L2TP over IPsec

[kinch]

Guten Tag

Ist es vorgesehen, dass nach Installation des Plugins L2TP die OPNsense L2TP over IPsec unterstützt? Oder L2TP und IPsec nur unabhängig voneinander verwendet werden können?

Es wäre super, wenn L2TP over IPsec funktionieren würde, da dann der Windows 10 native VPN Client verwendet werden kann ohne ein Zertifikat zu installieren.
Auf einer pfSense funktioniert die Verbindung Windows 10 und L2TP/IPsec. Dort ist aber auch spezifisch von einem L2TP/IPsec Dienst die rede.

Meine Tests ergeben, dass die OPNsense zwar IPsec und L2TP unterstützt, aber die Kombination von L2TP und IPsec zu L2TP over IPsec ist nicht vorgesehen.
Festgestellt habe ich dies beim pcapen der Verbindungsaufbau und anschliessendem vergleichen. Die Konfiguration wurde identisch zur pfSense erstellt.

Wenn der Windows Client zur pfSense L2TP/IPsec Verbindung aufnimmt, wird alles über ESP gesteuert.
Ich sehe keine 1701 UDP Pakete für den L2TP Server.

Wenn der Client zur OPNsense L2TP+IPsec Verbindung aufnimmt, startet der Client mit der ESP Kommunikation zum Server, der IPsec Server reicht die Daten anhand der Header-Informationen des eingepackten Pakets an den L2TP Server weiter, dieser Antwortet auch, aber sendet die Daten direkt zurück auf UDP1701 ohne diese Zuerst durch den IPsec Dienst entsprechend zu ESP enkapsulieren.

Dies zeigt mir, dass der L2TP Server nichts von einem IPsec Server wissen will und somit L2TP over IPsec auf der OPNsense nicht möglich ist.

Es würde wahrscheinlich nicht die Welt kosten, dem L2TP Server bei zu bringen, die Daten nach Verarbeitung zurück an den IPsec Dienst zu senden, damit L2TP over IPsec möglich wäre.
Da aber L2TP (als einzelne Instanz) als veraltet angeschaut wird, wird wohl nicht mehr viel in diese Richtung unternommen.

Ist meine Erkenntnis richtig?

BR

[mimugmail]

Ich würde davon ausgehen dass L2TP auch in Windows nicht lang dabei sein wird. Was spricht denn gegen IKEv2? Ich dachte das geht auch ohne Client-Zertifikat?