Biztonságos az L2TP?

Maga az L2TP nulla titkosítást biztosít. Az L2TP/IPsec – a tipikus kombinált forma – biztonságos, ha modern IPsec-paraméterekkel konfigurálják (AES-GCM, nagy Diffie-Hellman csoportok vagy ECDH, tanúsítványhitelesítés). A probléma az, hogy a legtöbb L2TP/IPsec telepítés egy 1999-2005 közötti időszakból származik, és gyengébb alapértelmezett értékeket használ. Ha L2TP/IPsec-et kell használnia, ellenőrizze, hogy az IPsec-konfiguráció modern-e.

Az L2TP/IPsec ugyanaz, mint az IKEv2/IPsec?

Nem. Mindkettő az IPsec-et használja a titkosításhoz, de az L2TP/IPsec hozzáadja az L2TP alagútréteget a tetejére, ami plusz többletterhelést és bonyolultságot jelent, és nem jár előnyökkel. Az IKEv2/IPsec közvetlenül végzi az alagút egyeztetést. Ugyanazon a VPN-kiszolgálón az IKEv2 gyorsabb, támogatja a MOBIKE-ot a zökkenőmentes mobil barangolás érdekében, és jobb NAT-átjárással rendelkezik.

Miért van az L2TP/IPsecnek annyi portja?

Három port érintett: UDP 500 (IKE az IPsec-egyeztetéshez), UDP 4500 (IPsec NAT-bejárás NAT észlelésekor) és UDP 1701 (az IPsec-en belüli L2TP alagút). A korlátozó tűzfalak gyakran blokkolnak ezek közül egyet vagy többet, ezért az L2TP/IPsec megbízhatatlan vállalati és utazási hálózatokon az OpenVPN-TCP/443-hoz képest.

Az NSA megszakította az L2TP/IPsec-et?

A 2013-as Snowden-dokumentumok azt sugallták, hogy az NSA kompromittálhat néhány IPsec-konfigurációt. A sérülékeny konfigurációk jellemzően kis Diffie-Hellman-csoportokat (az 1024 bites Group 2) vagy agresszív módú IKEv1-et használtak előre megosztott kulcsokkal – pontosan olyan típusú örökölt konfigurációk, amelyek a korszak L2TP/IPsec-telepítéseiben megszokottak voltak. A nagy DH csoportokkal, ECDH-val és tanúsítványhitelesítéssel rendelkező modern IPsec valószínűleg nem sérült.

Használjam az L2TP/IPsec-et ma?

Csak ha nincs más választásod. A WireGuard gyorsabb és modernebb. Az IKEv2/IPsec ugyanazt az IPsec-titkosítást biztosítja az L2TP többletterhelés nélkül. Az OpenVPN-TCP/443 rugalmasabb az ellenséges hálózatokhoz. Az L2TP/IPsec alapvetően örökölt kompatibilitás – akkor hasznos, ha egy régi vállalati VPN-hez csatlakozik, amely csak azt támogatja, és soha nem a megfelelő választás új telepítéshez.

Az L2TP és az L2TP/IPsec magyarázata: A régebbi VPN-protokoll, amelyet szinte soha nem szabad használnia

Az L2TP egy 1999-es alagútkezelési protokoll, amely szinte mindig az IPsec-cel van párosítva a titkosítás érdekében. A régebbi operációs rendszerekben ez volt az alapértelmezett "natív" VPN-beállítás. 2026-ban szinte minden más modern protokoll szigorúan jobb választás – de az L2TP/IPsec megmarad a konfigurációs menükben és a régi vállalati VPN-ekben, ezért érdemes pontosan tudni, hogy mi az, és miért ne ezt válassza.

A cikk teljes szövege alább olvasható angol nyelven.

Mi az L2TP valójában az

Layer 2 Tunneling Protocol – RFC 2661, amelyet 1999 augusztusában tettek közzé – egy alagútépítési protokoll. Point-to-Point Protocol (PPP) kereteket hordoz az UDP-csomagokon belül. Önmagában nincs titkosítása az összes-ben. Az L2TP alagútban lévő adatok tiszta szövegben haladnak; egy megfigyelő az eszköze és az L2TP végpont között mindent lát.

Ez az oka annak, hogy szinte soha nem lát csupasz L2TP-t. A gyakorlatban mindig az IPsec-cel van párosítva, amely biztosítja a tényleges titkosítást. Ezt a kombinációt általában „L2TP/IPsec”-nek vagy néha csak „L2TP”-nek hívják az operációs rendszer konfigurációs menüiben.

Az L2TP/IPsec működése

L2TP/IPsec kettős tokozású. Az alagút beállításához három dolognak kell sorrendben megtörténnie:

IPsec SA-egyeztetés az IKE-en keresztül az 500-as UDP-porton. Mindkét vég hitelesít (előre megosztott kulcs vagy tanúsítvány létrehozása), és megállapodik a titkosítási paraméterekben.
L2TP tunnel protokollszámú titkosított csatorna az IPsec csatornán belül tárgyal az 1701.

UDP-porton. Ezután minden adatcsomag kétszer csomagolódik: az eredeti IPsec-csomag lesz, amelyből egy L, IP2-TP csomag lesz csomagot. Ez a többrétegű többletköltség az L2TP/IPsec lassú hírnevének gyökere – a felhasználói adatok bájtjaként több fejléc felhalmozódik, mint bármely más általánosan alkalmazott VPN-protokollnál.

A történelem, amely megmagyarázza a népszerűséget

L2TP egy politikailag vezérelt mérnöki egyesülés eredménye. A Cisco az L2F-et (Layer 2 Forwarding), a Microsoft pedig a PPTP-t fejlesztette ki. Mindkét protokollnak volt piaci vontatása, de nem kompatibilisek. Az IETF a két követelményt L2TP-ben egyesítette arcmentő kompromisszumként. A Microsoft és a Cisco nem sokkal ezután natív L2TP-támogatást nyújtott a szerver operációs rendszeréhez, ami azt jelentette, hogy egy évtizedig az L2TP volt a legkevesebb ellenállású VPN létrehozásának módja, amely Windowson, macOS-en és a legtöbb vállalati útválasztón működött harmadik féltől származó szoftverek nélkül. csak PPP, hanem Ethernet, Frame Relay és ATM keretek is. Ez hasznossá tette az L2TPv3-at a szolgáltatói pszeudowire-telepítéseknél, de csekély hatással volt a fogyasztói VPN-oldalra.

Miért rossz az L2TP/IPsec a 2026

Slow

Double eat sávszélesség-beágyazásban. Egy 1 Gbps-os kapcsolaton az L2TP/IPsec általában 80–200 Mbps sebességet biztosít. A WireGuard 800+ Mbps, az IKEv2/IPsec (L2TP réteg nélkül) pedig 600–800 Mbps sebességet biztosít ugyanazon a hardveren. Nincs olyan helyzet, amikor az L2TP hozzáadása az IPsechez gyorsabbá tenné a kapcsolatot. Csak

UDP és könnyen blokkolható Az

L2TP/IPsec az 500-as, 4500-as és 1701-es UDP-portokat használja. Számos vállalati tűzfal és korlátozó hálózat blokkolja mindhárom hálózatot. Az L2TP/IPsec-et nem lehet HTTPS-nek álcázni, ahogy az OpenVPN-TCP/443 tudja.

NSA szivárgási aggodalmak

A 2013-as Snowden-nyilatkozatok azt sugallták, hogy az NSA feltörhet egyes IPsec-konfigurációkat, különösen a régebbieket kis Diffie-de-Iggressivellman-csoportok használatával. előre megosztott kulcsok. Az L2TP/IPsec-telepítések gyakran a legrosszabb jogsértők itt, mert a konfigurációk egy 1999–2005-ös korszakból származnak, amikor a kriptográfiai szabványok gyengébbek voltak.

Előre megosztott kulcs kockázata

A legtöbb L2TP/IPsec fogyasztói telepítés egyetlen előre megosztott IP-kulcsot használ. Ha ez a kulcs kiszivárog vagy rosszul van kiválasztva, az egész alagút offline feltörhető. A modern VPN-protokollok munkamenetenkénti tanúsítványalapú vagy átmeneti kulcscserét használnak helyette.

L2TP/IPsec vs IKEv2/IPsec

Ez az összehasonlítás, amely valójában számít. Az IKEv2/IPsec ugyanazt a mögöttes IPsec-titkosítást használja, de az alagút egyeztetést közvetlenül végzi, anélkül, hogy az L2TP réteg között lenne. Az eredmény:

Nincs dupla tokozás a fej felett. – lényegesen gyorsabb.
MOBIKE támogatás – zökkenőmentes átadás a Wi-Fi és a mobilhálózat között az alagút megszakítása nélkül.PLZ
Univerzálisan támogatott modern operációs rendszereken (Windows 7+, minden macOS, minden iOS, Android 12+, Linux strongSwan).

Iha ugyanaz a választás az I/KE szervereken2 VPN/2TPIPecIP2. (a legtöbb modern szerver mindkettőt kínálja), minden alkalommal válassza ki az IKEv2-t.

L2TP vs WireGuard

WireGuard gyorsabb, kisebb, modernebb, formális biztonsági igazolással rendelkezik, és alapértelmezés szerint jobb titkosítást használ. A 2026-os fogyasztói VPN-használat esetében nincs olyan forgatókönyv, amikor az L2TP/IPsec legyőzi a WireGuard.

L2TP vs OpenVPN

OpenVPN rugalmasabb, HTTPS-ként elrejthető a TCP/443-on, és sokkal szélesebb körű ellenőrzési előzményekkel rendelkezik az eszközökön. Az egyetlen dolog, amivel az L2TP rendelkezik az OpenVPN-nel szemben, az a natív operációs rendszer integrációja – de ma már minden modern operációs rendszer natívan szállítja az IKEv2/IPsec-et is, így ez az előny vitathatatlan.

Ha még mindig találkozhat az L2TP/IPsec

XPLZcy1 vállalati VPN-ekkel6 nagyvállalati VPN-ekkel. A 2010-es korszak VPN-koncentrátora, amelyet senki sem költöztetett át. Használja, ha szükséges, kérje az IKEv2/IPsec-et az IT-től.
Szolgáltatói pseudowires – Az L2TPv3 nem IP-alapú forgalmat folytat az internetszolgáltatók útválasztói között. Gerinchálózati használat, nem fogyasztói használat.
Speciális beágyazott útválasztó firmware-ek, amelyek csak L2TP-t beszélnek. Cserélje ki a firmware-t (DD-WRT, OpenWrt), ha lehetséges.
VPN-protokoll kapcsoló a szolgáltató alkalmazásában, amely opcióként az L2TP-t mutatja. Válasszon bármi mást.

Az ítélet

L2TP/IPsec az a protokoll, amely 2005-ben a helyes válasz volt, 2026-ban pedig a rossz válasz. Szinte minden kereskedelmi VPN-szolgáltató, amely még mindig listázza, a teljesség kedvéért teszi ezt, nem azért, mert bárkinek ezt kellene választania. Ha egy konfiguráció csak az L2TP/IPsec-et támogatja, akkor a konfiguráció már elég régi ahhoz, hogy lecseréljük.

IHa ma aktívan konfigurál egy alagutat, akkor a WireGuard a sebesség, az IKEv2/IPsec a mobil natív egyszerűség érdekében vagy az OpenVPN a korlátozó hálózatok közül választhat. Bármilyen VPN-módosítás után futtassa az szivárgástesztet, hogy ellenőrizze, hogy az alagút végzi-e a feladatát.

Gyakran ismételt kérdések

Biztonságos az L2TP?: Maga az L2TP nulla titkosítást biztosít. Az L2TP/IPsec – a tipikus kombinált forma – biztonságos, ha modern IPsec-paraméterekkel konfigurálják (AES-GCM, nagy Diffie-Hellman csoportok vagy ECDH, tanúsítványhitelesítés). A probléma az, hogy a legtöbb L2TP/IPsec telepítés egy 1999-2005 közötti időszakból származik, és gyengébb alapértelmezett értékeket használ. Ha L2TP/IPsec-et kell használnia, ellenőrizze, hogy az IPsec-konfiguráció modern-e.
Az L2TP/IPsec ugyanaz, mint az IKEv2/IPsec?: Nem. Mindkettő az IPsec-et használja a titkosításhoz, de az L2TP/IPsec hozzáadja az L2TP alagútréteget a tetejére, ami plusz többletterhelést és bonyolultságot jelent, és nem jár előnyökkel. Az IKEv2/IPsec közvetlenül végzi az alagút egyeztetést. Ugyanazon a VPN-kiszolgálón az IKEv2 gyorsabb, támogatja a MOBIKE-ot a zökkenőmentes mobil barangolás érdekében, és jobb NAT-átjárással rendelkezik.
Miért van az L2TP/IPsecnek annyi portja?: Három port érintett: UDP 500 (IKE az IPsec-egyeztetéshez), UDP 4500 (IPsec NAT-bejárás NAT észlelésekor) és UDP 1701 (az IPsec-en belüli L2TP alagút). A korlátozó tűzfalak gyakran blokkolnak ezek közül egyet vagy többet, ezért az L2TP/IPsec megbízhatatlan vállalati és utazási hálózatokon az OpenVPN-TCP/443-hoz képest.
Az NSA megszakította az L2TP/IPsec-et?: A 2013-as Snowden-dokumentumok azt sugallták, hogy az NSA kompromittálhat néhány IPsec-konfigurációt. A sérülékeny konfigurációk jellemzően kis Diffie-Hellman-csoportokat (az 1024 bites Group 2) vagy agresszív módú IKEv1-et használtak előre megosztott kulcsokkal – pontosan olyan típusú örökölt konfigurációk, amelyek a korszak L2TP/IPsec-telepítéseiben megszokottak voltak. A nagy DH csoportokkal, ECDH-val és tanúsítványhitelesítéssel rendelkező modern IPsec valószínűleg nem sérült.
Használjam az L2TP/IPsec-et ma?: Csak ha nincs más választásod. A WireGuard gyorsabb és modernebb. Az IKEv2/IPsec ugyanazt az IPsec-titkosítást biztosítja az L2TP többletterhelés nélkül. Az OpenVPN-TCP/443 rugalmasabb az ellenséges hálózatokhoz. Az L2TP/IPsec alapvetően örökölt kompatibilitás – akkor hasznos, ha egy régi vállalati VPN-hez csatlakozik, amely csak azt támogatja, és soha nem a megfelelő választás új telepítéshez.