Laut Handbuch und laut Weboberfläche bietet der Speed Port Pro nur VPN mit dem Wireguard Protokoll und L2TP/IPSec an.

Schaut man bei L2TP/IPSec aber auf die Einrichtungsanweisungen, wird dort immer ein normaler IPSec Tunnel ohne L2TP eingerichtet und das auf allen Systemen. Also was denn nun? L2TP/IPSec, IPSec oder irgendwie beides?

Falls es der Telekom, dem größten Netzwerkanbieter Deutschlands, nicht bewusst sein sollte, das sind zwei komplett unterschiedliche Protokolle, auch wenn beide IPSec im Namen stehen haben.

Bei einer normalen IPSec Verbindung werden IP Pakete verschlüsselt, in ESP verpackt und dann über IP an den VPN Gateway gesendet. Das finale Paket einer TCP Verbindung sieht also so aus:

IP - ESP - [ IP - TCP - Daten ]

Wobei alles in eckigen Klammern verschlüsselt ist.

Eine L2TP/IPSec Verbindung hingegen tunnelt PPP über IPSec. Hier wir also eine PPP Verbindung aufgebaut (so wie bei PPoE bei DSL oder wie früher PPP über Modemeinwahl), die dann mit Hilfe von IPSec verschüsselt wird. Da aber PPP und IPSec zueinander inkompatibel sind (IPSec erlaubt Pakete auch in anderer Reihenfolge anzukommen als sie gesendet wurden, PPP hat damit massive Probleme), braucht es ein weiteres Zwischenprotokoll, dass Pakete in falscher Reihenfolge verwirft bzw. wahlweise auch umsortieren kann, L2. Das finale Paket einer TCP Verbindung über L2TP/IPSec sieht also so aus:

IP - ESP - [ L2 - PPP - IP - TCP - Daten ]

Sollte also einleuchten, dass diese beiden Protokolle komplett inkompatibel zueinander sind. Ihnen Gemein ist nur, dass sie beide zuerst einmal mit dem IKE Protokoll einen IPSec Tunnnel aushandeln, damit eine verschlüsselte Verbindung zwischen Gateway und Client existiert.

Bereits aber die Parameter mit denen dieser Tunnel ausgehandelt wird unterscheiden sich, denn hier bietet IKE eine Vielzahl von Optionen. So baut IKE bei normalen IPsec eine Tunnel Verbindung auf und authentifiziert ggf. auch den Nutzer (z.B. fragt nach Nutzername und Password, aka XAUTH). Bei L2TP/IPSec baute es eine Transport Verbindung auf und wenn der Nutzer authentifiziert werden soll, dann übernimmt das PPP (bei DSL mit PPoE übernimmt auch PPP die Anmeldung des Nutzers beim ISP ).

Und steht dieser Tunnel dann mal, dann kann bei normalen IPSec sofort damit angefangen werden Daten darüber zu senden. Bei L2TP/IPSec muss jetzt erst einmal das L2 Protokoll eine Verbindung mit der Gegenseite über diesen Tunnel aushandeln, dann muss PPP über das L2 Protokoll eine Verbindung mit der Gegenseite aushandeln und erst dann kann man über die PPP Verbindung Daten senden.

Sollte es sich als in Wahrheit um IPSec ohne L2TP handeln, dann ist mir unbegreiflich wie einem im Handbuch und der Weboberfläche ein derart gravierender (und für jeden Netzwerkadmin peinlicher) Fehler hat unterlaufen können, warum dieser Fehler bis heute nicht bemerkt wurde und vor allem, warum man diesen Fehler dann nicht mit einem Handbuch und Firmware Update behoben hat.