Co je L2TP?
L2TP je zkratka pro Layer 2 Tunneling Protocol a je to – jak název napovídá – tunelovací protokol, který byl navržen pro podporu připojení VPN. Vtipné je, že L2TP často používají poskytovatelé internetových služeb, aby umožnili provoz VPN.
L2TP byl poprvé zveřejněn v roce 1999. Byl navržen jako jakýsi nástupce protokolu PPTP a byl vyvinut společnostmi Microsoft a Cisco. Protokol přebírá různé funkce z protokolu PPTP společnosti Microsoft a protokolu L2F (Layer 2 Forwarding) společnosti Cisco a vylepšuje je.
Jak funguje L2TP – základy
Tunelování L2TP začíná zahájením spojení mezi LAC (L2TP Access Concentrator) a LNS (L2TP Network Server) – dvěma koncovými body protokolu – v Internetu. Jakmile je toho dosaženo, je povolena a zapouzdřena linková vrstva PPP a poté je přenášena po síti.
Spojení PPP pak iniciuje koncový uživatel (vy) s poskytovatelem internetu. Jakmile LAC spojení přijme, je navázáno spojení PPP. Poté je v rámci síťového tunelu přidělen volný slot a požadavek je předán LNS.
Nakonec, jakmile je spojení plně ověřeno a přijato, je vytvořeno virtuální rozhraní PPP. V tomto okamžiku mohou být linkové rámce volně předávány tunelem. Rámce jsou přijaty systémem LNS, který poté odstraní zapouzdření L2TP a pokračuje v jejich zpracování jako běžných rámců.
Několik technických podrobností o protokolu L2TP
- Protokol L2TP se často páruje s protokolem IPSec za účelem zabezpečení datového nákladu.
- Při spárování s protokolem IPSec může protokol L2TP používat až 256bitové šifrovací klíče a algoritmus 3DES.
- Protokol L2TP funguje na více platformách a je nativně podporován v operačních systémech a zařízeních Windows a macOS.
- Díky funkci dvojitého zapouzdření je protokol L2TP poměrně bezpečný, ale znamená to také, že je náročnější na zdroje.
- L2TP běžně používá port TCP 1701, ale když je spárován s IPSec, používá také porty UDP 500 (pro IKE – Internet Key Exchange), 4500 (pro NAT) a 1701 (pro provoz L2TP).
Struktura datového paketu L2TP je následující:
- Záhlaví IP
- Záhlaví ESPIPSec
- ZáhlavíUDP
- Záhlaví L2TP
- ZáhlavíPP
- Platné zatíženíPP
- Trailer ESPIPSec
- Trailer ověřeníIPSec
Jak funguje L2TP/IPSec?
Zjednodušeně řečeno, zde je stručný přehled toho, jak probíhá spojení L2TP/IPSec VPN:
- Nejprve se vyjedná bezpečnostní asociace IPSec (SA – dohoda mezi dvěma síťovými zařízeními o bezpečnostních atributech). To se obvykle provádí prostřednictvím IKE a přes port UDP 500.
- Následuje proces zapouzdření bezpečnostního nákladu (ESP) pro režim přenosu. To se provádí pomocí protokolu IP 50. Jakmile je protokol ESP vytvořen, byl vytvořen zabezpečený kanál mezi síťovými entitami (v tomto případě klientem VPN a serverem VPN). Prozatím však nedochází ke skutečnému tunelování.
- Tady přichází na řadu protokol L2TP – protokol vyjednává a vytváří tunel mezi koncovými body sítě. Protokol L2TP k tomu používá port TCP 1701 a vlastní proces vyjednávání probíhá v rámci šifrování IPSec.
Co je L2TP Passthrough?
Protože připojení L2TP musí obecně přistupovat k webu přes směrovač, musí být provoz L2TP schopen projít zmíněným směrovačem, aby připojení fungovalo. L2TP Passthrough je v podstatě funkce směrovače, která umožňuje povolit nebo zakázat provoz L2TP na něm.
Měli byste také vědět, že – někdy – L2TP nefunguje dobře s NAT (Network Address Translation) – funkcí, která zajišťuje, že více zařízení připojených k internetu, která používají jednu síť, může používat stejné připojení a IP adresu místo více. Tehdy se hodí funkce L2TP Passthrough, protože její povolení na směrovači umožní, aby L2TP dobře fungoval s NAT.
Pokud se chcete o funkci VPN Passthrough dozvědět více, máme pro vás článek, který by vás mohl zajímat.
Jak dobré je zabezpečení L2TP?
Ačkoli je tunelování L2TP obecně považováno za vylepšení oproti PPTP, je velmi důležité si uvědomit, že šifrování L2TP ve skutečnosti samo o sobě neexistuje – protokol žádné nepoužívá. V důsledku toho není chytré používat při práci online pouze protokol L2TP.
Proto se protokol L2TP vždy páruje s protokolem IPSec, který je poměrně bezpečný. Může používat výkonné šifry, jako je AES, a také používá dvojité zapouzdření pro další zabezpečení dat. V podstatě je provoz nejprve zapouzdřen jako u běžného připojení PPTP a poté proběhne druhé zapouzdření díky protokolu IPSec.
Přesto je třeba zmínit, že se objevily zvěsti, že protokol L2TP/IPSec byl buď prolomen, nebo záměrně oslaben agenturou NSA. Nyní pro tato tvrzení neexistuje žádný jasný důkaz, i když pocházejí od samotného Edwarda Snowdena. Takže nakonec záleží na tom, zda mu chcete věřit, nebo ne. Měli byste však vědět, že Microsoft byl prvním partnerem sledovacího programu NSA PRISM.
Podle našeho osobního názoru je L2TP/IPSec dostatečně bezpečný protokol VPN, ale měli byste se ujistit, že používáte také spolehlivého poskytovatele VPN bez záznamů. Také pokud pracujete s velmi citlivými informacemi, je lepší místo toho používat jen bezpečnější protokol nebo vyzkoušet kaskádování VPN.
Jak rychlý je protokol L2TP?
Sám o sobě by byl protokol L2TP považován za velmi rychlý vzhledem k absenci šifrování. Nevýhoda nezabezpečeného připojení je ovšem velmi závažná a neměla by se kvůli rychlosti přehlížet.
Jako protokol L2TP/IPSec může VPN nabídnout slušnou rychlost, i když se doporučuje mít rychlé širokopásmové připojení (někde kolem nebo nad 100 Mb/s) a poměrně výkonný procesor. V opačném případě může docházet k poklesům rychlosti, ale nejde o nic závažného, co by vám zkazilo zážitek z online připojení.
Jak snadno nastavit L2TP?
Ve většině zařízení se systémem Windows a macOS stačí přejít do nastavení sítě a podle několika kroků navázat a nakonfigurovat připojení L2TP. Totéž platí pro protokol VPN L2TP/IPSec – obvykle bude možná stačit změnit jednu nebo dvě možnosti a vybrat šifrování IPSec.
L2TP a L2TP/IPSec lze poměrně jednoduše nastavit ručně i na zařízeních bez jejich nativní podpory. Možná budete muset provést několik dalších kroků, ale celý proces nastavení by vám neměl zabrat příliš mnoho času ani by neměl vyžadovat příliš mnoho znalostí a úsilí.
Co je to L2TP VPN?
Jak název napovídá, L2TP VPN je služba VPN, která uživatelům nabízí přístup k protokolu L2TP. Uvědomte si, že není příliš pravděpodobné, že byste našli poskytovatele VPN, který by sám o sobě nabízel pouze přístup k protokolu L2TP. Obvykle se setkáte pouze s poskytovateli, kteří nabízejí protokoly L2TP/IPSec, aby byla data a přenosy uživatelů zabezpečeny.
Pravděpodobně byste si však měli vybrat poskytovatele VPN, který nabízí přístup k více protokolům VPN. Možnost používat pouze samotný protokol L2TP je obvykle varovným signálem a mít přístup pouze k L2TP/IPSec není špatné, ale není důvod, proč byste se měli omezovat pouze na něj.
Výhody a nevýhody protokolu L2TP
Výhody
- L2TP lze spárovat s IPSec a nabídnout tak slušnou úroveň zabezpečení online.
- L2TP je snadno dostupný na mnoha platformách Windows a macOS, protože je v nich integrován. Funguje také na mnoha dalších zařízeních a operačních systémech.
- L2TP se poměrně snadno nastavuje, což platí i pro L2TP/IPSec.
Nevýhody
- L2TP nemá vlastní šifrování. Pro správné zabezpečení online musí být spárován s IPSec.
- L2TP a L2TP/IPSec byly údajně oslabeny nebo prolomeny NSA – to však tvrdí pouze Snowden a neexistuje žádný pádný důkaz, který by toto tvrzení potvrzoval.
- Vzhledem k funkci dvojitého zapouzdření bývá L2TP/IPSec trochu náročný na zdroje a není extrémně rychlý.
- L2TP může být blokován firewally NAT, pokud není dále nakonfigurován tak, aby je obcházel.
Potřebujete spolehlivou L2TP VPN?
Máme přesně to, co potřebujete – špičkovou, vysokorychlostní službu VPN, která vám může nabídnout bezproblémový online zážitek díky dobře nakonfigurovanému a optimalizovanému protokolu L2TP/IPSec. Navíc si můžete vybrat i z pěti dalších protokolů VPN: OpenVPN, IKEv2/IPSec, SoftEther, PPTP, SSTP.
A ano, náš protokol L2TP/IPSec VPN je integrován v našich uživatelsky přívětivých klientech VPN, takže nastavení připojení je velmi snadné.
Vychutnejte si špičkové zabezpečení a klid na duši
Chceme zajistit, abyste se nikdy nemuseli obávat zneužití sledování a nepříjemných kyberzločinců na internetu, a proto jsme se postarali o to, abyste (v závislosti na operačním systému) s naším protokolem L2TP/IPSec používali buď AES-256, nebo AES-128.
Nejen to, ale v naší společnosti také dodržujeme přísnou politiku zákazu logování, což znamená, že se nikdy nemusíte obávat, že by někdo z CactusVPN věděl, co děláte online.
Speciální nabídka! Získejte CactusVPN za 2,7 dolarů/měsíc!
A jakmile se stanete zákazníkem CactusVPN, budeme vám stále krýt záda s 30denní zárukou vrácení peněz.
Ušetřete nyní 72 %
L2TP vs. ostatní protokoly VPN
Pro všechny účely budeme v této části porovnávat L2TP/IPSec s ostatními protokoly VPN. Protokol L2TP sám o sobě nabízí 0 zabezpečení, a proto jej téměř všichni poskytovatelé VPN nabízejí společně s protokolem IPSec. Když tedy obvykle vidíte, že poskytovatel VPN mluví o protokolu L2TP a říká, že k němu nabízí přístup, má ve skutečnosti na mysli L2TP/IPSec.
L2TP vs. PPTP
Pro začátek nabízí L2TP vyšší zabezpečení než PPTP (Point-to-Point Tunneling Protocol) díky IPSec. Navíc ve srovnání se 128bitovým šifrováním protokolu PPTP nabízí protokol L2TP podporu 256bitového šifrování. Protokol L2TP může také používat extrémně bezpečné šifry, jako je AES (šifrování vojenské úrovně), zatímco PPTP zůstává u MPPE, které není tak bezpečné.
Z hlediska rychlosti bývá PPTP mnohem rychlejší než L2TP, ale ztrácí na protokol L2TP, pokud jde o stabilitu, protože PPTP lze velmi snadno blokovat pomocí firewallů. Protože protokol L2TP běží přes UDP, je nepolapitelnější. Poskytovatel VPN navíc může protokol ještě více upravit, aby jej firewally NAT neblokovaly.
Nakonec je tu také skutečnost, že protokol PPTP vyvinula výhradně společnost Microsoft (společnost, která je známá únikem citlivých dat NSA), zatímco protokol L2TP vyvinula společnost Microsoft ve spolupráci se společností Cisco. Z tohoto důvodu někteří uživatelé považují protokol L2TP za bezpečnější a důvěryhodnější. Kromě toho je známo, že protokol PPTP byl prolomen agenturou NSA, zatímco protokol L2TP byl prolomen agenturou NSA pouze údajně (což zatím nebylo prokázáno).
Celkově byste měli vědět, že protokol L2TP je považován za vylepšenou verzi protokolu PPTP, takže byste jej měli vždy upřednostnit před tímto protokolem.
Pokud si chcete o protokolu PPTP VPN přečíst více, neváhejte se podívat na tento článek.
L2TP vs. IKEv2
Je třeba zmínit, že IKEv2 je tunelovací protokol, který vychází z IPSec, takže se často setkáte s tím, že poskytovatelé VPN hovoří o IKEv2/IPSec, když odkazují na IKEv2. S protokolem IKEv2 tedy obvykle získáte stejnou úroveň zabezpečení jako s protokolem L2TP – jediný velký rozdíl spočívá v tom, že od Snowdena nekolují žádné zvěsti o tom, že protokol IKEv2 byl oslaben agenturou NSA.
Kromě toho je IKEv2 mnohem spolehlivější než L2TP, pokud jde o stabilitu, a to díky protokolu MOBIKE (Mobility and Multihoming protocol), který umožňuje protokolu odolávat změnám sítě. Díky IKEv2 můžete v podstatě libovolně přecházet z připojení WiFi na datový tarif, aniž byste se museli obávat výpadku připojení VPN. IKEv2 také dokáže automaticky obnovit činnost po náhlém přerušení připojení VPN (jako je například výpadek proudu).
Přestože IKEv2 vyvinula také společnost Microsoft společně se společností Cisco, dalším důvodem, proč mu mnoho lidí dává přednost před protokolem L2TP, je skutečnost, že existují verze IKEv2 s otevřeným zdrojovým kódem, díky čemuž je důvěryhodnější.
Pokud se chcete o protokolu IKEv2 dozvědět více, přečtěte si tento článek.
L2TP vs. OpenVPN
Oba protokoly nabízejí slušnou úroveň zabezpečení, ale OpenVPN je považován za lepší volbu, protože je otevřený, používá protokol SSL 3.0 a lze jej nakonfigurovat tak, aby nabízel další ochranu. Nevýhodou tohoto dodatečného zabezpečení je nižší rychlost připojení. OpenVPN je obvykle pomalejší než L2TP, i když výsledky mohou být trochu jiné, pokud používáte OpenVPN na UDP.
Pokud však jde o stabilitu, L2TP ustupuje do pozadí kvůli použití omezených portů. Jednoduše řečeno, tento protokol může být blokován firewally NAT – pokud není správně nakonfigurován (což může být další problém, pokud nejste dostatečně zkušení). Naproti tomu OpenVPN může používat v podstatě libovolný port – včetně portu 443, který je vyhrazen pro provoz HTTPS. To znamená, že pro jakéhokoli poskytovatele internetu nebo správce sítě je velmi obtížné zablokovat OpenVPN pomocí firewallu.
Co se týče dostupnosti a nastavení, OpenVPN sice funguje na mnoha platformách, ale není na nich úplně nativně k dispozici jako L2TP. V důsledku toho vám nastavení připojení OpenVPN v zařízení obvykle zabere mnohem více času než připojení L2TP. Naštěstí pokud používáte síť VPN, která nabízí připojení OpenVPN, nemusíte dělat mnoho, protože vše je již nastaveno za vás.
Chcete se o OpenVPN dozvědět více? Pak následujte tento odkaz.
L2TP vs. SSTP
Stejně jako OpenVPN, i SSTP (Secure Socket Tunneling Protocol) používá protokol SSL 3.0 a může používat port 443.
L2TP vs. SSTP. Je tedy bezpečnější než L2TP a je také obtížněji blokovatelný bránou firewall. SSTP vyvíjí pouze společnost Microsoft, takže – v tomto ohledu – může být L2TP o něco důvěryhodnější, protože se na jeho vývoji podílela společnost Cisco.
Co se týče rychlosti, SSTP je často považován za rychlejší než L2TP, protože nedochází k dvojímu zapouzdření. Pokud však jde o kompatibilitu napříč platformami, je na tom L2TP lépe, protože SSTP je vestavěno pouze v operačních systémech Windows a lze jej nastavit také na:
- Routerech
- Androidu
- Linuxu
L2TP je naopak k dispozici na mnoha dalších platformách a ve většině z nich je také vestavěno. Nastavení protokolu VPN je tedy také jednodušší.
Pokud byste si měli vybrat mezi SSTP a L2TP, bude pro vás lepší SSTP.
Chcete-li se o tomto protokolu dozvědět více, přejděte na tento odkaz.
L2TP vs. WireGuard®
Oba protokoly WireGuard a L2TP/IPSec nabízejí slušnou úroveň zabezpečení, ale WireGuard používá novější algoritmy, do kterých nelze zasahovat (uživatelé nemohou provádět změny, které by mohly náhodně ohrozit data). Protokol WireGuard má navíc otevřený zdrojový kód, což jej činí transparentnějším a snáze kontrolovatelným.
Na problémy se stabilitou jsme nenarazili ani u jednoho z protokolů. Přesto je pro správce sítě snazší blokovat protokol L2TP/IPSec, protože používá pouze tři porty (UDP 500, UDP 4500 a protokol ESP IP 50). Pokud používáte L2TP samostatně, používá pouze jeden port – UDP 1701. WireGuard naproti tomu používá spoustu portů UDP.
WireGuard je rozhodně rychlejší než L2TP/IPSec. Ten zapouzdřuje data dvakrát, čímž spotřebovává více prostředků.
Oba protokoly můžete používat ve většině operačních systémů.
S oběma protokoly byste měli být v bezpečí, ale pokud je to možné, doporučujeme držet se protokolu WireGuard. Je prostě rychlejší a lepší pro vaše soukromí.
Pokud se přesto chcete o protokolu Wireguard dozvědět více, přejděte na tento odkaz.
L2TP vs. SoftEther
Stejně jako L2TP může i SoftEther používat 256bitový šifrovací klíč a stejně silnou šifru jako AES. SoftEther však jde ještě dál – je také open-source, používá SSL 3.0 a je také velmi stabilní. Ve skutečnosti je SoftEther často považován za dobrou alternativu k OpenVPN.
Na SoftEtheru je navíc velmi zajímavá jedna věc – je to protokol i server VPN. A server VPN může skutečně podporovat protokoly L2TP/IPSec spolu s mnoha dalšími:
- IPSec
- OpenVPN
- SSTP
- SoftEther
To je věc, kterou se serverem L2TP VPN nezískáte.
Z hlediska rychlosti je na tom lépe SoftEther. Ukazuje se, že navzdory vysokému zabezpečení je tento protokol také velmi rychlý. Podle jeho vývojářů to souvisí s tím, že SoftEther byl naprogramován s ohledem na vysokorychlostní propustnost, zatímco protokol jako L2TP, který je založen na PPP, byl vytvořen s ohledem na úzkopásmové telefonní linky.
L2TP však zřejmě září, pokud jde o proces nastavení. SoftEther sice funguje na téměř stejném počtu platforem jako L2TP, ale jeho nastavení je obtížnější. Protože se jedná o softwarové řešení, musíte si do svého zařízení stáhnout a nainstalovat také software SoftEther – ano, i když používáte poskytovatele VPN, který protokol SoftEther nabízí.
Pokud máte zájem přečíst si o SoftEtheru více, máme na toto téma již článek.
L2TP vs. IPSec
Toto srovnání si necháváme na konec, protože je trochu neobvyklé. Přesto, protože existují poskytovatelé VPN, kteří nabízejí přístup pouze k protokolu IPSec, napadlo nás, že by některé z vás mohlo zajímat, jak je na tom L2TP ve srovnání s ním samostatně.
Pro začátek IPSec nabízí online zabezpečení ve srovnání s L2TP, který sám o sobě neposkytuje žádné šifrování. IPSec je také mnohem obtížnější zablokovat firewallem než L2TP, protože dokáže šifrovat data, aniž by o tom koncová aplikace věděla.
Na druhou stranu L2TP dokáže přenášet i jiné protokoly než IP, zatímco IPSec to neumí.
Pokud jde o srovnání L2TP/IPSec vs. IPSec, můžete se spolehnout na to, že IPSec dokáže přenášet i jiné protokoly než IP. IPSec je zabezpečení docela podobné, ale L2TP/IPSec může být o něco náročnější na zdroje a méně rychlý kvůli dodatečnému zapouzdření, které přidává další paket IP/UDP a hlavičku L2TP.
Chcete se o IPSec dozvědět více? Neváhejte se podívat na článek o něm.
Je tedy L2TP dobrý protokol VPN?
Pokud se L2TP používá s IPSec, je to docela bezpečný protokol – záleží však na tom, jak se díváte na Snowdenova obvinění a tvrzení. Není to nejrychlejší protokol kvůli funkci dvojitého zapouzdření, ale je poměrně stabilní a funguje ve více operačních systémech a zařízeních.
Na závěr – co je L2TP?
L2TP (Layer 2 Tunneling Protocol) je tunelovací protokol VPN, který je považován za vylepšenou verzi protokolu PPTP. Protože nemá žádné šifrování, je protokol L2TP často používán společně s protokolem IPSec. Většinou se tedy setkáte s tím, že poskytovatelé VPN nabízejí přístup k protokolu L2TP/IPSec, nikoli k samostatnému protokolu L2TP.
Používání protokolu L2TP/IPSec je poměrně bezpečné, i když je třeba zmínit, že se objevila tvrzení, že tento protokol byl prolomen nebo oslaben agenturou NSA. Z hlediska rychlosti není protokol L2TP příliš špatný, ale můžete se setkat s nižší rychlostí připojení kvůli funkci dvojitého zapouzdření protokolu. Co se týče dostupnosti, protokol L2TP funguje nativně na mnoha platformách Windows a macOS a lze jej poměrně snadno nakonfigurovat i na jiných zařízeních a operačních systémech.
Celkově je L2TP/IPSec slušný protokol VPN, ale pokud chcete skutečně bezpečný online zážitek, doporučujeme zvolit poskytovatele VPN, který kromě L2TP nabízí výběr z více protokolů VPN.
„WireGuard“ je registrovaná ochranná známka Jasona A. Donenfelda.