Sam L2TP pruža nultu enkripciju. L2TP/IPsec — tipični kombinirani oblik — siguran je kada je konfiguriran s modernim IPsec parametrima (AES-GCM, velike Diffie-Hellman grupe ili ECDH, provjera autentičnosti certifikata). Problem je što većina L2TP/IPsec implementacija dolazi iz razdoblja 1999-2005 i koristi slabije zadane postavke. Ako morate koristiti L2TP/IPsec, provjerite je li IPsec konfiguracija moderna.

Je li L2TP/IPsec isto što i IKEv2/IPsec?

Ne. Oba koriste IPsec za enkripciju, ali L2TP/IPsec dodaje sloj L2TP tuneliranja na vrh, što povećava troškove i složenost bez ikakve koristi. IKEv2/IPsec izravno pregovara o tunelu. Na istom VPN poslužitelju, IKEv2 je brži, podržava MOBIKE za besprijekoran mobilni roaming i ima bolji NAT-Traversal.

Zašto L2TP/IPsec ima toliko portova?

Uključena su tri priključka: UDP 500 (IKE za IPsec pregovaranje), UDP 4500 (IPsec NAT-Traversal kada se otkrije NAT) i UDP 1701 (L2TP tunel unutar IPsec-a). Restriktivni vatrozidi često blokiraju jedan ili više njih, zbog čega je L2TP/IPsec nepouzdan na mrežama poduzeća i putovanja u usporedbi s OpenVPN-TCP/443.

Je li NSA razbio L2TP/IPsec?

Snowdenovi dokumenti iz 2013. sugeriraju da bi NSA mogla ugroziti neke IPsec konfiguracije. Ranjive konfiguracije obično su koristile male Diffie-Hellman grupe (1024-bitna Grupa 2) ili IKEv1 u agresivnom načinu rada s unaprijed podijeljenim ključevima — upravo one vrste naslijeđenih konfiguracija uobičajenih u L2TP/IPsec implementacijama iz tog doba. Vjeruje se da moderni IPsec s velikim DH grupama, ECDH i autentifikacijom certifikata nije provaljen.

Trebam li danas koristiti L2TP/IPsec?

Samo ako nemate drugog izbora. WireGuard je brži i moderniji. IKEv2/IPsec daje vam istu IPsec enkripciju bez L2TP opterećenja. OpenVPN-TCP/443 je fleksibilniji za neprijateljske mreže. L2TP/IPsec je u biti naslijeđena kompatibilnost — korisno ako se povezujete na stari korporativni VPN koji samo to podržava, nikad nije pravi izbor za novu implementaciju.

Objašnjenje L2TP i L2TP/IPsec: naslijeđeni VPN protokol koji gotovo nikada ne biste trebali koristiti

L2TP je protokol za tuneliranje iz 1999. koji je gotovo uvijek uparen s IPsec-om za šifriranje. Nekada je to bila zadana "izvorna" VPN opcija u starijim operativnim sustavima. U 2026. gotovo svaki drugi moderni protokol je striktno bolji izbor — ali L2TP/IPsec i dalje postoji u konfiguracijskim izbornicima i starim korporativnim VPN-ovima, pa je vrijedno znati što je to točno i zašto ga ne biste trebali odabrati.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Što je zapravo L2TP

Layer 2 Tunneling Protocol — RFC 2661, objavljen u kolovozu 1999. — je tunelski protokol. Nosi okvire protokola od točke do točke (PPP) unutar UDP paketa. Sam po sebi nema enkripciju uopće . Podaci u L2TP tunelu putuju u čistom tekstu; promatrač između vašeg uređaja i L2TP krajnje točke vidi sve.

To je razlog zašto gotovo nikada ne vidite goli L2TP. U praksi je uvijek uparen s IPsec-om, koji osigurava stvarnu enkripciju. Ta kombinacija je ono što se obično naziva "L2TP/IPsec" ili ponekad samo "L2TP" u konfiguracijskim izbornicima OS-a.

Kako L2TP/IPsec radi

L2TP/IPsec dvostruko je enkapsuliran. Za postavljanje tunela moraju se dogoditi tri stvari u nizu:

IPsec SA pregovori putem IKE na UDP portu 500. Oba kraja autentificiraju se (unaprijed podijeljeni ključ ili certifikat) i slažu se oko parametara enkripcije.
IPsec ESP način prijenosa uspostavlja šifrirani kanal pomoću protokola broj 50.
L2TP tunel pregovara unutar IPsec kanala na UDP priključku 1701.

Svaki paket podataka zatim se omotava dvaput: originalni korisni teret postaje L2TP okvir, koji postaje IPsec ESP paket, koji postaje običan IP paket. To slojevito opterećenje korijen je reputacije L2TP/IPsec-a kao sporog — ima više zaglavlja po bajtu korisničkih podataka od bilo kojeg drugog uobičajeno raspoređenog VPN protokola.

Povijest koja objašnjava popularnost

L2TP bio je proizvod politički vođenog inženjerskog spajanja. Cisco je razvio L2F (Layer 2 Forwarding), a Microsoft je razvio PPTP. Oba protokola imala su tržišnu privlačnost, ali su bila nekompatibilna. IETF je objedinio dva zahtjeva u L2TP kao kompromis za očuvanje obraza. Microsoft i Cisco su ubrzo nakon toga isporučili nativnu L2TP podršku u svoje operacijske sustave poslužitelja, što je desetljećima značilo da je L2TP bio put najmanjeg otpora za postavljanje VPN-a koji je radio na Windowsima, macOS-u i većini poslovnih usmjerivača bez softvera trećih strana.

L2TPv3 (RFC 3931, ožujak 2005.) proširio je protokol za prijenos ne samo PPP ali i Ethernet, Frame Relay i ATM okviri. To je učinilo L2TPv3 korisnim za pseudožične implementacije pružatelja usluga, ali je imao mali utjecaj na stranu potrošača-VPN.

Zašto je L2TP/IPsec loš u 2026

Sporo

Dvostruka enkapsulacija gubi propusnost. Na vezi od 1 Gbps, L2TP/IPsec obično isporučuje 80–200 Mbps. WireGuard isporučuje 800+ Mbps, a IKEv2/IPsec (bez L2TP sloja) isporučuje 600–800 Mbps na istom hardveru. Nema scenarija u kojem dodavanje L2TP-a povrh IPsec-a čini vezu bržom. Samo za

UDP i lako se blokira

L2TP/IPsec koristi UDP priključke 500, 4500 i 1701. Mnogi korporativni vatrozidi i restriktivne mreže blokiraju sva tri. Ne postoji način da se L2TP/IPsec preruši u HTTPS na način na koji OpenVPN-TCP/443 može.

NSA zabrinutost zbog curenja

Snowdenova otkrića iz 2013. sugeriraju da bi NSA mogla razbiti neke IPsec konfiguracije, osobito one starije pomoću malih Diffie-Hellman grupa ili IKEv1 u agresivnom načinu rada s unaprijed podijeljeni ključevi. L2TP/IPsec implementacije često su najgori prijestupnici ovdje jer konfiguracije potječu iz razdoblja 1999-2005 kada su kriptografski standardi bili slabiji.

Rizik unaprijed dijeljenog ključa

Većina L2TP/IPsec potrošačkih implementacija koristi jedan unaprijed dijeljeni ključ za IPsec sloj. Ako taj ključ procuri ili je loše odabran, cijeli tunel se može probiti izvan mreže. Moderni VPN protokoli umjesto toga koriste razmjenu ključeva temeljenu na certifikatu po sesiji ili efemernu razmjenu ključeva.

L2TP/IPsec vs IKEv2/IPsec

Ovo je usporedba koja je zapravo važna. IKEv2/IPsec koristi istu temeljnu IPsec enkripciju, ali izravno pregovara o tunelu, bez L2TP sloja između. Rezultat:

Bez troškova dvostruke enkapsulacije — znatno brže.
MOBIKE podrška — besprijekoran prijenos između Wi-Fi i mobilne mreže bez prekidanja tunela.
Bolje NAT-Traversal ugrađen u protokol.
Univerzalno podržan na modernim operativnim sustavima (Windows 7+, svi macOS, svi iOS, Android 12+, Linux strongSwan).

IAko imate izbor između L2TP/IPsec i IKEv2/IPsec na istom VPN poslužitelju (većina modernih poslužitelja nudi oboje), odaberite IKEv2 svaki put.

L2TP naspram WireGuard

WireGuard je brži, manji, moderniji, ima službeni sigurnosni dokaz i prema zadanim postavkama koristi bolju kriptografiju. Za potrošačku upotrebu VPN-a u 2026. ne postoji scenarij u kojem L2TP/IPsec pobjeđuje WireGuard.

L2TP u odnosu na OpenVPN

OpenVPN je fleksibilniji, može se sakriti kao HTTPS na TCP/443, ima puno širu povijest revizije i radi na više uređaja. Jedina stvar koju L2TP ima u odnosu na OpenVPN je izvorna integracija OS-a — ali svaki moderni OS sada također isporučuje izvorno IKEv2/IPsec, tako da je ta prednost sporna.

Kada se još možete susresti s L2TP/IPsec

Naslijeđeni korporativni VPN-ovi — velike tvrtke s erom iz 2010. VPN koncentrator koji nitko nije migrirao. Koristite ga ako morate, zatražite IKEv2/IPsec od IT.
Service-provider pseudowires — L2TPv3 prenosi ne-IP promet između ISP usmjerivača. Korištenje okosnice, a ne potrošačko korištenje.
Specifični ugrađeni firmware usmjerivača koji govori samo L2TP. Zamijenite firmver (DD-WRT, OpenWrt) ako je moguće.
VPN-protokol prebacivanje u aplikaciji vašeg pružatelja usluga prikazuje L2TP kao opciju. Odaberite bilo što drugo.

Presuda

L2TP/IPsec je protokol koji je bio pravi odgovor 2005. i pogrešan odgovor 2026. Gotovo svaki komercijalni pružatelj VPN usluga koji ga još uvijek navodi čini to radi potpunosti, a ne zato što bi ga itko trebao odabrati. Ako konfiguracija podržava samo L2TP/IPsec, konfiguracija je dovoljno stara da zaslužuje zamjenu.

IAko danas aktivno konfigurirate tunel, vaš razuman izbor je WireGuard za brzinu, IKEv2/IPsec za mobilnu jednostavnost ili OpenVPN za restriktivne mreže. Pokrenite naš test curenja nakon bilo kakve promjene VPN-a da provjerite radi li tunel svoj posao.

Često postavljana pitanja

Je li L2TP siguran?: Sam L2TP pruža nultu enkripciju. L2TP/IPsec — tipični kombinirani oblik — siguran je kada je konfiguriran s modernim IPsec parametrima (AES-GCM, velike Diffie-Hellman grupe ili ECDH, provjera autentičnosti certifikata). Problem je što većina L2TP/IPsec implementacija dolazi iz razdoblja 1999-2005 i koristi slabije zadane postavke. Ako morate koristiti L2TP/IPsec, provjerite je li IPsec konfiguracija moderna.
Je li L2TP/IPsec isto što i IKEv2/IPsec?: Ne. Oba koriste IPsec za enkripciju, ali L2TP/IPsec dodaje sloj L2TP tuneliranja na vrh, što povećava troškove i složenost bez ikakve koristi. IKEv2/IPsec izravno pregovara o tunelu. Na istom VPN poslužitelju, IKEv2 je brži, podržava MOBIKE za besprijekoran mobilni roaming i ima bolji NAT-Traversal.
Zašto L2TP/IPsec ima toliko portova?: Uključena su tri priključka: UDP 500 (IKE za IPsec pregovaranje), UDP 4500 (IPsec NAT-Traversal kada se otkrije NAT) i UDP 1701 (L2TP tunel unutar IPsec-a). Restriktivni vatrozidi često blokiraju jedan ili više njih, zbog čega je L2TP/IPsec nepouzdan na mrežama poduzeća i putovanja u usporedbi s OpenVPN-TCP/443.
Je li NSA razbio L2TP/IPsec?: Snowdenovi dokumenti iz 2013. sugeriraju da bi NSA mogla ugroziti neke IPsec konfiguracije. Ranjive konfiguracije obično su koristile male Diffie-Hellman grupe (1024-bitna Grupa 2) ili IKEv1 u agresivnom načinu rada s unaprijed podijeljenim ključevima — upravo one vrste naslijeđenih konfiguracija uobičajenih u L2TP/IPsec implementacijama iz tog doba. Vjeruje se da moderni IPsec s velikim DH grupama, ECDH i autentifikacijom certifikata nije provaljen.
Trebam li danas koristiti L2TP/IPsec?: Samo ako nemate drugog izbora. WireGuard je brži i moderniji. IKEv2/IPsec daje vam istu IPsec enkripciju bez L2TP opterećenja. OpenVPN-TCP/443 je fleksibilniji za neprijateljske mreže. L2TP/IPsec je u biti naslijeđena kompatibilnost — korisno ako se povezujete na stari korporativni VPN koji samo to podržava, nikad nije pravi izbor za novu implementaciju.