Samotný L2TP poskytuje nulové šifrovanie. L2TP/IPsec – typická kombinovaná forma – je bezpečný, ak je nakonfigurovaný pomocou moderných parametrov IPsec (AES-GCM, veľké skupiny Diffie-Hellman alebo ECDH, autentifikácia certifikátom). Problém je v tom, že väčšina nasadení L2TP/IPsec pochádza z obdobia rokov 1999-2005 a používa slabšie predvolené nastavenia. Ak musíte použiť L2TP/IPsec, overte, či je konfigurácia IPsec moderná.

Je L2TP/IPsec to isté ako IKEv2/IPsec?

Nie. Obidva používajú na šifrovanie IPsec, ale L2TP/IPsec pridáva navrch vrstvu tunelovania L2TP, čo zvyšuje réžiu a zložitosť bez akýchkoľvek výhod. IKEv2/IPsec robí vyjednávanie tunela priamo. Na tom istom serveri VPN je IKEv2 rýchlejší, podporuje MOBIKE pre bezproblémový mobilný roaming a má lepší NAT-Traversal.

Prečo má L2TP/IPsec toľko portov?

Zapojené sú tri porty: UDP 500 (IKE pre IPsec vyjednávanie), UDP 4500 (IPsec NAT-Traversal, keď sa zistí NAT) a UDP 1701 (tunel L2TP vnútri IPsec). Reštriktívne brány firewall často blokujú jeden alebo viac z nich, a preto je L2TP/IPsec v podnikových a cestovných sieťach v porovnaní s OpenVPN-TCP/443 nespoľahlivý.

Porušil NSA L2TP/IPsec?

Snowdenove dokumenty z roku 2013 naznačili, že NSA by mohla ohroziť niektoré konfigurácie IPsec. Zraniteľné konfigurácie zvyčajne používali malé skupiny Diffie-Hellman (1024-bitová skupina 2) alebo IKEv1 v agresívnom režime s vopred zdieľanými kľúčmi – presne tie druhy starých konfigurácií, ktoré boli bežné v nasadení L2TP/IPsec z éry. Nepredpokladá sa, že by moderný IPsec s veľkými skupinami DH, ECDH a autentifikáciou certifikátov bol porušený.

Mám dnes používať L2TP/IPsec?

Iba ak nemáte inú možnosť. WireGuard je rýchlejší a modernejší. IKEv2/IPsec vám poskytuje rovnaké šifrovanie IPsec bez réžie L2TP. OpenVPN-TCP/443 je flexibilnejší pre nepriateľské siete. L2TP/IPsec je v podstate kompatibilita so staršou verziou – užitočná, ak sa pripájate k starej firemnej sieti VPN, ktorá ju podporuje, nie je to správna voľba pre nové nasadenie.

Vysvetlenie L2TP a L2TP/IPsec: Starý protokol VPN, ktorý by ste takmer nikdy nemali používať

L2TP je tunelový protokol z roku 1999, ktorý je takmer vždy spárovaný s protokolom IPsec na šifrovanie. V starších operačných systémoch to bola predvolená možnosť „natívnej“ siete VPN. V roku 2026 je takmer akýkoľvek iný moderný protokol striktne lepšou voľbou – ale L2TP/IPsec pretrváva v konfiguračných ponukách a starých podnikových VPN, takže stojí za to presne vedieť, čo to je a prečo by ste si ho nemali vyberať.

Celé telo článku je uvedené v angličtine nižšie.

Čo je vlastne L2TP

Layer 2 Tunneling Protocol — RFC 2661, publikovaný v auguste 1999 — je tunelovací protokol. Vo vnútri paketov UDP prenáša rámce protokolu PPP (Point-to-Point Protocol). Samotný má no šifrovanie na všetkých. Údaje v tuneli L2TP sa pohybujú ako čistý text; pozorovateľ medzi vaším zariadením a koncovým bodom L2TP vidí všetko.

To je dôvod, prečo takmer nikdy nevidíte holý L2TP. V praxi je vždy spárovaný s IPsec, ktorý poskytuje skutočné šifrovanie. Táto kombinácia sa bežne nazýva „L2TP/IPsec“ alebo niekedy len „L2TP“ v ponukách konfigurácie operačného systému.

Ako funguje protokol L2TP/IPsec

L2TP/IPsec je dvojito zapuzdrený. Na nastavenie tunela sa musia postupne vykonať tri veci:

IPsec SA vyjednávanie cez IKE na UDP porte 500. Oba konce sa overia (vopred zdieľaný kľúč alebo certifikát) a dohodnú sa na parametroch šifrovania. kanál používajúci číslo protokolu 50.
L2TP tunel vyjednáva vo vnútri kanála IPsec na porte UDP 1701.

Každý dátový paket sa potom dvakrát zabalí: pôvodný obsah sa stane rámcom L2TP, ktorý sa stane bežným paketom IPsec. Táto vrstvená réžia je koreňom reputácie L2TP/IPsec ako pomalého – na bajt používateľských údajov je viac nadbytočných hlavičiek ako pri akomkoľvek inom bežne používanom protokole VPN. Cisco vyvinulo L2F (Layer 2 Forwarding) a Microsoft vyvinul PPTP. Oba protokoly mali trhovú trakciu, ale boli nekompatibilné. IETF zjednotila tieto dve požiadavky do L2TP ako kompromis šetriaci tvár. Microsoft aj Cisco dodali natívnu podporu L2TP vo svojich serverových operačných systémoch krátko nato, čo znamenalo, že L2TP bolo na desaťročie cestou najmenšieho odporu na nastavenie VPN, ktorá fungovala na Windows, macOS a väčšine podnikových smerovačov bez softvéru tretích strán. Relé a rámy ATM. Vďaka tomu bol L2TPv3 užitočný pre nasadenia pseudowire poskytovateľa služieb, ale mal malý vplyv na stranu VPN spotrebiteľov.

Prečo je L2TP/IPsec zlý v 2026

Slow

Dvojité zapuzdrenie zaberá šírku pásma. Na prepojení s rýchlosťou 1 Gbps poskytuje L2TP/IPsec zvyčajne rýchlosť 80 – 200 Mbps. WireGuard poskytuje 800+ Mbps a IKEv2/IPsec (bez vrstvy L2TP) poskytuje 600 – 800 Mbps na rovnakom hardvéri. Neexistuje žiadny scenár, v ktorom by pridanie L2TP nad IPsec zrýchlilo pripojenie. Iba

UDP a jednoducho blokované

L2TP/IPsec používa porty UDP 500, 4500 a 1701. Mnohé firemné brány firewall a reštriktívne siete blokujú všetky tri. Neexistuje žiadny spôsob, ako zamaskovať L2TP/IPsec ako HTTPS tak, ako to dokáže OpenVPN-TCP/443.

NSA obavy z úniku

Snowdenove informácie z roku 2013 naznačili, že NSA by mohla prelomiť niektoré konfigurácie IPsec, najmä tie staršie pomocou malých Diffie-Mode-Hellman skupín IKEv-sha alebo predvolených kľúčov. Nasadenia L2TP/IPsec sú tu často najhoršie, pretože konfigurácie pochádzajú z obdobia rokov 1999 – 2005, keď boli kryptografické štandardy slabšie.

Riziko predzdieľaného kľúča

Väčšina spotrebiteľských nasadení L2TP/IPsec používa jeden vopred zdieľaný kľúč vrstvy IP. Ak tento kľúč unikne alebo je zle zvolený, celý tunel je prelomiteľný offline. Moderné protokoly VPN namiesto toho používajú výmenu kľúčov na základe certifikátov alebo dočasných kľúčov na reláciu.

L2TP/IPsec vs. IKEv2/IPsec

Toto je porovnanie, na ktorom skutočne záleží. IKEv2/IPsec používa rovnaké základné šifrovanie IPsec, ale vyjednávanie tunela vykonáva priamo, bez vrstvy L2TP medzi nimi. Výsledok:

Žiadna réžia dvojitého zapuzdrenia — výrazne rýchlejšia.
MOBIKE podpora — bezproblémové prepínanie medzi Wi-Fi a mobilnou sieťou bez prerušenia tunela. do protokolu.
Univerzálne podporované na moderných operačných systémoch (Windows 7+, všetky macOS, všetky iOS, Android 12+, Linux strongSwan).

Ak máte na výber medzi L2TP/IPsec a IKEv2 ponúkajú tie isté moderné servery IKEvIP čas.

L2TP vs WireGuard

WireGuard je rýchlejší, menší, modernejší, má formálny bezpečnostný dôkaz a štandardne používa lepšiu kryptografiu. Pre spotrebiteľské použitie VPN v roku 2026 neexistuje scenár, v ktorom by L2TP/IPsec porazil WireGuard.

L2TP vs. OpenVPN

OpenVPN je flexibilnejší, môže sa skrývať ako HTTPS na TCP/443, má oveľa širšiu históriu auditovacích zariadení a funguje. Jediná vec, ktorú má L2TP oproti OpenVPN, je integrácia natívneho OS – ale každý moderný OS teraz natívne dodáva aj IKEv2/IPsec, takže táto výhoda je sporná. migroval. Použite ho, ak musíte, požiadajte o IKEv2/IPsec od poskytovateľa pseudowires IT.

— L2TPv3 prenáša prenosy bez IP medzi smerovačmi ISP. Použitie chrbticovej siete, nie spotrebiteľské použitie.

Špecifické firmvéry vstavaného smerovača, ktoré hovoria iba L2TP. Ak je to možné, vymeňte firmvér (DD-WRT, OpenWrt).

VPN-protokol prepínajte v aplikácii vášho poskytovateľa a zobrazuje L2TP ako možnosť. Vyberte si čokoľvek iné.

Verdikt

L2TP/IPsec je protokol, ktorý bol správnou odpoveďou v roku 2005 a nesprávnou odpoveďou v roku 2026. Takmer každý komerčný poskytovateľ VPN, ktorý ho stále uvádza, tak robí pre úplnosť, nie preto, že by si ho mal vybrať niekto. Ak konfigurácia podporuje iba L2TP/IPsec, konfigurácia je dostatočne stará na to, aby si zaslúžila výmenu.

Ak dnes aktívne konfigurujete tunel, vašou rozumnou voľbou je WireGuard pre rýchlosť, IKEv2/IPsec pre jednoduchosť mobilnej natívnej siete alebo OpenVPN pre obmedzujúce siete. Spustite náš test leak po akejkoľvek zmene VPN, aby ste overili, či tunel robí svoju prácu.

Často kladené otázky

Je L2TP bezpečný?: Samotný L2TP poskytuje nulové šifrovanie. L2TP/IPsec – typická kombinovaná forma – je bezpečný, ak je nakonfigurovaný pomocou moderných parametrov IPsec (AES-GCM, veľké skupiny Diffie-Hellman alebo ECDH, autentifikácia certifikátom). Problém je v tom, že väčšina nasadení L2TP/IPsec pochádza z obdobia rokov 1999-2005 a používa slabšie predvolené nastavenia. Ak musíte použiť L2TP/IPsec, overte, či je konfigurácia IPsec moderná.
Je L2TP/IPsec to isté ako IKEv2/IPsec?: Nie. Obidva používajú na šifrovanie IPsec, ale L2TP/IPsec pridáva navrch vrstvu tunelovania L2TP, čo zvyšuje réžiu a zložitosť bez akýchkoľvek výhod. IKEv2/IPsec robí vyjednávanie tunela priamo. Na tom istom serveri VPN je IKEv2 rýchlejší, podporuje MOBIKE pre bezproblémový mobilný roaming a má lepší NAT-Traversal.
Prečo má L2TP/IPsec toľko portov?: Zapojené sú tri porty: UDP 500 (IKE pre IPsec vyjednávanie), UDP 4500 (IPsec NAT-Traversal, keď sa zistí NAT) a UDP 1701 (tunel L2TP vnútri IPsec). Reštriktívne brány firewall často blokujú jeden alebo viac z nich, a preto je L2TP/IPsec v podnikových a cestovných sieťach v porovnaní s OpenVPN-TCP/443 nespoľahlivý.
Porušil NSA L2TP/IPsec?: Snowdenove dokumenty z roku 2013 naznačili, že NSA by mohla ohroziť niektoré konfigurácie IPsec. Zraniteľné konfigurácie zvyčajne používali malé skupiny Diffie-Hellman (1024-bitová skupina 2) alebo IKEv1 v agresívnom režime s vopred zdieľanými kľúčmi – presne tie druhy starých konfigurácií, ktoré boli bežné v nasadení L2TP/IPsec z éry. Nepredpokladá sa, že by moderný IPsec s veľkými skupinami DH, ECDH a autentifikáciou certifikátov bol porušený.
Mám dnes používať L2TP/IPsec?: Iba ak nemáte inú možnosť. WireGuard je rýchlejší a modernejší. IKEv2/IPsec vám poskytuje rovnaké šifrovanie IPsec bez réžie L2TP. OpenVPN-TCP/443 je flexibilnejší pre nepriateľské siete. L2TP/IPsec je v podstate kompatibilita so staršou verziou – užitočná, ak sa pripájate k starej firemnej sieti VPN, ktorá ju podporuje, nie je to správna voľba pre nové nasadenie.