Onko L2TP turvallinen?

L2TP itsessään tarjoaa nollan salauksen. L2TP/IPsec – tyypillinen yhdistetty muoto – on turvallinen, kun se on määritetty nykyaikaisilla IPsec-parametreilla (AES-GCM, suuret Diffie-Hellman-ryhmät tai ECDH, varmenteen todennus). Ongelmana on, että useimmat L2TP/IPsec-asennukset ovat peräisin vuosilta 1999–2005 ja käyttävät heikompia oletusasetuksia. Jos sinun on käytettävä L2TP/IPseciä, varmista, että IPsec-kokoonpano on nykyaikainen.

Onko L2TP/IPsec sama kuin IKEv2/IPsec?

Ei. Molemmat käyttävät IPsecia salaukseen, mutta L2TP/IPsec lisää L2TP-tunnelointikerroksen päälle, mikä lisää ylimääräistä ja monimutkaista ilman hyötyä. IKEv2/IPsec suorittaa tunnelineuvottelut suoraan. Samassa VPN-palvelimessa IKEv2 on nopeampi, tukee MOBIKEa saumattomaan mobiiliverkkovierailuun ja siinä on parempi NAT-Traversal.

Miksi L2TP/IPsecillä on niin monta porttia?

Mukana kolme porttia: UDP 500 (IKE IPsec-neuvottelua varten), UDP 4500 (IPsec NAT-Traversal, kun NAT havaitaan) ja UDP 1701 (L2TP-tunneli IPsecin sisällä). Rajoittavat palomuurit estävät usein yhden tai useamman näistä, minkä vuoksi L2TP/IPsec on epäluotettava yritys- ja matkaverkoissa verrattuna OpenVPN-TCP/443:een.

Katkaisiko NSA L2TP/IPsec:n?

Vuoden 2013 Snowden-asiakirjat ehdottivat, että NSA voisi vaarantaa joitakin IPsec-kokoonpanoja. Haavoittuvat kokoonpanot käyttivät tyypillisesti pieniä Diffie-Hellman-ryhmiä (1024-bittinen Group 2) tai aggressiivisen tilan IKEv1:tä ennalta jaetuilla avaimilla – täsmälleen samanlaisia vanhoja kokoonpanoja, jotka olivat yleisiä aikakauden L2TP/IPsec-asetuksissa. Nykyaikaisen IPsecin, jossa on suuret DH-ryhmät, ECDH ja varmennetodennus, ei uskota olleen rikki.

Pitäisikö minun käyttää L2TP/IPseciä tänään?

Vain jos sinulla ei ole muuta vaihtoehtoa. WireGuard on nopeampi ja nykyaikaisempi. IKEv2/IPsec tarjoaa sinulle saman IPsec-salauksen ilman L2TP-ylikustannuksia. OpenVPN-TCP/443 on joustavampi vihamielisille verkoille. L2TP/IPsec on pohjimmiltaan vanha yhteensopivuus – hyödyllinen, jos muodostat yhteyden vanhaan yrityksen VPN:ään, joka tukee vain sitä, ei koskaan oikea valinta uudelle käyttöönotolle.

L2TP ja L2TP/IPsec selitetty: Vanha VPN-protokolla, jota sinun ei pitäisi melkein koskaan käyttää

L2TP on vuoden 1999 tunnelointiprotokolla, joka on lähes aina yhdistetty IPsecin salaukseen. Se oli aiemmin oletusarvoinen "natiivi" VPN-vaihtoehto vanhemmissa käyttöjärjestelmissä. Vuonna 2026 lähes mikä tahansa muu moderni protokolla on ehdottomasti parempi valinta – mutta L2TP/IPsec säilyy määritysvalikoissa ja vanhoissa yritysten VPN-verkoissa, joten on syytä tietää tarkalleen, mikä se on ja miksi sinun ei pitäisi valita sitä.

Artikkelin koko runko on englanniksi alla.

Mitä L2TP itse asiassa on

Layer 2 Tunneling Protocol — RFC 2661, julkaistu elokuussa 1999 — on tunnelointiprotokolla. Se kuljettaa Point-to-Point Protocol (PPP) -kehyksiä UDP-pakettien sisällä. Siinä itsessään on no-salausta kaikissa. L2TP-tunnelin tiedot kulkevat selkeänä tekstinä; tarkkailija laitteesi ja L2TP-päätepisteen välillä näkee kaiken.

Tästä syystä et melkein koskaan näe paljaata L2TP:tä. Käytännössä se on aina paritettu IPsecin kanssa, joka tarjoaa varsinaisen salauksen. Tätä yhdistelmää kutsutaan yleisesti nimellä "L2TP/IPsec" tai joskus vain "L2TP" käyttöjärjestelmän määritysvalikoissa.

Kuinka L2TP/IPsec toimii

L2TP/IPsec on kaksoiskapseloitu. Tunnelin perustamiseksi on tapahduttava peräkkäin kolme asiaa:

IPsec SA-neuvottelu IKE:n kautta UDP-portissa 500. Molemmat päät todentavat (esijaettu avain tai varmenne) ja sopivat salausparametreista.
L2TP tunnel neuvottelee IPsec-kanavan sisällä UDP-portissa 1701.

Jokainen datapaketti kääritään sitten kahdesti: alkuperäinen IPec-kehys, josta tulee tavallinen IPec-paketti, josta tulee tavallinen ESP-kehys. paketti. Tämä kerrostettu yleiskustannukset ovat L2TP/IPsecin hitauden maineen juuret – käyttäjätietojen tavua kohden on enemmän otsikoita kuin missään muussa yleisesti käytössä olevassa VPN-protokollassa.

Historia, joka selittää suosion

L2TP oli poliittisesti ohjatun suunnittelun yhdistämisen tulos. Cisco oli kehittänyt L2F:n (Layer 2 Forwarding) ja Microsoft oli kehittänyt PPTP:n. Molemmilla protokollilla oli markkinoiden vetovoima, mutta ne eivät olleet yhteensopivia. IETF yhdisti nämä kaksi vaatimusta L2TP:ksi kasvoja säästävänä kompromissina. Microsoft ja Cisco ovat molemmat toimittaneet alkuperäisen L2TP-tuen palvelinkäyttöjärjestelmiensä pian sen jälkeen, mikä tarkoitti, että L2TP oli vuosikymmenen ajan vähiten vastustuskykyinen tapa perustaa VPN, joka toimi Windowsissa, macOS:ssä ja useimmissa yritysreitittimissä ilman kolmannen osapuolen ohjelmistoja. vain PPP, mutta myös Ethernet-, Frame Relay- ja ATM-kehykset. Tämä teki L2TPv3:sta hyödyllisen palveluntarjoajien pseudowire-asetuksissa, mutta sillä oli vain vähän vaikutusta kuluttaja-VPN-puolelle.

Miksi L2TP/IPsec on huono 2026

Slow

Kaksoissyömiskaistan kapseloinnissa. 1 Gbps:n linkillä L2TP/IPsec tuottaa tyypillisesti 80–200 Mbps. WireGuard tarjoaa 800+ Mbps ja IKEv2/IPsec (ilman L2TP-kerrosta) 600–800 Mbps samalla laitteistolla. Ei ole mahdollista, että L2TP:n lisääminen IPsecin päälle nopeuttaisi yhteyttä. Vain

UDP ja helposti estettävä

L2TP/IPsec käyttää UDP-portteja 500, 4500 ja 1701. Monet yritysten palomuurit ja rajoittavat verkot estävät kaikki kolme. L2TP/IPsecia ei voi millään naamioida HTTPS:ksi tavalla, jolla OpenVPN-TCP/443 voi.

NSA-vuodon huolenaihe

Vuoden 2013 Snowden-ilmoitukset viittaavat siihen, että NSA voisi rikkoa joitakin IPsec-määrityksiä, erityisesti vanhempia ryhmiä käyttämällä pieniä Diffie-demode-HvKEellman-ryhmiä. esijaetut avaimet. L2TP/IPsec-asennukset ovat usein pahimpia rikkojia tässä, koska kokoonpanot ovat peräisin vuosilta 1999–2005, jolloin salausstandardit olivat heikompia.

Ennalta jaetun avaimen riski

Useimmat L2TP/IPsec-kuluttajakäyttöönottajat käyttävät yhtä esijaettua IP-avainkerrosta. Jos tämä avain vuotaa tai on huonosti valittu, koko tunneli on offline-tilassa rikottavissa. Nykyaikaiset VPN-protokollat käyttävät sen sijaan istuntokohtaista varmennepohjaista tai lyhytaikaista avainten vaihtoa.

L2TP/IPsec vs. IKEv2/IPsec

Tämä on vertailu, jolla on itse asiassa merkitystä. IKEv2/IPsec käyttää samaa taustalla olevaa IPsec-salausta, mutta suorittaa tunnelineuvottelut suoraan ilman L2TP-kerrosta välissä. Tulos:

Ei kaksinkertaista kapselointia – huomattavasti nopeampi.
MOBIKE-tuki – saumaton kanavanvaihto Wi-Fin ja matkapuhelinverkon välillä ilman, että tunneli putoaa.PLZ
Yleisesti tuettu nykyaikaisissa käyttöjärjestelmissä (Windows 7+, kaikki macOS, kaikki iOS, Android 12+, Linux strongSwan).

Ijos sinulla on samat valinnat VPN/ec-palvelimen/VP2TPIP:n välillä. (useimmat nykyaikaiset palvelimet tarjoavat molemmat), valitse IKEv2 joka kerta.

L2TP vs WireGuard

WireGuard on nopeampi, pienempi, nykyaikaisempi, sillä on muodollinen suojaustodistus ja se käyttää oletuksena parempaa salausta. Kuluttaja-VPN-käytössä vuonna 2026 ei ole skenaariota, jossa L2TP/IPsec päihittää WireGuardin.

L2TP vs. OpenVPN

OpenVPN on joustavampi, voi piiloutua HTTPS:ksi TCP/443:ssa, sillä on paljon laajempi valvontahistoria. Ainoa asia, joka L2TP:llä on OpenVPN:n yläpuolella, on natiivi käyttöjärjestelmäintegraatio – mutta kaikki nykyaikaiset käyttöjärjestelmät toimittavat nyt myös IKEv2/IPsec:n natiivina, joten tämä etu on kiistaton.

Kun saatat silti kohdata L2TP/IPsec

XPLZcy1 suurten yritysten kanssa VPN:n kanssa. 2010 aikakauden VPN-keskitin, jota kukaan ei ole siirtänyt. Käytä sitä tarvittaessa, pyydä IKEv2/IPsec IT.
Palveluntarjoajan pseudowires — L2TPv3 kuljettaa ei-IP-liikennettä ISP-reitittimien välillä. Runkokäyttö, ei kuluttajakäyttö.
Tietyt sulautetut reitittimen laiteohjelmistot, jotka puhuvat vain L2TP:tä. Vaihda laiteohjelmisto (DD-WRT, OpenWrt), jos mahdollista.
VPN-protokollan kytkin palveluntarjoajasi sovelluksessa näyttää L2TP:n valinnaisena. Valitse mitä tahansa muuta.

Tuomio

L2TP/IPsec on protokolla, joka oli oikea vastaus vuonna 2005 ja väärä vastaus vuonna 2026. Lähes jokainen kaupallinen VPN-palveluntarjoaja, joka edelleen listaa sen, tekee niin täydellisyyden vuoksi, ei siksi, että kenenkään pitäisi valita se. Jos kokoonpano tukee vain L2TP/IPsec-yhteyttä, kokoonpano on tarpeeksi vanha ansaitakseen vaihtamisen.

IJos määrität aktiivisesti tunnelia tänään, järkevät valinnat ovat WireGuard nopeuden lisäämiseksi, IKEv2/IPsec mobiilin käytön helpottamiseksi tai OpenVPN rajoittavia verkkoja varten. Suorita -vuototesti VPN-muutoksen jälkeen varmistaaksesi, että tunneli tekee tehtävänsä.

Usein kysytyt kysymykset

Onko L2TP turvallinen?: L2TP itsessään tarjoaa nollan salauksen. L2TP/IPsec – tyypillinen yhdistetty muoto – on turvallinen, kun se on määritetty nykyaikaisilla IPsec-parametreilla (AES-GCM, suuret Diffie-Hellman-ryhmät tai ECDH, varmenteen todennus). Ongelmana on, että useimmat L2TP/IPsec-asennukset ovat peräisin vuosilta 1999–2005 ja käyttävät heikompia oletusasetuksia. Jos sinun on käytettävä L2TP/IPseciä, varmista, että IPsec-kokoonpano on nykyaikainen.
Onko L2TP/IPsec sama kuin IKEv2/IPsec?: Ei. Molemmat käyttävät IPsecia salaukseen, mutta L2TP/IPsec lisää L2TP-tunnelointikerroksen päälle, mikä lisää ylimääräistä ja monimutkaista ilman hyötyä. IKEv2/IPsec suorittaa tunnelineuvottelut suoraan. Samassa VPN-palvelimessa IKEv2 on nopeampi, tukee MOBIKEa saumattomaan mobiiliverkkovierailuun ja siinä on parempi NAT-Traversal.
Miksi L2TP/IPsecillä on niin monta porttia?: Mukana kolme porttia: UDP 500 (IKE IPsec-neuvottelua varten), UDP 4500 (IPsec NAT-Traversal, kun NAT havaitaan) ja UDP 1701 (L2TP-tunneli IPsecin sisällä). Rajoittavat palomuurit estävät usein yhden tai useamman näistä, minkä vuoksi L2TP/IPsec on epäluotettava yritys- ja matkaverkoissa verrattuna OpenVPN-TCP/443:een.
Katkaisiko NSA L2TP/IPsec:n?: Vuoden 2013 Snowden-asiakirjat ehdottivat, että NSA voisi vaarantaa joitakin IPsec-kokoonpanoja. Haavoittuvat kokoonpanot käyttivät tyypillisesti pieniä Diffie-Hellman-ryhmiä (1024-bittinen Group 2) tai aggressiivisen tilan IKEv1:tä ennalta jaetuilla avaimilla – täsmälleen samanlaisia vanhoja kokoonpanoja, jotka olivat yleisiä aikakauden L2TP/IPsec-asetuksissa. Nykyaikaisen IPsecin, jossa on suuret DH-ryhmät, ECDH ja varmennetodennus, ei uskota olleen rikki.
Pitäisikö minun käyttää L2TP/IPseciä tänään?: Vain jos sinulla ei ole muuta vaihtoehtoa. WireGuard on nopeampi ja nykyaikaisempi. IKEv2/IPsec tarjoaa sinulle saman IPsec-salauksen ilman L2TP-ylikustannuksia. OpenVPN-TCP/443 on joustavampi vihamielisille verkoille. L2TP/IPsec on pohjimmiltaan vanha yhteensopivuus – hyödyllinen, jos muodostat yhteyden vanhaan yrityksen VPN:ään, joka tukee vain sitä, ei koskaan oikea valinta uudelle käyttöönotolle.