L2TP और L2TP/IPsec: लीगेसी वीपीएन प्रोटोकॉल जिसका आपको लगभग कभी भी उपयोग नहीं करना चाहिए

वास्तव में L2TP क्या है

लेयर 2 टनलिंग प्रोटोकॉल - RFC 2661, अगस्त 1999 में प्रकाशित - एक टनलिंग प्रोटोकॉल है। यह यूडीपी पैकेट के अंदर प्वाइंट-टू-प्वाइंट प्रोटोकॉल (पीपीपी) फ्रेम रखता है। अपने आप में इसमें पर कोई एन्क्रिप्शन नहीं है। L2TP सुरंग में डेटा क्लियरटेक्स्ट में यात्रा करता है; आपके डिवाइस और L2TP एंडपॉइंट के बीच एक पर्यवेक्षक सब कुछ देखता है।

यही कारण है कि आप लगभग कभी भी नंगे L2TP नहीं देखते हैं। व्यवहार में इसे हमेशा IPsec के साथ जोड़ा जाता है, जो वास्तविक एन्क्रिप्शन प्रदान करता है। उस संयोजन को आमतौर पर OS कॉन्फ़िगरेशन मेनू में "L2TP/IPsec" या कभी-कभी केवल "L2TP" कहा जाता है।

L2TP/IPsec कैसे काम करता है

L2TP/IPsec डबल-एनकैप्सुलेटेड है। सुरंग स्थापित करने के लिए, तीन चीजें क्रम में होनी चाहिए:

1. IPsec SA बातचीत IKE के माध्यम से UDP पोर्ट 500 पर। दोनों छोर प्रमाणित करते हैं (पूर्व-साझा कुंजी या प्रमाणपत्र) और एन्क्रिप्शन मापदंडों पर सहमत होते हैं। 50.
2. L2TP सुरंग UDP पोर्ट 1701 पर IPsec चैनल के अंदर बातचीत करता है। वह स्तरित ओवरहेड L2TP/IPsec की धीमी प्रतिष्ठा का मूल है - किसी भी अन्य सामान्य रूप से तैनात वीपीएन प्रोटोकॉल की तुलना में उपयोगकर्ता डेटा के प्रति बाइट में अधिक हेडर ब्लोट है।

   इतिहास जो लोकप्रियता की व्याख्या करता है सिस्को ने L2F (लेयर 2 फ़ॉरवर्डिंग) विकसित किया था और Microsoft ने PPTP विकसित किया था। दोनों प्रोटोकॉल में बाज़ार की पकड़ थी लेकिन वे असंगत थे। IETF ने फेस-सेविंग समझौते के रूप में दो आवश्यकताओं को L2TP में एकीकृत किया। माइक्रोसॉफ्ट और सिस्को दोनों ने कुछ ही समय बाद अपने सर्वर OSes में देशी L2TP समर्थन भेज दिया, जिसका मतलब था कि एक दशक तक L2TP एक वीपीएन स्थापित करने का सबसे कम-प्रतिरोध वाला तरीका था जो विंडोज, मैकओएस और तीसरे पक्ष के सॉफ़्टवेयर के बिना अधिकांश एंटरप्राइज़ राउटर पर काम करता था। और एटीएम फ्रेम। इसने L2TPv3 को सेवा-प्रदाता छद्मवायर परिनियोजन के लिए उपयोगी बना दिया, लेकिन उपभोक्ता-वीपीएन पक्ष पर इसका बहुत कम प्रभाव पड़ा।

   2026 में L2TP/IPsec खराब क्यों है? 1 जीबीपीएस लिंक पर, L2TP/IPsec आमतौर पर 80-200 एमबीपीएस वितरित करता है। वायरगार्ड 800+ एमबीपीएस डिलीवर करता है और IKEv2/IPsec (L2TP लेयर के बिना) समान हार्डवेयर पर 600-800 एमबीपीएस डिलीवर करता है। ऐसा कोई परिदृश्य नहीं है जहां IPsec के शीर्ष पर L2TP जोड़ने से कनेक्शन तेज़ हो जाता है।

   UDP-केवल और आसानी से ब्लॉक किया जा सकता है L2TP/IPsec को HTTPS के रूप में छिपाने का कोई तरीका नहीं है जिस तरह OpenVPN-TCP/443 कर सकता है। यहां L2TP/IPsec परिनियोजन अक्सर सबसे खराब अपराधी होते हैं क्योंकि कॉन्फ़िगरेशन 1999-2005 के युग से आते हैं जब क्रिप्टोग्राफ़िक मानक कमजोर थे। यदि वह कुंजी लीक हो जाती है या खराब तरीके से चुनी जाती है, तो पूरी सुरंग ऑफ़लाइन-टूटने योग्य होती है। आधुनिक वीपीएन प्रोटोकॉल इसके बजाय प्रति-सत्र प्रमाणपत्र-आधारित या अल्पकालिक कुंजी विनिमय का उपयोग करते हैं।

   L2TP/IPsec बनाम IKEv2/IPsec

   यह तुलना वास्तव में मायने रखती है। IKEv2/IPsec समान अंतर्निहित IPsec एन्क्रिप्शन का उपयोग करता है, लेकिन बीच में L2TP परत के बिना, सीधे सुरंग वार्ता करता है। परिणाम:

   • कोई डबल इनकैप्सुलेशन ओवरहेड नहीं - काफी तेज। प्रोटोकॉल में। समय.

     L2TP बनाम वायरगार्ड

     WireGuard तेज़, छोटा, अधिक आधुनिक है, इसमें औपचारिक सुरक्षा प्रमाण है, और डिफ़ॉल्ट रूप से बेहतर क्रिप्टोग्राफी का उपयोग करता है। 2026 में उपभोक्ता वीपीएन उपयोग के लिए, ऐसा कोई परिदृश्य नहीं है जहां L2TP/IPsec वायरगार्ड को मात दे। OpenVPN की तुलना में L2TP की एकमात्र चीज़ मूल OS एकीकरण है - लेकिन प्रत्येक आधुनिक OS अब IKEv2/IPsec को मूल रूप से भी शिप करता है, इसलिए यह लाभ शून्य है। यदि आवश्यक हो तो इसका उपयोग करें, IT.

   • सेवा-प्रदाता छद्मवायर से IKEv2/IPsec का अनुरोध करें - L2TPv3 ISP राउटर के बीच गैर-आईपी ट्रैफ़िक ले जाता है। बैकबोन उपयोग, उपभोक्ता उपयोग नहीं।
   • विशिष्ट एम्बेडेड राउटर फ़र्मवेयर जो केवल L2TP बोलते हैं। यदि संभव हो तो फर्मवेयर (DD-WRT, OpenWrt) बदलें। आपके प्रदाता के ऐप में
   • VPN-प्रोटोकॉल टॉगल करें एक विकल्प के रूप में L2TP दिखा रहा है। कुछ और चुनें। यदि कोई कॉन्फ़िगरेशन केवल L2TP/IPsec का समर्थन करता है, तो कॉन्फ़िगरेशन बदलने योग्य पर्याप्त पुराना है। यह सत्यापित करने के लिए कि सुरंग अपना काम कर रही है, किसी भी वीपीएन परिवर्तन के बाद हमारा लीक टेस्ट चलाएं।