L2TP'nin kendisi sıfır şifreleme sağlar. Tipik birleştirilmiş biçim olan L2TP/IPsec, modern IPsec parametreleriyle (AES-GCM, büyük Diffie-Hellman grupları veya ECDH, sertifika kimlik doğrulaması) yapılandırıldığında güvenlidir. Sorun, L2TP/IPsec dağıtımlarının çoğunun 1999-2005 döneminden gelmesi ve daha zayıf varsayılanlar kullanmasıdır. L2TP/IPsec kullanmanız gerekiyorsa IPsec yapılandırmasının modern olduğunu doğrulayın.

L2TP/IPsec, IKEv2/IPsec ile aynı mıdır?

Hayır. Her ikisi de şifreleme için IPsec kullanır, ancak L2TP/IPsec L2TP tünel katmanını en üste ekler; bu da hiçbir fayda sağlamadan ek yükü ve karmaşıklığı artırır. IKEv2/IPsec tünel anlaşmasını doğrudan yapar. Aynı VPN sunucusunda IKEv2 daha hızlıdır, kesintisiz mobil dolaşım için MOBIKE'i destekler ve daha iyi NAT Geçişine sahiptir.

L2TP/IPsec'in neden bu kadar çok bağlantı noktası var?

Üç bağlantı noktası dahil: UDP 500 (IPsec anlaşması için IKE), UDP 4500 (NAT algılandığında IPsec NAT Geçişi) ve UDP 1701 (IPsec içindeki L2TP tüneli). Kısıtlayıcı güvenlik duvarları genellikle bunlardan bir veya daha fazlasını engeller; bu nedenle L2TP/IPsec, OpenVPN-TCP/443 ile karşılaştırıldığında kurumsal ve seyahat ağlarında güvenilmezdir.

NSA L2TP/IPsec'i kırdı mı?

2013 Snowden belgeleri, NSA'nın bazı IPsec yapılandırmalarını tehlikeye atabileceğini öne sürüyordu. Güvenlik açığı bulunan yapılandırmalar genellikle küçük Diffie-Hellman grupları (1024 bit Grup 2) veya önceden paylaşılan anahtarlara sahip agresif modlu IKEv1 kullanıyordu; bu, tam olarak dönemin L2TP/IPsec dağıtımlarında yaygın olan eski yapılandırma türleriydi. Büyük DH grupları, ECDH ve sertifika kimlik doğrulaması içeren modern IPsec'in bozulduğu düşünülmüyor.

Bugün L2TP/IPsec kullanmalı mıyım?

Sadece başka seçeneğiniz yoksa. WireGuard daha hızlı ve daha moderndir. IKEv2/IPsec, L2TP ek yükü olmadan size aynı IPsec şifrelemesini sunar. OpenVPN-TCP/443, düşman ağlar için daha esnektir. L2TP/IPsec aslında eski uyumluluktur; yalnızca onu destekleyen eski bir kurumsal VPN'ye bağlanıyorsanız kullanışlıdır, yeni bir dağıtım için asla doğru seçim değildir.

L2TP ve L2TP/IPsec Açıklaması: Neredeyse Hiç Kullanmamanız Gereken Eski VPN Protokolü

L2TP, şifreleme için neredeyse her zaman IPsec ile eşleştirilen 1999 tarihli bir tünel protokolüdür. Eski işletim sistemlerinde varsayılan "yerel" VPN seçeneğiydi. 2026'da hemen hemen tüm diğer modern protokoller kesinlikle daha iyi bir seçimdir - ancak L2TP/IPsec yapılandırma menülerinde ve eski kurumsal VPN'lerde varlığını sürdürüyor, bu nedenle tam olarak ne olduğunu ve neden onu seçmemeniz gerektiğini bilmeye değer.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

L2TP aslında nedir?

LKatman 2 Tünel Protokolü — RFC 2661, Ağustos 1999'da yayınlandı — bir tünel protokolüdür. UDP paketlerinin içinde Noktadan Noktaya Protokol (PPP) çerçevelerini taşır. Kendi başına 'e sahiptir ve tüm 'te şifreleme yoktur. L2TP tünelindeki veriler açık metin olarak hareket eder; cihazınız ile L2TP uç noktası arasındaki bir gözlemci her şeyi görür.

Bu nedenle neredeyse hiçbir zaman çıplak L2TP'yi göremezsiniz. Uygulamada her zaman gerçek şifrelemeyi sağlayan IPsec ile eşleştirilir. Bu kombinasyon, işletim sistemi yapılandırma menülerinde genellikle "L2TP/IPsec" veya bazen yalnızca "L2TP" olarak adlandırılan kombinasyondur.

L2TP/IPsec nasıl çalışır

L2TP/IPsec çift kapsüllenmiştir. Tüneli ayarlamak için üç şeyin sırayla gerçekleşmesi gerekir:

IPsec SA anlaşması, UDP bağlantı noktası 500'de IKE aracılığıyla. Her iki uç da kimlik doğrulaması yapar (önceden paylaşılan anahtar veya sertifika) ve şifreleme parametreleri üzerinde anlaşır.
IPsec ESP aktarım modu, protokol numarasını kullanarak şifrelenmiş kanalı kurar. 50.
L2TP tüneli, UDP bağlantı noktası 1701'deki IPsec kanalı içinde anlaşma yapar.

Daha sonra her veri paketi iki kez sarılır: orijinal veri yükü bir L2TP çerçevesi haline gelir ve bu da normal bir IP paketi haline gelen bir IPsec ESP paketi haline gelir. Bu katmanlı ek yük, L2TP/IPsec'in yavaş olarak tanınmasının kökeninde yatmaktadır; kullanıcı verisi baytı başına başlık şişkinliği, yaygın olarak kullanılan diğer tüm VPN protokollerinden daha fazladır.

Popülerliği açıklayan tarih

L2TP, politik güdümlü bir mühendislik birleşmesinin ürünüydü. Cisco, L2F'yi (Katman 2 İletme) geliştirmişti ve Microsoft, PPTP'yi geliştirmişti. Her iki protokolün de pazarda çekiş gücü vardı ancak uyumsuzdu. IETF, görünümü kurtaran bir uzlaşma olarak iki gereksinimi L2TP'de birleştirdi. Microsoft ve Cisco kısa bir süre sonra sunucu işletim sistemlerinde yerel L2TP desteğini sundu; bu, on yıl boyunca L2TP'nin Windows, macOS ve üçüncü taraf yazılımı olmadan çoğu kurumsal yönlendiricide çalışan bir VPN kurmanın en az dirençli yolu olduğu anlamına geliyordu.

L2TPv3 (RFC 3931, Mart 2005), protokolü yalnızca PPP'yi değil aynı zamanda Ethernet, Çerçeve Aktarımı ve ATM çerçevelerini de taşıyacak şekilde genişletti. Bu, L2TPv3'ü servis sağlayıcının sözde kablo dağıtımları için kullanışlı hale getirdi ancak tüketici VPN tarafında çok az etkisi oldu.

L2TP/IPsec 2026'da neden kötü

Slow

Çift kapsülleme bant genişliğini tüketiyor. 1 Gbps'lik bir bağlantıda, L2TP/IPsec genellikle 80-200 Mbps sunar. WireGuard aynı donanım üzerinde 800'den fazla Mbps ve IKEv2/IPsec (L2TP katmanı olmadan) 600-800 Mbps sunar. IPsec'in üstüne L2TP eklemenin bağlantıyı daha hızlı hale getirdiği bir senaryo yoktur. Yalnızca

UDP'dir ve kolayca engellenir

L2TP/IPsec, 500, 4500 ve 1701 numaralı UDP bağlantı noktalarını kullanır. Birçok kurumsal güvenlik duvarı ve kısıtlayıcı ağ, üçünü de engeller. L2TP/IPsec'i, OpenVPN-TCP/443'ün yaptığı gibi HTTPS olarak gizlemenin bir yolu yoktur.

NSA sızıntı endişeleri

2013 Snowden açıklamaları, NSA'nın bazı IPsec yapılandırmalarını, özellikle de küçük Diffie-Hellman gruplarını veya önceden paylaşılan anahtarlara sahip agresif mod IKEv1'i kullanan eski yapılandırmaları bozabileceğini ileri sürdü. L2TP/IPsec dağıtımları genellikle buradaki en kötü suçlulardır çünkü yapılandırmalar, kriptografik standartların daha zayıf olduğu 1999-2005 döneminden gelmektedir.

Ön paylaşımlı anahtar riski

Çoğu L2TP/IPsec tüketici dağıtımları, IPsec katmanı için tek bir önceden paylaşılan anahtar kullanır. Bu anahtar sızdırılırsa veya kötü seçilirse tünelin tamamı çevrimdışı olarak kırılabilir. Modern VPN protokolleri bunun yerine oturum başına sertifika tabanlı veya geçici anahtar değişimini kullanır.

L2TP/IPsec ve IKEv2/IPsec

Aslında önemli olan karşılaştırma budur. IKEv2/IPsec aynı temel IPsec şifrelemesini kullanır ancak tünel anlaşmasını arada L2TP katmanı olmadan doğrudan yapar. Sonuç:

Çift kapsülleme ek yükü yok — önemli ölçüde daha hızlı.
MOBIKE desteği — Wi-Fi ile hücresel ağ arasında tünelden ayrılmadan kusursuz geçiş.
Better NAT-Traversal yerleşik protokol.
Modern işletim sistemlerinde evrensel olarak desteklenir (Windows 7+, tüm macOS, tüm iOS, Android 12+, Linux StrongSwan).

Aynı VPN sunucusunda L2TP/IPsec ve IKEv2/IPsec arasında seçim yapma olanağınız varsa (çoğu modern sunucu her ikisini de sunar), her seferinde IKEv2'yi seçin zaman.

L2TP ve WireGuard

WireGuard daha hızlıdır, daha küçüktür, daha moderndir, resmi bir güvenlik kanıtına sahiptir ve varsayılan olarak daha iyi şifreleme kullanır. 2026'da tüketici VPN kullanımında L2TP/IPsec'in WireGuard'ı yendiği bir senaryo yok.

L2TP vs OpenVPN

OpenVPN daha esnektir, TCP/443'te HTTPS olarak gizlenebilir, çok daha geniş bir denetim geçmişine sahiptir ve daha fazla cihazda çalışır. L2TP'nin OpenVPN'e göre sahip olduğu tek şey yerel işletim sistemi entegrasyonudur - ancak artık her modern işletim sistemi IKEv2/IPsec'i yerel olarak da göndermektedir, dolayısıyla bu avantaj tartışmalıdır.

Hâlâ L2TP/IPsec

Leski kurumsal VPN'lerle ile karşılaşabileceğiniz durumlar — kimsenin taşımadığı 2010 dönemi VPN yoğunlaştırıcısına sahip büyük işletmeler. Gerekirse kullanın, IT'den IKEv2/IPsec isteyin.
Servis sağlayıcı pseudowires — L2TPv3, ISP yönlendiricileri arasında IP olmayan trafiği taşır. Tüketici kullanımı değil, omurga kullanımı.
Yalnızca L2TP konuşan özel yerleşik yönlendirici yazılımları. Mümkünse donanım yazılımını (DD-WRT, OpenWrt) değiştirin. Sağlayıcınızın uygulamasında
VPN protokolü geçişi, L2TP'yi bir seçenek olarak gösterir. Başka bir şey seçin.

Karar

L2TP/IPsec, 2005'te doğru cevap ve 2026'da yanlış cevap olan protokoldür. Hala listeleyen hemen hemen her ticari VPN sağlayıcısı bunu herkesin seçmesi gerektiği için değil, tamlık sağlamak için yapıyor. Bir yapılandırma yalnızca L2TP/IPsec'i destekliyorsa, yapılandırma değiştirilmeyi hak edecek kadar eskidir.

Bugün aktif olarak bir tünel yapılandırıyorsanız, mantıklı seçenekleriniz hız için WireGuard, mobil yerel kolaylık için IKEv2/IPsec veya kısıtlayıcı ağlar için OpenVPN'dir. Tünelin işini yaptığını doğrulamak için herhangi bir VPN değişikliğinden sonra sızıntı testimizi çalıştırın.

Sık sorulan sorular

L2TP güvenli mi?: L2TP'nin kendisi sıfır şifreleme sağlar. Tipik birleştirilmiş biçim olan L2TP/IPsec, modern IPsec parametreleriyle (AES-GCM, büyük Diffie-Hellman grupları veya ECDH, sertifika kimlik doğrulaması) yapılandırıldığında güvenlidir. Sorun, L2TP/IPsec dağıtımlarının çoğunun 1999-2005 döneminden gelmesi ve daha zayıf varsayılanlar kullanmasıdır. L2TP/IPsec kullanmanız gerekiyorsa IPsec yapılandırmasının modern olduğunu doğrulayın.
L2TP/IPsec, IKEv2/IPsec ile aynı mıdır?: Hayır. Her ikisi de şifreleme için IPsec kullanır, ancak L2TP/IPsec L2TP tünel katmanını en üste ekler; bu da hiçbir fayda sağlamadan ek yükü ve karmaşıklığı artırır. IKEv2/IPsec tünel anlaşmasını doğrudan yapar. Aynı VPN sunucusunda IKEv2 daha hızlıdır, kesintisiz mobil dolaşım için MOBIKE'i destekler ve daha iyi NAT Geçişine sahiptir.
L2TP/IPsec'in neden bu kadar çok bağlantı noktası var?: Üç bağlantı noktası dahil: UDP 500 (IPsec anlaşması için IKE), UDP 4500 (NAT algılandığında IPsec NAT Geçişi) ve UDP 1701 (IPsec içindeki L2TP tüneli). Kısıtlayıcı güvenlik duvarları genellikle bunlardan bir veya daha fazlasını engeller; bu nedenle L2TP/IPsec, OpenVPN-TCP/443 ile karşılaştırıldığında kurumsal ve seyahat ağlarında güvenilmezdir.
NSA L2TP/IPsec'i kırdı mı?: 2013 Snowden belgeleri, NSA'nın bazı IPsec yapılandırmalarını tehlikeye atabileceğini öne sürüyordu. Güvenlik açığı bulunan yapılandırmalar genellikle küçük Diffie-Hellman grupları (1024 bit Grup 2) veya önceden paylaşılan anahtarlara sahip agresif modlu IKEv1 kullanıyordu; bu, tam olarak dönemin L2TP/IPsec dağıtımlarında yaygın olan eski yapılandırma türleriydi. Büyük DH grupları, ECDH ve sertifika kimlik doğrulaması içeren modern IPsec'in bozulduğu düşünülmüyor.
Bugün L2TP/IPsec kullanmalı mıyım?: Sadece başka seçeneğiniz yoksa. WireGuard daha hızlı ve daha moderndir. IKEv2/IPsec, L2TP ek yükü olmadan size aynı IPsec şifrelemesini sunar. OpenVPN-TCP/443, düşman ağlar için daha esnektir. L2TP/IPsec aslında eski uyumluluktur; yalnızca onu destekleyen eski bir kurumsal VPN'ye bağlanıyorsanız kullanışlıdır, yeni bir dağıtım için asla doğru seçim değildir.