L2TP sendiri menyediakan penyulitan sifar. L2TP/IPsec — bentuk gabungan biasa — selamat apabila dikonfigurasikan dengan parameter IPsec moden (AES-GCM, kumpulan Diffie-Hellman yang besar atau ECDH, pengesahan sijil). Masalahnya ialah kebanyakan penggunaan L2TP/IPsec datang dari era 1999-2005 dan menggunakan lalai yang lebih lemah. Jika anda mesti menggunakan L2TP/IPsec, sahkan konfigurasi IPsec adalah moden.

Adakah L2TP/IPsec sama dengan IKEv2/IPsec?

Tidak. Kedua-duanya menggunakan IPsec untuk penyulitan, tetapi L2TP/IPsec menambah lapisan terowong L2TP di atas, yang menambah overhed dan kerumitan tanpa faedah. IKEv2/IPsec melakukan rundingan terowong secara langsung. Pada pelayan VPN yang sama, IKEv2 lebih pantas, menyokong MOBIKE untuk perayauan mudah alih yang lancar dan mempunyai NAT-Traversal yang lebih baik.

Mengapa L2TP/IPsec mempunyai begitu banyak port?

Tiga pelabuhan yang terlibat: UDP 500 (IKE untuk rundingan IPsec), UDP 4500 (IPsec NAT-Traversal apabila NAT dikesan) dan UDP 1701 (terowong L2TP di dalam IPsec). Tembok api yang terhad sering menyekat satu atau lebih daripada ini, itulah sebabnya L2TP/IPsec tidak boleh dipercayai pada rangkaian perusahaan dan perjalanan berbanding OpenVPN-TCP/443.

Adakah NSA memecahkan L2TP/IPsec?

Dokumen Snowden 2013 mencadangkan NSA boleh menjejaskan beberapa konfigurasi IPsec. Konfigurasi yang terdedah biasanya menggunakan kumpulan kecil Diffie-Hellman (Kumpulan 1024-bit 2) atau IKEv1 mod agresif dengan kunci pra-kongsi — betul-betul jenis konfigurasi warisan yang biasa dalam penggunaan L2TP/IPsec dari era itu. IPsec moden dengan kumpulan DH yang besar, ECDH, dan pengesahan sijil tidak dipercayai telah dipecahkan.

Patutkah saya menggunakan L2TP/IPsec hari ini?

Hanya jika anda tidak mempunyai pilihan lain. WireGuard lebih pantas dan lebih moden. IKEv2/IPsec memberi anda penyulitan IPsec yang sama tanpa overhed L2TP. OpenVPN-TCP/443 lebih fleksibel untuk rangkaian bermusuhan. L2TP/IPsec pada asasnya ialah keserasian warisan — berguna jika anda menyambung ke VPN korporat lama yang hanya menyokongnya, bukan pilihan yang tepat untuk penggunaan baharu.

L2TP dan L2TP/IPsec Dijelaskan: Protokol VPN Warisan Yang Anda Hampir Jangan Gunakan

L2TP ialah protokol terowong 1999 yang hampir selalu dipasangkan dengan IPsec untuk penyulitan. Ia pernah menjadi pilihan VPN "asli" lalai dalam sistem pengendalian yang lebih lama. Pada tahun 2026, hampir mana-mana protokol moden yang lain adalah pilihan yang lebih baik — tetapi L2TP/IPsec kekal dalam menu konfigurasi dan VPN korporat lama, jadi ia patut mengetahui dengan tepat apa itu dan mengapa anda tidak perlu memilihnya.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Apa L2TP sebenarnya adalah

Layer 2 Tunneling Protocol — RFC 2661, diterbitkan pada Ogos 1999 — ialah protokol terowong. Ia membawa bingkai Point-to-Point Protocol (PPP) di dalam paket UDP. Dengan sendirinya ia mempunyai penyulitan no di all. Data dalam terowong L2TP bergerak dalam teks jelas; pemerhati antara peranti anda dan titik akhir L2TP melihat segala-galanya.

Inilah sebabnya anda hampir tidak pernah melihat L2TP kosong. Dalam amalan ia sentiasa dipasangkan dengan IPsec, yang menyediakan penyulitan sebenar. Gabungan itu ialah apa yang biasa dipanggil "L2TP/IPsec" atau kadangkala hanya "L2TP" dalam menu konfigurasi OS.

Cara L2TP/IPsec berfungsi

L2TP/IPsec dikapsulkan dua kali. Untuk menyediakan terowong, tiga perkara perlu berlaku mengikut turutan:

IPsec SA rundingan melalui IKE pada port UDP 500. Kedua-dua penghujungnya mengesahkan (kunci atau sijil pra-kongsi) dan bersetuju dengan parameter pengangkutan penyulitan. mode mewujudkan saluran yang disulitkan menggunakan nombor protokol 50.
L2TP terowong berunding di dalam saluran IPsec pada port UDP 1701.

Setiap paket data kemudiannya dibalut IPsec dua kali, yang mana IPsec akan dibalut dua kali: paket, yang menjadi paket IP biasa. Overhed berlapis itu adalah punca reputasi L2TP/IPsec sebagai perlahan — terdapat lebih banyak bloat header setiap bait data pengguna daripada mana-mana protokol VPN lain yang biasa digunakan.

Sejarah yang menerangkan populariti

L2TP adalah hasil penggabungan kejuruteraan yang didorong oleh politik. Cisco telah membangunkan L2F (Layer 2 Forwarding) dan Microsoft telah membangunkan PPTP. Kedua-dua protokol mempunyai daya tarikan pasaran tetapi tidak serasi. IETF menyatukan dua keperluan ke dalam L2TP sebagai kompromi yang menyelamatkan muka. Microsoft dan Cisco kedua-duanya menghantar sokongan L2TP asli dalam OS pelayan mereka sejurus selepas itu, yang bermaksud selama sedekad L2TP ialah cara rintangan paling tidak untuk menyediakan VPN yang berfungsi pada Windows, macOS dan kebanyakan penghala perusahaan tanpa perisian pihak ketiga.

L2TPv3 (RFC 3931, Framelay Mac 2005) hanya melanjutkan protokol, Ethernet dan Frame pada Mac 2005. Bingkai ATM. Itu menjadikan L2TPv3 berguna untuk penggunaan pseudowire penyedia perkhidmatan tetapi mempunyai sedikit kesan pada bahagian VPN pengguna.

Mengapa L2TP/IPsec teruk dalam 2026

Slow

Pekapsulan berganda memakan lebar jalur. Pada pautan 1 Gbps, L2TP/IPsec biasanya menyampaikan 80–200 Mbps. WireGuard menyampaikan 800+ Mbps dan IKEv2/IPsec (tanpa lapisan L2TP) menyampaikan 600–800 Mbps pada perkakasan yang sama. Tiada senario di mana penambahan L2TP di atas IPsec menjadikan sambungan lebih pantas.

UDP sahaja dan mudah disekat

L2TP/IPsec menggunakan port UDP 500, 4500 dan 1701. Banyak tembok api korporat menyekat ketiga-tiga rangkaian tersebut. Tidak ada cara untuk menyamarkan L2TP/IPsec sebagai HTTPS seperti yang boleh dilakukan OpenVPN-TCP/443. Kebimbangan kebocoran

NSA

Pendedahan Snowden 2013 mencadangkan NSA boleh memecahkan beberapa konfigurasi IPsec, terutamanya yang lebih tua menggunakan kumpulan kecil atau Diffie-Gresive Hellman1. kunci prakongsi. Penggunaan L2TP/IPsec selalunya merupakan pesalah yang paling teruk di sini kerana konfigurasi datang dari era 1999–2005 apabila piawaian kriptografi lebih lemah.

Risiko kunci pra-kongsi

Kebanyakan penggunaan pengguna L2TP/IPsec untuk satu lapisan kekunci IPsec tunggal. Jika kunci itu bocor atau dipilih dengan buruk, keseluruhan terowong boleh dipecahkan di luar talian. Protokol VPN moden menggunakan pertukaran kunci berasaskan sijil setiap sesi atau ephemeral.

L2TP/IPsec lwn IKEv2/IPsec

Inilah perbandingan yang sebenarnya penting. IKEv2/IPsec menggunakan penyulitan IPsec asas yang sama tetapi melakukan rundingan terowong secara langsung, tanpa lapisan L2TP di antaranya. Hasilnya:

Tiada overhed enkapsulasi berganda — jauh lebih pantas.
MOBIKE sokongan — penyerahan lancar antara Wi-Fi dan selular tanpa menjatuhkan terowong.
Z66PLZPLZ8X766PLZPLZ67BeXXPLZPLZ65X NAT-Traversal terbina dalam protokol.
Disokong secara universal pada OS moden (Windows 7+, semua macOS, semua iOS, Android 12+, Linux strongSwan).

Jika anda mempunyai pilihan antara L2TPec/IP yang sama pada pelayan VPNsec/IP yang sama pelayan menawarkan kedua-duanya), pilih IKEv2 setiap kali.

L2TP vs WireGuard

WireGuard adalah lebih pantas, lebih kecil, lebih moden, mempunyai bukti keselamatan rasmi dan menggunakan kriptografi yang lebih baik secara lalai. Untuk penggunaan VPN pengguna pada tahun 2026, tiada senario di mana L2TP/IPsec mengatasi WireGuard.

L2TP lwn OpenVPN

OpenVPN lebih fleksibel, boleh bersembunyi sebagai HTTPS pada TCP/443, dan mempunyai sejarah audit yang lebih luas. Satu-satunya perkara yang dimiliki oleh L2TP berbanding OpenVPN ialah penyepaduan OS asli — tetapi setiap OS moden kini menghantar IKEv2/IPsec secara asli juga, jadi kelebihan itu dipertikaikan.

Apabila anda mungkin masih menghadapi L2TP/IPsec

Legacy VPNs korporat- korporat — syarikat yang besar — VPN syarikat yang besar — tiada siapa yang berhijrah. Gunakannya jika anda perlu, minta IKEv2/IPsec daripada IT.
Penyedia perkhidmatan pseudowires — L2TPv3 membawa trafik bukan IP antara penghala ISP. Penggunaan tulang belakang, bukan kegunaan pengguna.
Perisian tegar penghala terbenam khusus yang hanya bercakap L2TP. Gantikan perisian tegar (DD-WRT, OpenWrt) jika boleh.Togol protokol
VPN dalam aplikasi pembekal anda menunjukkan L2TP sebagai pilihan. Pilih apa-apa lagi.

Keputusan

L2TP/IPsec ialah protokol yang merupakan jawapan yang betul pada tahun 2005 dan jawapan yang salah pada tahun 2026. Hampir setiap penyedia VPN komersial yang masih menyenaraikannya berbuat demikian untuk kesempurnaan, bukan kerana sesiapa sahaja harus memilihnya. Jika konfigurasi hanya menyokong L2TP/IPsec, konfigurasi itu sudah cukup lama untuk diganti.

Jika anda sedang aktif mengkonfigurasi terowong hari ini, pilihan wajar anda ialah WireGuard untuk kelajuan, IKEv2/IPsec untuk kemudahan asal mudah alih atau OpenVPN untuk rangkaian terhad. Jalankan ujian leak kami selepas sebarang perubahan VPN untuk mengesahkan terowong menjalankan tugasnya.

Soalan lazim

Adakah L2TP selamat?: L2TP sendiri menyediakan penyulitan sifar. L2TP/IPsec — bentuk gabungan biasa — selamat apabila dikonfigurasikan dengan parameter IPsec moden (AES-GCM, kumpulan Diffie-Hellman yang besar atau ECDH, pengesahan sijil). Masalahnya ialah kebanyakan penggunaan L2TP/IPsec datang dari era 1999-2005 dan menggunakan lalai yang lebih lemah. Jika anda mesti menggunakan L2TP/IPsec, sahkan konfigurasi IPsec adalah moden.
Adakah L2TP/IPsec sama dengan IKEv2/IPsec?: Tidak. Kedua-duanya menggunakan IPsec untuk penyulitan, tetapi L2TP/IPsec menambah lapisan terowong L2TP di atas, yang menambah overhed dan kerumitan tanpa faedah. IKEv2/IPsec melakukan rundingan terowong secara langsung. Pada pelayan VPN yang sama, IKEv2 lebih pantas, menyokong MOBIKE untuk perayauan mudah alih yang lancar dan mempunyai NAT-Traversal yang lebih baik.
Mengapa L2TP/IPsec mempunyai begitu banyak port?: Tiga pelabuhan yang terlibat: UDP 500 (IKE untuk rundingan IPsec), UDP 4500 (IPsec NAT-Traversal apabila NAT dikesan) dan UDP 1701 (terowong L2TP di dalam IPsec). Tembok api yang terhad sering menyekat satu atau lebih daripada ini, itulah sebabnya L2TP/IPsec tidak boleh dipercayai pada rangkaian perusahaan dan perjalanan berbanding OpenVPN-TCP/443.
Adakah NSA memecahkan L2TP/IPsec?: Dokumen Snowden 2013 mencadangkan NSA boleh menjejaskan beberapa konfigurasi IPsec. Konfigurasi yang terdedah biasanya menggunakan kumpulan kecil Diffie-Hellman (Kumpulan 1024-bit 2) atau IKEv1 mod agresif dengan kunci pra-kongsi — betul-betul jenis konfigurasi warisan yang biasa dalam penggunaan L2TP/IPsec dari era itu. IPsec moden dengan kumpulan DH yang besar, ECDH, dan pengesahan sijil tidak dipercayai telah dipecahkan.
Patutkah saya menggunakan L2TP/IPsec hari ini?: Hanya jika anda tidak mempunyai pilihan lain. WireGuard lebih pantas dan lebih moden. IKEv2/IPsec memberi anda penyulitan IPsec yang sama tanpa overhed L2TP. OpenVPN-TCP/443 lebih fleksibel untuk rangkaian bermusuhan. L2TP/IPsec pada asasnya ialah keserasian warisan — berguna jika anda menyambung ke VPN korporat lama yang hanya menyokongnya, bukan pilihan yang tepat untuk penggunaan baharu.