通過互聯網連接這些區域網成為可能，這就是我們通常所說的虛擬專用網（Virtual Private Network ，VPN）。當數據離開發送者所在的區域網時，該數據首先被用戶湍連接到互聯網上的路由器進行硬體加密，數據在互聯網上是以加密的形式傳送的，當達到目的LAN的路由器時，該路由器就會對數據進行解密，這樣目的LAN中的用戶就可以看到真正的信息了。

『陸』 伺服器vpn怎麼設置密匙

VPN英文全稱是「Virtual Private Network」，翻譯過來就是「虛擬專用網路」。VPN被定義為通過一個公用網路（通常是網際網路）建立一個臨時的、安全的連接，是一條穿過混亂的公用網路的安全、穩定隧道，使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展，可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
VPN可以通過特殊加密的通訊協議連接到互聯網上，在位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就圓蔽好比是架設了一條專線一樣，但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，鎮腔升但是不用給鋪設線路的費用，也不用購買路由器等硬體設備。VPN技術原是路由器具有的重要技術之一，在交換機，防火牆設備或Windows 2000及以上操作系統中都支持VPN功能。總而言之，VPN的核心就是利用公共網路建立虛擬私有網。
第一步：點擊右下角的網路圖標，然後選擇「打開網路和共享中心」，再選擇「更改適配器設置」。
第二步：在「菜單欄」點擊「文件」， 如果沒有看到菜單欄，請按下鍵盤上的Alt按鍵，即可顯示菜單欄，選擇「新建傳入連接」(這個比較的重要)。
第三步：勾選選擇允許使用VPN連接到本機的用戶，如果用戶還未創建，請點擊「添加用戶」。
選擇其他用戶連接VPN的方式，這里選擇「通過Internet」，如果你的顯示多項，請選擇正確的方式。
第四步：接著設置網路參數，如果對方連接後可以使用本地網路的DHCP伺服器，那麼可以跳過此設置。如果本地網路沒有DHCP伺服器，必須就必須設置一下，請點擊「Internet協議版本4(TCP/IP)」，點「屬性」按鈕，選擇「指定IP地址御老」，比如我的IP是192.168.1開頭的，那麼這里設置一個沒有被使用的IP段即可，比如從192.168.1.180到192.168.1.199。設置後請按確定，然後點擊「允許訪問」。
第五步：按照上述設置之後，其他用戶就可以利用上面的賬號以及你的IP地址利用VPN連接到你的網路了。此外，如果你有防火牆請允許1723和1701埠；如果你是內網用戶請在路由器上做1723和1701埠的映射，一般做1723就行了。還有，現在一般穩定的VPN都需要支付一些費用。

『柒』 部署IPSEC VPN 時,配置什麼樣的安全演算法可以提供數據加密

配置「3DES」安全演算法可以提供數據加密。

3DES是三重數據加密演算法塊密碼的通稱。它相當於是對每個數據塊應用三次DES加密演算法。由於計算機運算能力的增強，原版DES密碼的密鑰長度變得容易被暴力破解。

3DES即是設計用來提供一種相對簡單的方法，即通過增加DES的密鑰長度來避免類似的攻擊，而不是設計一種全新的塊密碼演算法。

(7)linuxvpn加密擴展閱讀

因為DES加密慢慢被發現存在較大的安全性，在一定的時間內可以通過暴力窮舉進行缺談破解。為此出現了改進版的3DES，它並不是一個全新的演算法，可以被認為是DES加密演算法的范疇。DES的密鑰長度為64位，長度飢扮豎較短，比較容易被暴力窮舉破解，所以可以通過增加密鑰的長度來提高安全性。

密鑰長度增加到兩倍的稱為2DES，但是這種演算法應用得很少，應用得比較多的是3重DES，也叫3DES，密鑰長度為192位。

3DES的加密過程為：加密->解密->加密,當3DES的密鑰是DES密鑰的三次重復的時候，3DES跟DES完全兼容，DES加密的，3DES能夠解密；3DES加密的，DES能夠解密。

參考爛大資料來源：網路-3DES

『捌』 linux ssl加密是什麼

SSL 的英文全稱是 「Secure Sockets Layer」 ，中文名為 「 安全套接層協議層 」 ，它是網景（ Netscape ）公司提出的基於 WEB 應用的安全協議。 SSL 協議指定了一種在應用程序協議（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 協議之間提供數據安全性分層的機制，它為 TCP/IP 連接提供數據加密、伺服器認證、消息完整性以及可選的客戶機認證。
VPN SSL 200 設備網關適合應用於中小企業規模，滿足其企業移動用戶、分支機構、供應商、合作夥伴等企業資源（如基於 Web 的應用、企業郵件系統、文件伺服器、 C/S 應用系統等）安全接入服務。企業利用自身的網路平台，創建一個增強安全性的企業私有網路。 SSL VPN 客戶端的應用是基於標准 Web 瀏覽器內置的加密套件與伺服器協議出相應的加密方法，即經過授權用戶只要能上網就能夠通過瀏覽器接入伺服器建立 SSL 安全隧道。

『玖』 VPN相關技術

當您通過Internet使用VPN時，它會在兩個設備/網路之間創建專用且加密的隧道。現在作為VPN，你很難對數據進行竊聽，即使它被侵入，因為這是數據被加密，從返源這個加密數據中獲取任何信息幾乎是不可能的。有幾種VPN隧道協議，如PPTP（點對點隧道協議），L2TP（第二層隧道協議），IPSec（Internet協議安全），SSL（安全套接字層）等，用於創建VPN隧道。

IPSec實現

工作於TCP/IP第三層IP層上網路數據安全地一整套體系結構；包括網路認證協議AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，網際網路密鑰交換又稱isakmp）和用於網路認證及加密的一些演算法等。其中，AH協議和ESP協議用於提供安全服務，IKE協議用於密鑰交換。

整個IPSec VPN地實現基本簡化為兩個SA協商完成

SA（security association）：是兩個通信實體經協商建立起來地一種協議，它們決定了用來保護數據包安全地IPsec協議，轉碼方式，密鑰，以及密鑰地有效存在時間等等

IKE（isakmp）SA： 協商對IKE數據流進行加密以及對對等體進行驗證地演算法（對密鑰地加密和peer地認證） 對等體之間只能存在一個

第一階段：建立ISAKMPSA協商的是以下信息：

1、對等體之間採用何種方式做認證，是預共享密鑰還是數字證書。

2、雙方使用哪種加密演算法（DES、3DES）

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、雙方使用哪種Diffie-Hellman密鑰組

5、使用談大哪種協商模式（主模式或主動模式）

6、協商SA的生存期

IPSec SA： 協商對對等體之間地IP數據流進行加密地演算法  對等體之間可以存在多個

第二階段：建立IPsecSA協商的是以下信息：

1、雙方使用哪種封裝技術，AH還是ESP

2、雙方使用哪種加密演算法

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、使用哪種傳輸模式，是隧道模式還是傳輸模式

5、協商SA的生存期

名詞解釋：

AH協議（IP協議號為51）： 提供數據源認證、數據完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用於傳輸非機密數據。AH的含世豎工作原理是在每一個數據包上添加一個身份驗證報文頭，此報文頭插在標准IP包頭後面，對數據提供完整性保護。可選擇的認證演算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

ESP協議（IP協議號為50）： 提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標准IP包頭後面添加一個ESP報文頭，並在數據包後面追加一個ESP尾。與AH協議不同的是，ESP將需要保護的用戶數據進行加密後再封裝到IP包中，以保證數據的機密性。常見的加密演算法有DES、3DES、AES等。同時，作為可選項，用戶可以選擇MD5、SHA-1演算法保證報文的完整性和真實性。

IPSec有兩種工作模式：

隧道（tunnel）模式： 用戶的整個IP數據包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常，隧道模式應用在兩個安全網關之間的通訊。

傳輸（transport）模式： 只是傳輸層數據被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常，傳輸模式應用在兩台主機之間的通訊，或一台主機和一個安全網關之間的通訊。

1. 數據認證

數據認證有如下兩方面的概念：

身份認證：身份認證確認通信雙方的身份。支持兩種認證方法：預共享密鑰（pre-shared-key）認證和基於PKI的數字簽名（rsa-signature）認證。

身份保護：身份數據在密鑰產生之後加密傳送，實現了對身份數據的保護。

2. DH

DH（Diffie-Hellman，交換及密鑰分發）演算法是一種公共密鑰演算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據，計算出共享的密鑰。即使第三者（如黑客）截獲了雙方用於計算密鑰的所有交換數據，由於其復雜度很高，不足以計算出真正的密鑰。所以，DH交換技術可以保證雙方能夠安全地獲得公有信息。

3. PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一種安全特性，指一個密鑰被破解，並不影響其他密鑰的安全性，因為這些密鑰間沒有派生關系。對於IPsec，是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH演算法保障的。

IKE的交換過程

IKE使用了兩個階段為IPsec進行密鑰協商並建立SA：

第一階段，通信各方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個ISAKMP SA。第一階段有主模式（Main Mode）和野蠻模式（Aggressive Mode）兩種IKE交換方法。

第二階段，用在第一階段建立的安全隧道為IPsec協商安全服務，即為IPsec協商具體的SA，建立用於最終的IP數據安全傳輸的IPsec SA。

如圖2-1所示，第一階段主模式的IKE協商過程中包含三對消息：

l 第一對叫SA交換，是協商確認有關安全策略的過程；

l 第二對消息叫密鑰交換，交換Diffie-Hellman公共值和輔助數據（如：隨機數），密鑰材料在這個階段產生；

l 最後一對消息是ID信息和認證數據交換，進行身份認證和對整個第一階段交換內容的認證。

野蠻模式交換與主模式交換的主要差別在於，野蠻模式不提供身份保護，只交換3條消息。在對身份保護要求不高的場合，使用交換報文較少的野蠻模式可以提高協商的速度；在對身份保護要求較高的場合，則應該使用主模式。

IKE在IPsec中的作用

l 因為有了IKE，IPsec很多參數（如：密鑰）都可以自動建立，降低了手工配置的復雜度。

l IKE協議中的DH交換過程，每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程，保證了每個SA所使用的密鑰互不相關。

l IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值，此數溢出後，為實現防重放，SA需要重新建立，這個過程需要IKE協議的配合。

l 對安全通信的各方身份的認證和管理，將影響到IPsec的部署。IPsec的大規模使用，必須有CA（Certificate Authority，認證中心）或其他集中管理身份數據的機構的參與。

l IKE提供端與端之間動態認證。

IPsec與IKE的關系

圖 5 IPsec與IKE的關系圖

從圖2-2中我們可以看出IKE和IPsec的關系：

l IKE是UDP之上的一個應用層協議，是IPsec的信令協議；

l IKE為IPsec協商建立SA，並把建立的參數及生成的密鑰交給IPsec；

l IPsec使用IKE建立的SA對IP報文加密或認證處理。

SSL VPN簡介

SSL VPN是以SSL協議為安全基礎的VPN遠程接入技術，移動辦公人員（在SSL VPN中被稱為遠程用戶）使用SSL VPN可以安全、方便的接入企業內網，訪問企業內網資源，提高工作效率。

SSL VPN技術優勢：

無客戶端的便捷部署

應用層接入的安全保護

企業延伸的效率提升

SSL協議從身份認證、機密性、完整性三個方面確保了數據通信的安全 。

SSL VPN實現私密性 完整性 不可否認 源認證

SSL VPN的特點：

採用B/S架構，遠程用戶無需安裝額外軟體，可直接使用瀏覽器訪問內網資源。

SSL VPN可根據遠程用戶訪問內網資源的不同，對其訪問許可權進行高細粒度控制。

提供了本地認證、伺服器認證、認證匿名和證書挑戰多種身份認證方式，提高身份認證的靈活性。

可以使用主機檢查策略。

緩存清理策略用於清理遠程用戶訪問內網過程中在終端上留下的訪問哼唧，加固用戶的信息安全。

PN類型詳解 PPTP VPN

PPTP：點對點隧道協議，一種支持多協議虛擬專用網路（VPN）的網路技術，工作在第二層數據鏈路層。以同樣工作在第二層的點對點傳輸協議（PPP）為基礎，PPTP將PPP幀封裝成IP數據包，以便於在互聯網上傳輸並可以通過密碼驗證協議（PAP），可擴展認證協議（EAP）增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網路資源。

PPTP VPN的實現需要：客戶機和伺服器之間必須有聯通並且可用的IP網路。

該VPN可在Windows、Linux環境下搭建，或者通過配置路由器來實現。

L2F：第二層轉發協議。 用於建立跨越公共網路的安全隧道來將ISP POP連接到企業內部網關。這個隧道建立了一個用戶與企業客戶網路間的虛擬點對點連接。 L2F允許高層協議的鏈路層隧道技術，使得把原始撥號伺服器的位置和撥號協議連接終止與提供的網路訪問位置分離成為可能。

L2TP VPN

L2TP：二層隧道協議，結合PPTP與L2F兩種二層隧道協議的優點，為眾多公司接受。 L2TP擴展了PPP模型，它使用PPP來封裝用戶數據，允許多協議通過隧道傳送，作為安全性增強，L2TP與IPSec（Internet協議安全性）結合——L2TP/IPsec， L2TP基於UDP協議，因此L2TP不保證數據消息的可靠投遞，若數據丟失，不予重傳。

L2TP 的實現：與PPTP不同， PPTP要求網路為IP網路，L2TP要求面向數據包的點對點連接。

該VPN可在Windows、Linux環境下搭建，或者通過配置防火牆、路由器來實現。

MPLS VPN

MPLS：多協議標簽交換（MPLS）是一種用於快速數據包交換和路由的體系，它為網路數據流量提供了目標、路由地址、轉發和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。

它提供了一種方式，將IP地址映射為簡單的具有固定長度的標簽，用於不同的包轉發和包交換技術。

傳統的VPN是基於 PPTP L2TP等隧道協議來實現私有網路間數據流在公網上的傳送。而LSP本身就是公網上的隧道，所以用MPLS來實現VPN有天然的優勢。

基於MPLS的VPN就是通過LSP將私有網路的不同分支聯結起來，形成一個統一的網路。基於MPLS的VPN還支持對不同VPN間的互通控制。

MPLSVPN網路主要由CE、PE和P等3部分組成：

CE（Customer Edge）：用戶網路邊緣設備，可以是路由器 交換機 主機。

PE（Provider Edge）：是服務商邊緣路由器，位於骨幹網路。

P（Provider）：是服務提供商網路中的骨幹路由器

SSL工作Socket層,IPsec工作在網路層.

SSL(安全套接層)是一個基於標準的加密協議，提供加密和身份識別服務。SSL廣泛應用於在互聯網上提供加密的通訊。SSL最普通的應用是在網路瀏覽器中通過HTTPS實現的。然而，SSL是一種透明的協議，對用戶基本上是不可見的，它可應用於任何基於TCP/IP的應用程序。

  通用路由封裝協議GRE（Generic Routing Encapsulation） 提供了 將一種協議的報文封裝在另一種協議報文中 的機制，是一種 隧道封裝技術 。GRE可以 封裝組播數據 ，並可以 和IPSec結合使用 ，從而保證語音、視頻等組播業務的安全

 IPSec  用於在兩個端點之間提供安全的IP通信，但只能加密並傳播單播數據，無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量

 GRE屬於網路層協議 IP協議號為47

GRE的優點總結：

 GRE實現機制簡單，對隧道兩端的設備負擔小

 GRE隧道可以通過IPv4網路連通多種網路協議的本地網路，有效利用了原有的網路架構，降低成本

 GRE隧道擴展了跳數受限網路協議的工作范圍，支持企業靈活設計網路拓撲

 GRE隧道可以封裝組播數據，和IPSec結合使用時可以保證語音、視頻等組播業務的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現MPLS骨幹網的互通

 GRE隧道將不連續的子網連接起來，用於組建實現企業總部和分支間安全的連接

 GRE屬於網路層協議 IP協議號為47

GRE的優點總結：

 GRE實現機制簡單，對隧道兩端的設備負擔小

 GRE隧道可以通過IPv4網路連通多種網路協議的本地網路，有效利用了原有的網路架構，降低成本

 GRE隧道擴展了跳數受限網路協議的工作范圍，支持企業靈活設計網路拓撲

 GRE隧道可以封裝組播數據，和IPSec結合使用時可以保證語音、視頻等組播業務的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現MPLS骨幹網的互通

 GRE隧道將不連續的子網連接起來，用於組建,實現企業總部和分支間安全的連接

隧道介面

 GRE隧道是通過隧道兩端的 Tunnel介面 建立的，所以需要在隧道兩端的設備上分別配置 Tunnel介面 。對於GRE的Tunnel介面，需要指定其協議類型為GRE、源地址或源介面、目的地址和Tunnel介面IP地址

  隧道介面（tunnel介面） 是為實現報文的封裝而提供的一種點對點類型的虛擬介面 與loopback介面類似 都是一種 邏輯接

 GRE隧道介麵包含 源地址 、 目的地址 和 隧道介面IP地址 和 封裝類型

 Tunnel的源地址：配置報文傳輸協議中的源地址。

 當配置地址類型時，直接作為源地址使用

 當配置類型為源介面時，取該介面的IP地址作為源地址使用

  Tunnel的目的地址 ：配置報文傳輸協議中的目的地址

  Tunnel介面IP地址 ：為了在Tunnel介面上啟用動態路由協議，或使用靜態路由協議發布Tunnel介面，需要為Tunnel介面分配IP地址。Tunnel介面的IP地址可以不是公網地址，甚至可以借用其他介面的IP地址以節約IP地址。但是當Tunnel介面借用IP地址後，該地址不能直接通過tunnel口互通，因此在借用IP地址情況下，必須配置靜態路由或路由協議先實現借用地址的互通性，才能實現Tunnel的互通。

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一種用於承載PPP報文的隧道技術，該技術主要應用在遠程辦公場景中為出差員工遠程訪問企業內網資源提供接入服務。

L2TP VPN的優點：

身份驗證機制，支持本地認證，支持Radius伺服器等認證方式

多協議傳輸，L2TP傳輸PPP數據包，PPP本身可以傳輸多協議，而不僅僅是IP可以在PPP數據包內封裝多種協議

計費認證地址分配

可在LAC和LNS兩處同時計費，即ISP處（用於產生賬單）及企業網關（用於付費及審計）。L2TP能夠提供數據傳輸的出入包數、位元組數以及連接的起始、結束時間等計費數據，可根據這些數據方便地進行網路計費

LNS可放置於企業網的USG之後，對遠端用戶地址進行動態分配和管理，可支持私有地址應用

不受NAT限制穿越，支持遠程接入，靈活的身份驗證及時以及高度的安全性，L2TP協議本身並不提供連接的安全性，但它可以依賴於PPP提供的認證（CHAP、PAP等），因此具有PP所具有的所有安全特性。

L2TP和PPTP區別：

L2TP：公有協議、UDP1701、支持隧道驗證，支持多個協議，多個隧道，壓縮位元組，支持三種模式

PPTP：私有協議、TCP1723、不支持隧道驗證，只支持IP、只支持點到點

PPTP：

點對點隧道協議（PPTP）是由包括Microsoft和3com等公司組成的PPTP論壇開發的，一種點對點隧道協議，基於拔號使用的PPP協議使用PAP或CHAP之類的加密演算法，或者使用Microsoft的點對點加密演算法MPPE。

L2TP：

第二層隧道協議（L2TP）是IETF基於L2F（Cisco的2層轉發協議）開發的PPTP後續版本，是一種工業標准Internet隧道協議。

兩者的主要區別主要有以下幾點：

PPTP只能在兩端間建立單一隧道，L2TP支持在兩端點間使用多隧道，這樣可以針對不同的用戶創建不同的服務質量

L2TP可以提供隧道驗證機制，而PPTP不能提供這樣的機制，但當L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，不需要在第二層協議上提供隧道驗證機制

PPTP要求互聯網路為IP網路，而L2TP只要求隧道媒介提供面向數據包的點對點連接，L2TP可以在IP（使用UDP），FR，ATM，x.25網路上使用

L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（voerhead）佔用4個位元組，而PPTP協議下要佔用6個位元組

『拾』 RouterOSv7WireGuard隧道協議

RouterOS v7加入了WireGuard，WireGuard是一個極簡而快速的加密VPN協議。其設計目標是比IPsec更快、更精簡和高效，同時性能要比OpenVPN提升很多。WireGuard被設計成一種通用VPN，可以在多個平台上運行，適合許多不同的環境。最初是為Linux內核發布的，後支持跨平台（Windows, macOS, BSD, iOS, Android），能進行廣泛的部署。

從官方測試性能看，WireGurad對於IPsec優勢非常明顯，而對於OpenVPN幾乎是碾壓。

在部署方面，WireGurad各個節點是Peer對等體的概念，而非是Server與Client關系，相互之間是對等的，一個節點既可以是發起者，鋒凳也可以是接收者，比如網上提到VPN的拓撲方案中，可以是點對點，點對多點的中心覆蓋，而WireGuard不一樣了，不僅可以點對點，陪基態也可以點對多點，每個節點同時可連接多個 Peer，看到過有人通過WireGuard建立全互聯模式，三層的Mesh網狀網路。

WireGuard只支持UDP協議，不支持傳統的TCP-over-TCP隧道，因為TCP網路性能並不理想，如果對TCP連接有需求，將wiredguard的UDP包轉換為TCP，並可以使用如udptunnel和udp2raw來協助完成。

關於NAT穿透，通常情況下，WireGuard網路在未被使用的情況下，會盡量保持「安靜」。在大多數情況下，它只在Peer對等體，希望發送數據包時傳輸數據，當它沒有被要求發送數據包時，它就停止發送，直到再次被請求。在點對點公網IP連接的網路環境是這樣的，然而，當一個Peer端位於NAT或防火牆之後時，即使它不發送任何數據包的情況下，也希望能接收傳入的數據包。因為NAT和防火牆會跟蹤「會話連接」，他必須通過定期發送數據包來維持NAT/防火牆連接會話映射的有效，即UDP的timeout時間，即被稱為keepalive。WireGuard可以開啟此選項，每隔一秒向對端點發送一個keepalive報文，當然適用於各種NAT/防火牆的合理間隔在25秒。默認設置keepalive是關閉狀態，因為公網IP連接的用戶不需要這個功能。

WireGuard加密使用ChaCha20，驗證使用Poly1305，它幾乎在所有通用CPU上的運行速度都非常快。雖然未被專用硬體支持（IPsec支持硬體加速），但在CPU上的矢量指令（vector instructions）與AES-NI指令處於相同的優先順序(有時甚至更快)。

總結下WireGuard的特點：

是基於UDP協議連接，具備網路性能優勢

運行在Linux內核，在性能上優於IPsec和OpenVPN

每個節點通過公鑰識別進行驗證，加密採用的是ChaCha20Poly1305。

每個節點是平等的，既可以作為server，又可以作為client

兩端僅需要一個配置公網IP，另一端在nat後也能連接，nat後的節點，僅需要對端節點公鑰，以及公網IP （endpoint）和埠（endpoint port），而公網節點只需要填寫連接端的公鑰即可

從測試結果看未使用IPsec加密的L2TP的傳輸帶寬性能最好，超過了WireGuard，但在使用IPsec的L2TP加密後，性能遠不如WireGuard，我平時喜歡使用SSTP在RouterOS設備之間建立連接，因為SSTP埠靈活，在RouterOS建立隧道無需證書，但SSTP的傳輸性能在RouterOS支持的所有隧道協議中性能是最差的，現在蘆源v7有了WireGuard就不一樣了。