¿Por qué alguien usaría L2TP con IPsec? Quiero decir, entiendo que lo usaríamos junto con IPsec porque L2TP no proporciona confidencialidad o autenticación sólida por sí misma, pero ¿por qué no usar IPsec?
La respuesta provista en el comentario vinculado no es muy completa, así que aquí hay una mejor explicación.
IPsec se utiliza por sí mismo (a veces denominado IPsec simple) todo el tiempo; se usa comúnmente para crear un enlace de transporte seguro entre dos máquinas, o para crear un túnel entre diferentes redes / POP; la primera se usa (como se mencionó) entre dos máquinas, mientras que la última se usa para conectar redes dispares, especialmente cuando las redes están en el espacio RFC1918. Sin embargo, IPsec es un estándar muy flexible (especialmente v1 sobre v2), y no establece muchos requisitos rígidos para lograr que los dos puntos finales se comuniquen entre sí. En las situaciones anteriores, esto no es un gran problema; simplemente define todos los parámetros entre los puntos finales manualmente (algoritmos de cifrado, métodos de hashing, declaraciones de red y protocolos de enrutamiento de nivel superior).
Todo está bien y está bien, pero ¿qué sucede cuando quieres usar IPsec en un escenario de guerrero de la carretera? Supongamos que tiene un empleado que desea conectarse a la red interna pero está viajando y desea utilizar IPsec. ¿Lo tienes configurado manualmente esas cosas todo el tiempo? ¿Es capaz de identificar la red en la que está si usa algo como una puerta de enlace wifi pública? ¿Espera que configure protocolos de direccionamiento y enrutamiento cada vez que se conecte?
Por supuesto que no. Para eso es el estándar IPsec + L2TP. Esto se basa en L2TP simple (también un protocolo bastante definido como barebones) y automatiza todo eso: establece estándares de hashing y cifrado y define una forma de aprovechar PPP sobre L2TP para hacer la red y el enrutamiento reales bootstrapping para que todo lo que una persona tenga que hacer sea ingresar sus credenciales y presionar "conectar" (usted sabía que PPP estaba involucrado, ¿verdad?). Piense en IPsec + L2TP como algo comparable a PPTP, excepto que no se considera inseguro.
Un poco más de profundidad para visualizar mejor: piense que el usuario final es una persona que marca en un ISP antiguo. L2TP es la conexión de línea / capa 1 / física del teléfono, ya que permite que los protocolos de capa 2 operen en ella. Cuando marca el módem (se conecta al punto final), PPP es el protocolo que se ejecuta en ese enlace para autenticarlo, obtener una dirección IP, así como información de enrutamiento y resolución de DNS. Ahora estás en línea. IPsec + L2TP es exactamente lo mismo, excepto que en lugar de una línea telefónica, está creando un circuito virtual a través de Internet (L2TP), y para mantenerlo seguro, está cifrando ese circuito con IPsec. Esta parte de cifrado ocurre primero, antes de que se realice la conexión L2TP, pero todo desde ese momento es exactamente la analogía de acceso telefónico.
Para profundizar aún más: ¿por qué usar L2TP solo para obtener PPP? ¿Por qué no ejecutar marcos de Ethernet en lugar de PPP sobre IPsec para usar elementos tradicionales como DHCP / OSPF? En realidad, puede: bare IPsec está diseñado para ofrecer conectividad de capa 3 completa excepto para multidifusión / difusión; por lo tanto, en el caso de DHCP y OSPF, probablemente cambiaría L2TP por GRE. ¿Por qué no se usa GRE para usuarios móviles? Porque no ofrece autenticación, mientras que el estándar IPsec + L2TP sí lo hace (no pregunte por qué elegimos L2TP sobre GRE para el estándar). PPP se adapta mejor a ese escenario, aunque GRE sobre IPsec se usa en otras situaciones. Y si no necesita en absoluto el encuadre de Ethernet, solo haga cosas como aplicaciones estándar (navegación web, etc.) o utilice BGP, no necesita ninguna capa sobre IPsec.
En resumen, usualmente usa IPsec cuando tiene configuraciones estáticas entre dos puntos finales. Utiliza IPsec + L2TP para usuarios finales dinámicos (móviles) que tienen poco control sobre su entorno.
L2TP / IPSec usa IPsec para proteger el túnel L2TP. Entonces la pregunta real es, ¿por qué usar L2TP?
El protocolo de túnel de capa dos, como su nombre lo indica, proporciona un enlace de capa 2 a través de una red L3 arbitraria. Entonces, por ejemplo, si necesitaba que una sola VLAN apareciera en dos ubicaciones (dos centros de datos, por ejemplo), puede usar L2TP para conectarlas y aparecer como una VLAN / subred lógica, aunque haya una L3 arbitraria Red entre ellos (como Internet). Como probablemente no desea que el tráfico de su centro de datos que atraviesa Internet no esté protegido, utilice IPSec para mantener su tráfico confidencial.
Lea otras preguntas en las etiquetas ipsec