linuxvpn加密

『壹』 如何在linux下开启VPN服务

linux下配置VPN： 检查服务器是否有必要的支持.如果检查结果没有这些支持的话,是不能安装pptp的,执行指令

『贰』 linux代理不能代理项目网络

如果您在 Linux 上设置了代理，但是项目仍然无法连接到网络，可能有以下原因：

1. 没有将代理配置正确地分配给项目。确保您已经在项目中正确地设置了代理，并使用正确的 IP 地址和端口号。

2. 项目可能已经禁用了代理或使用了其他设备或方式进行网络连接。如果您不确定项目是否需差雹要代理，请联系项目开发者或管理员确认。

3. 防火墙或安全软件可能会阻止代理连接。请检查您的防火墙和安全软件设置，确保代理服务器已经被允许连接。

4. 代理服务器可能已经停止工作或故障。请联系代理服务提供商雀庆缺或管理员确认代理服务器是否正常工作顷辩。

希望以上解答可以对您有所帮助。

『叁』 怎样在VPN中使用网络加密

在VPN中使用网络加密的具体操作步骤如下：

需要准备的材料有：电脑

1、首先打开电脑，鼠标右键单击“网络”选择打开“属性”按钮。

『肆』 vpn是否都有加密

在理论上VPN是有不同的方式实现，一般的家用VPN都是一种加密技术实现的。但是在运营商的网络中有的是使用硬件实现的，如多协议标签交换MPLS网络就不是使用加密方式，而是使用流标签进行标识。

『伍』 什么是VPN的加密技术

VPN加密技术的应用

加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，下面就分别简叙。

1、在电子商务方面的应用

电子商务（E-business）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者，该公司提供了一种基于RSA和保密密钥的应用于因特网的技术，被称为安全插座层（Secure Sockets Layer，SSL）。

也许很多人知道Socket，它是一个编程界面，并不提供任何安全措施，而SSL不但提供编程界面，而且向上提供一种安全的服务，SSL3.0现在已经应用到了服务器和浏览器上，SSL2.0则只能应用于服务器端。

SSL3.0用一种电子证书（electric certificate）来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个Session Key，然后客户用服务器端的公钥将Session Key进行加密，再传给服务器端，在双方都知道Session Key后，传输的数据都是以Session Key进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。

基于SSL3.0提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，这样可以节省大量的纸张，为公司节省大量的电话、传真费用。在过去，电子信息交换（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在专用网络上完成的，使用专用网的费用大大高于互联网。正是这样巨大的诱惑，才使人们开始发展因特网上的电子商务，但不要忘记数据加密。

2、加密技术在VPN中的应用

现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN（Local Area Network），但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，这个在现在已不是什么难事了。

事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连结这些局域网 ，他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（Virtual Private Network ，VPN）。当数据离开发送者所在的局域网时，该数据首先被用户湍连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。

『陆』 服务器vpn怎么设置密匙

VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。VPN被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道，使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
VPN可以通过特殊加密的通讯协议连接到互联网上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就圆蔽好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，镇腔升但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000及以上操作系统中都支持VPN功能。总而言之，VPN的核心就是利用公共网络建立虚拟私有网。
第一步：点击右下角的网络图标，然后选择“打开网络和共享中心”，再选择“更改适配器设置”。
第二步：在“菜单栏”点击“文件”， 如果没有看到菜单栏，请按下键盘上的Alt按键，即可显示菜单栏，选择“新建传入连接”(这个比较的重要)。
第三步：勾选选择允许使用VPN连接到本机的用户，如果用户还未创建，请点击“添加用户”。
选择其他用户连接VPN的方式，这里选择“通过Internet”，如果你的显示多项，请选择正确的方式。
第四步：接着设置网络参数，如果对方连接后可以使用本地网络的DHCP服务器，那么可以跳过此设置。如果本地网络没有DHCP服务器，必须就必须设置一下，请点击“Internet协议版本4(TCP/IP)”，点“属性”按钮，选择“指定IP地址御老”，比如我的IP是192.168.1开头的，那么这里设置一个没有被使用的IP段即可，比如从192.168.1.180到192.168.1.199。设置后请按确定，然后点击“允许访问”。
第五步：按照上述设置之后，其他用户就可以利用上面的账号以及你的IP地址利用VPN连接到你的网络了。此外，如果你有防火墙请允许1723和1701端口；如果你是内网用户请在路由器上做1723和1701端口的映射，一般做1723就行了。还有，现在一般稳定的VPN都需要支付一些费用。

『柒』 部署IPSEC VPN 时,配置什么样的安全算法可以提供数据加密

配置“3DES”安全算法可以提供数据加密。

3DES是三重数据加密算法块密码的通称。它相当于是对每个数据块应用三次DES加密算法。由于计算机运算能力的增强，原版DES密码的密钥长度变得容易被暴力破解。

3DES即是设计用来提供一种相对简单的方法，即通过增加DES的密钥长度来避免类似的攻击，而不是设计一种全新的块密码算法。

(7)linuxvpn加密扩展阅读

因为DES加密慢慢被发现存在较大的安全性，在一定的时间内可以通过暴力穷举进行缺谈破解。为此出现了改进版的3DES，它并不是一个全新的算法，可以被认为是DES加密算法的范畴。DES的密钥长度为64位，长度饥扮竖较短，比较容易被暴力穷举破解，所以可以通过增加密钥的长度来提高安全性。

密钥长度增加到两倍的称为2DES，但是这种算法应用得很少，应用得比较多的是3重DES，也叫3DES，密钥长度为192位。

3DES的加密过程为：加密->解密->加密,当3DES的密钥是DES密钥的三次重复的时候，3DES跟DES完全兼容，DES加密的，3DES能够解密；3DES加密的，DES能够解密。

参考烂大资料来源：网络-3DES

『捌』 linux ssl加密是什么

SSL 的英文全称是 “Secure Sockets Layer” ，中文名为 “ 安全套接层协议层 ” ，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
VPN SSL 200 设备网关适合应用于中小企业规模，满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源（如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等）安全接入服务。企业利用自身的网络平台，创建一个增强安全性的企业私有网络。 SSL VPN 客户端的应用是基于标准 Web 浏览器内置的加密套件与服务器协议出相应的加密方法，即经过授权用户只要能上网就能够通过浏览器接入服务器建立 SSL 安全隧道。

『玖』 VPN相关技术

当您通过Internet使用VPN时，它会在两个设备/网络之间创建专用且加密的隧道。现在作为VPN，你很难对数据进行窃听，即使它被侵入，因为这是数据被加密，从返源这个加密数据中获取任何信息几乎是不可能的。有几种VPN隧道协议，如PPTP（点对点隧道协议），L2TP（第二层隧道协议），IPSec（Internet协议安全），SSL（安全套接字层）等，用于创建VPN隧道。

IPSec实现

工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构；包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换又称isakmp）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

整个IPSec VPN地实现基本简化为两个SA协商完成

SA（security association）：是两个通信实体经协商建立起来地一种协议，它们决定了用来保护数据包安全地IPsec协议，转码方式，密钥，以及密钥地有效存在时间等等

IKE（isakmp）SA： 协商对IKE数据流进行加密以及对对等体进行验证地算法（对密钥地加密和peer地认证） 对等体之间只能存在一个

第一阶段：建立ISAKMPSA协商的是以下信息：

1、对等体之间采用何种方式做认证，是预共享密钥还是数字证书。

2、双方使用哪种加密算法（DES、3DES）

3、双方使用哪种HMAC方式，是MD5还是SHA

4、双方使用哪种Diffie-Hellman密钥组

5、使用谈大哪种协商模式（主模式或主动模式）

6、协商SA的生存期

IPSec SA： 协商对对等体之间地IP数据流进行加密地算法  对等体之间可以存在多个

第二阶段：建立IPsecSA协商的是以下信息：

1、双方使用哪种封装技术，AH还是ESP

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式，是MD5还是SHA

4、使用哪种传输模式，是隧道模式还是传输模式

5、协商SA的生存期

名词解释：

AH协议（IP协议号为51）： 提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的含世竖工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

ESP协议（IP协议号为50）： 提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。

IPSec有两种工作模式：

隧道（tunnel）模式： 用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

传输（transport）模式： 只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

1. 数据认证

数据认证有如下两方面的概念：

身份认证：身份认证确认通信双方的身份。支持两种认证方法：预共享密钥（pre-shared-key）认证和基于PKI的数字签名（rsa-signature）认证。

身份保护：身份数据在密钥产生之后加密传送，实现了对身份数据的保护。

2. DH

DH（Diffie-Hellman，交换及密钥分发）算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据，计算出共享的密钥。即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，由于其复杂度很高，不足以计算出真正的密钥。所以，DH交换技术可以保证双方能够安全地获得公有信息。

3. PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。对于IPsec，是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

IKE的交换过程

IKE使用了两个阶段为IPsec进行密钥协商并建立SA：

第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA。第一阶段有主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方法。

第二阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。

如图2-1所示，第一阶段主模式的IKE协商过程中包含三对消息：

l 第一对叫SA交换，是协商确认有关安全策略的过程；

l 第二对消息叫密钥交换，交换Diffie-Hellman公共值和辅助数据（如：随机数），密钥材料在这个阶段产生；

l 最后一对消息是ID信息和认证数据交换，进行身份认证和对整个第一阶段交换内容的认证。

野蛮模式交换与主模式交换的主要差别在于，野蛮模式不提供身份保护，只交换3条消息。在对身份保护要求不高的场合，使用交换报文较少的野蛮模式可以提高协商的速度；在对身份保护要求较高的场合，则应该使用主模式。

IKE在IPsec中的作用

l 因为有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。

l IKE协议中的DH交换过程，每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程，保证了每个SA所使用的密钥互不相关。

l IPsec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值，此数溢出后，为实现防重放，SA需要重新建立，这个过程需要IKE协议的配合。

l 对安全通信的各方身份的认证和管理，将影响到IPsec的部署。IPsec的大规模使用，必须有CA（Certificate Authority，认证中心）或其他集中管理身份数据的机构的参与。

l IKE提供端与端之间动态认证。

IPsec与IKE的关系

图 5 IPsec与IKE的关系图

从图2-2中我们可以看出IKE和IPsec的关系：

l IKE是UDP之上的一个应用层协议，是IPsec的信令协议；

l IKE为IPsec协商建立SA，并把建立的参数及生成的密钥交给IPsec；

l IPsec使用IKE建立的SA对IP报文加密或认证处理。

SSL VPN简介

SSL VPN是以SSL协议为安全基础的VPN远程接入技术，移动办公人员（在SSL VPN中被称为远程用户）使用SSL VPN可以安全、方便的接入企业内网，访问企业内网资源，提高工作效率。

SSL VPN技术优势：

无客户端的便捷部署

应用层接入的安全保护

企业延伸的效率提升

SSL协议从身份认证、机密性、完整性三个方面确保了数据通信的安全 。

SSL VPN实现私密性 完整性 不可否认 源认证

SSL VPN的特点：

采用B/S架构，远程用户无需安装额外软件，可直接使用浏览器访问内网资源。

SSL VPN可根据远程用户访问内网资源的不同，对其访问权限进行高细粒度控制。

提供了本地认证、服务器认证、认证匿名和证书挑战多种身份认证方式，提高身份认证的灵活性。

可以使用主机检查策略。

缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问哼唧，加固用户的信息安全。

PN类型详解 PPTP VPN

PPTP：点对点隧道协议，一种支持多协议虚拟专用网络（VPN）的网络技术，工作在第二层数据链路层。以同样工作在第二层的点对点传输协议（PPP）为基础，PPTP将PPP帧封装成IP数据包，以便于在互联网上传输并可以通过密码验证协议（PAP），可扩展认证协议（EAP）增加安全性。远程用户能够通过安装有点对点协议的操作系统访问公司网络资源。

PPTP VPN的实现需要：客户机和服务器之间必须有联通并且可用的IP网络。

该VPN可在Windows、Linux环境下搭建，或者通过配置路由器来实现。

L2F：第二层转发协议。 用于建立跨越公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 L2F允许高层协议的链路层隧道技术，使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

L2TP VPN

L2TP：二层隧道协议，结合PPTP与L2F两种二层隧道协议的优点，为众多公司接受。 L2TP扩展了PPP模型，它使用PPP来封装用户数据，允许多协议通过隧道传送，作为安全性增强，L2TP与IPSec（Internet协议安全性）结合——L2TP/IPsec， L2TP基于UDP协议，因此L2TP不保证数据消息的可靠投递，若数据丢失，不予重传。

L2TP 的实现：与PPTP不同， PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接。

该VPN可在Windows、Linux环境下搭建，或者通过配置防火墙、路由器来实现。

MPLS VPN

MPLS：多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。

它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

传统的VPN是基于 PPTP L2TP等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。

基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。

MPLSVPN网络主要由CE、PE和P等3部分组成：

CE（Customer Edge）：用户网络边缘设备，可以是路由器 交换机 主机。

PE（Provider Edge）：是服务商边缘路由器，位于骨干网络。

P（Provider）：是服务提供商网络中的骨干路由器

SSL工作Socket层,IPsec工作在网络层.

SSL(安全套接层)是一个基于标准的加密协议，提供加密和身份识别服务。SSL广泛应用于在互联网上提供加密的通讯。SSL最普通的应用是在网络浏览器中通过HTTPS实现的。然而，SSL是一种透明的协议，对用户基本上是不可见的，它可应用于任何基于TCP/IP的应用程序。

  通用路由封装协议GRE（Generic Routing Encapsulation） 提供了 将一种协议的报文封装在另一种协议报文中 的机制，是一种 隧道封装技术 。GRE可以 封装组播数据 ，并可以 和IPSec结合使用 ，从而保证语音、视频等组播业务的安全

 IPSec  用于在两个端点之间提供安全的IP通信，但只能加密并传播单播数据，无法加密和传输语音、视频、动态路由协议信息等组播数据流量

 GRE属于网络层协议 IP协议号为47

GRE的优点总结：

 GRE实现机制简单，对隧道两端的设备负担小

 GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本

 GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑

 GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通

 GRE隧道将不连续的子网连接起来，用于组建实现企业总部和分支间安全的连接

 GRE属于网络层协议 IP协议号为47

GRE的优点总结：

 GRE实现机制简单，对隧道两端的设备负担小

 GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本

 GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑

 GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通

 GRE隧道将不连续的子网连接起来，用于组建,实现企业总部和分支间安全的连接

隧道接口

 GRE隧道是通过隧道两端的 Tunnel接口 建立的，所以需要在隧道两端的设备上分别配置 Tunnel接口 。对于GRE的Tunnel接口，需要指定其协议类型为GRE、源地址或源接口、目的地址和Tunnel接口IP地址

  隧道接口（tunnel接口） 是为实现报文的封装而提供的一种点对点类型的虚拟接口 与loopback接口类似 都是一种 逻辑接

 GRE隧道接口包含 源地址 、 目的地址 和 隧道接口IP地址 和 封装类型

 Tunnel的源地址：配置报文传输协议中的源地址。

 当配置地址类型时，直接作为源地址使用

 当配置类型为源接口时，取该接口的IP地址作为源地址使用

  Tunnel的目的地址 ：配置报文传输协议中的目的地址

  Tunnel接口IP地址 ：为了在Tunnel接口上启用动态路由协议，或使用静态路由协议发布Tunnel接口，需要为Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公网地址，甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址后，该地址不能直接通过tunnel口互通，因此在借用IP地址情况下，必须配置静态路由或路由协议先实现借用地址的互通性，才能实现Tunnel的互通。

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一种用于承载PPP报文的隧道技术，该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。

L2TP VPN的优点：

身份验证机制，支持本地认证，支持Radius服务器等认证方式

多协议传输，L2TP传输PPP数据包，PPP本身可以传输多协议，而不仅仅是IP可以在PPP数据包内封装多种协议

计费认证地址分配

可在LAC和LNS两处同时计费，即ISP处（用于产生账单）及企业网关（用于付费及审计）。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费

LNS可放置于企业网的USG之后，对远端用户地址进行动态分配和管理，可支持私有地址应用

不受NAT限制穿越，支持远程接入，灵活的身份验证及时以及高度的安全性，L2TP协议本身并不提供连接的安全性，但它可以依赖于PPP提供的认证（CHAP、PAP等），因此具有PP所具有的所有安全特性。

L2TP和PPTP区别：

L2TP：公有协议、UDP1701、支持隧道验证，支持多个协议，多个隧道，压缩字节，支持三种模式

PPTP：私有协议、TCP1723、不支持隧道验证，只支持IP、只支持点到点

PPTP：

点对点隧道协议（PPTP）是由包括Microsoft和3com等公司组成的PPTP论坛开发的，一种点对点隧道协议，基于拔号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用Microsoft的点对点加密算法MPPE。

L2TP：

第二层隧道协议（L2TP）是IETF基于L2F（Cisco的2层转发协议）开发的PPTP后续版本，是一种工业标准Internet隧道协议。

两者的主要区别主要有以下几点：

PPTP只能在两端间建立单一隧道，L2TP支持在两端点间使用多隧道，这样可以针对不同的用户创建不同的服务质量

L2TP可以提供隧道验证机制，而PPTP不能提供这样的机制，但当L2TP或PPTP与IPSec共同使用时，可以由IPSec提供隧道验证，不需要在第二层协议上提供隧道验证机制

PPTP要求互联网络为IP网络，而L2TP只要求隧道媒介提供面向数据包的点对点连接，L2TP可以在IP（使用UDP），FR，ATM，x.25网络上使用

L2TP可以提供包头压缩。当压缩包头时，系统开销（voerhead）占用4个字节，而PPTP协议下要占用6个字节

『拾』 RouterOSv7WireGuard隧道协议

RouterOS v7加入了WireGuard，WireGuard是一个极简而快速的加密VPN协议。其设计目标是比IPsec更快、更精简和高效，同时性能要比OpenVPN提升很多。WireGuard被设计成一种通用VPN，可以在多个平台上运行，适合许多不同的环境。最初是为Linux内核发布的，后支持跨平台（Windows, macOS, BSD, iOS, Android），能进行广泛的部署。

从官方测试性能看，WireGurad对于IPsec优势非常明显，而对于OpenVPN几乎是碾压。

在部署方面，WireGurad各个节点是Peer对等体的概念，而非是Server与Client关系，相互之间是对等的，一个节点既可以是发起者，锋凳也可以是接收者，比如网上提到VPN的拓扑方案中，可以是点对点，点对多点的中心覆盖，而WireGuard不一样了，不仅可以点对点，陪基态也可以点对多点，每个节点同时可连接多个 Peer，看到过有人通过WireGuard建立全互联模式，三层的Mesh网状网络。

WireGuard只支持UDP协议，不支持传统的TCP-over-TCP隧道，因为TCP网络性能并不理想，如果对TCP连接有需求，将wiredguard的UDP包转换为TCP，并可以使用如udptunnel和udp2raw来协助完成。

关于NAT穿透，通常情况下，WireGuard网络在未被使用的情况下，会尽量保持“安静”。在大多数情况下，它只在Peer对等体，希望发送数据包时传输数据，当它没有被要求发送数据包时，它就停止发送，直到再次被请求。在点对点公网IP连接的网络环境是这样的，然而，当一个Peer端位于NAT或防火墙之后时，即使它不发送任何数据包的情况下，也希望能接收传入的数据包。因为NAT和防火墙会跟踪“会话连接”，他必须通过定期发送数据包来维持NAT/防火墙连接会话映射的有效，即UDP的timeout时间，即被称为keepalive。WireGuard可以开启此选项，每隔一秒向对端点发送一个keepalive报文，当然适用于各种NAT/防火墙的合理间隔在25秒。默认设置keepalive是关闭状态，因为公网IP连接的用户不需要这个功能。

WireGuard加密使用ChaCha20，验证使用Poly1305，它几乎在所有通用CPU上的运行速度都非常快。虽然未被专用硬件支持（IPsec支持硬件加速），但在CPU上的矢量指令（vector instructions）与AES-NI指令处于相同的优先级(有时甚至更快)。

总结下WireGuard的特点：

是基于UDP协议连接，具备网络性能优势

运行在Linux内核，在性能上优于IPsec和OpenVPN

每个节点通过公钥识别进行验证，加密采用的是ChaCha20Poly1305。

每个节点是平等的，既可以作为server，又可以作为client

两端仅需要一个配置公网IP，另一端在nat后也能连接，nat后的节点，仅需要对端节点公钥，以及公网IP （endpoint）和端口（endpoint port），而公网节点只需要填写连接端的公钥即可

从测试结果看未使用IPsec加密的L2TP的传输带宽性能最好，超过了WireGuard，但在使用IPsec的L2TP加密后，性能远不如WireGuard，我平时喜欢使用SSTP在RouterOS设备之间建立连接，因为SSTP端口灵活，在RouterOS建立隧道无需证书，但SSTP的传输性能在RouterOS支持的所有隧道协议中性能是最差的，现在芦源v7有了WireGuard就不一样了。