Wat is L2TP/IPSec? Een VPN-protocol uitgelegd

De tekst "L2TP/IPSec" op een computer naast een vraagteken en een nadenkende man met laptop
Klik hier voor een korte samenvatting
In het kort: wat is L2TP/IPSec?

L2TP/IPSec is een VPN-protocol. De afkorting staat voor Layer 2 Tunneling Protocol/Internet Protocol Security. L2TP/IPSec zorgt dus voor een versleutelde tunnel waardoor je internetverkeer loopt.

Dit VPN-protocol is niet het snelste, maar ook niet het langzaamste protocol. Ook is het niet het veiligste protocol. Hoewel de meeste besturingssystemen L2TP/IPSec ondersteunen, besluiten veel VPN-providers het niet meer aan te bieden.

Een goede VPN die wel nog L2TP/IPSec aanbiedt is PrivateVPN.

Wil je meer weten over dit VPN-protocol en waarom je het misschien toch zou willen gebruiken? Lees dan snel verder!

Een VPN (Virtual Private Network) zorgt voor een beveiligde tunnel van een apparaat of netwerk naar een ander apparaat of netwerk. De beveiligde tunnel wordt opgezet met behulp van VPN-protocollen. Een van deze VPN-protocollen is L2TP/IPSec. In dit artikel gaan we dieper in op wat dit precies voor protocol is en hoe deze werkt.

Wat is L2TP?

L2TP staat voor Layer 2 Tunneling Protocol. ‘Layer 2’ verwijst hierbij naar de tweede laag van het Open Systems Interconnection (OSI) Model van netwerkcommunicatie. Het OSI-model bestaat uit deze zeven lagen waarin informatietransmissie over digitale netwerken wordt beschreven:

  1. Toepassingslaag (application layer)
  2. Presentatielaag (presentation layer)
  3. Sessielaag (session layer)
  4. Transportlaag (transport layer)
  5. Netwerklaag (network layer)
  6. Datalinklaag (data link layer)
  7. Fysieke laag (physical layer)

Mocht je je afvragen waarom de lagen omgekeerd opgesomd staan: de eerste laag is de basislaag waar bovenop wordt gebouwd. In dit artikel zullen we niet diep ingaan op de verschillende lagen. Wat belangrijk is om te weten is dat L2TP werkt op de tweede laag. IPSec, waar we zo verder op ingaan, werkt binnen de netwerklaag (laag 3).

L2TP is gebaseerd op een combinatie van Cisco’s Layer 2 Forwarding Protocol (L2F) en het Point-to-Point Tunneling Protocol (PPTP). Het tunneling-protocol zorgt ervoor dat er een tunnel wordt opgezet waar datapakketjes doorheen verstuurd worden. Tunneling is een netwerkcommunicatieproces dat een datapakket inkapselt in een ander protocol om dit datapakket te beschermen.

Aangezien de encapsulation alleen zichtbaar is voor de systemen aan het begin en eind van de tunnel (bij VPN’s dus jouw device en de VPN-server), creëert dit een logische illusie van een tunnel. Dit wordt ook wel end-to-end beveiliging genoemd. Op de plek van bestemming wordt het datapakketje weer uitgepakt. L2TP is een specifiek tunneling-protocol voor VPN’s.

Wat is IPSec?

IPSec staat voor Internet Protocol Security. Het is een layer 3 OSI-model end-to-end beveiligingssuite waarmee twee devices of netwerken op een versleutelde manier met elkaar kunnen communiceren over het internet (IP-netwerk). IPSec is eigenlijk een set van protocollen die datapakketjes kunnen authenticeren en versleutelen.

IPSec verschilt hiermee van beveiligingsmethodes Secure Shell (SSH), die pas op de toepassingslaag werkt, en Transport Layer Security (TLS), die wordt behandeld alsof het op de transport layer beveiligt.

Een van de protocollen die onder IPSec valt is Internet Key Exchange, oftewel IKE. IKE versie 2 is ook een VPN-protocol op zich. Over IKEv2 vertellen we je meer in het artikel ‘Wat is IKEv2‘.

IPSec bestaat grofweg uit twee onderdelen: Authenticatie Header (AH) en Encapsulating Security Protocol (ESP). In de combinatie met L2TP wordt er voornamelijk gebruikgemaakt van de ESP-functies. Deze functies kunnen op twee manieren worden ingesteld:

  • Transport mode. Deze modus versleutelt alleen de payload van het IP-datapakket, oftewel de informatie. De header, waarin bijvoorbeeld het IP-adres van de afzender wordt weergegeven, blijft wel zichtbaar.
  • Tunnel mode. Deze modus versleutelt het gehele IP-datapakket. Dus ook de header wordt vervangen en verborgen in de versleutelde tunnel.

Voor- en nadelen L2TP/IPSec

Het grootste voordeel van L2TP/IPSec is dat het protocol werkt op alle besturingssystemen. Helaas werkt het VPN-protocol echter niet op alle soorten netwerken. Het is dus niet de beste keuze als je vaak wisselt van bijvoorbeeld (openbare) wifi-netwerken, waar het gebruik van een VPN wel sterk wordt aangeraden.

Samengevat zijn dit de belangrijkste voor- en nadelen van het L2TP/IPSec-protocol.

VoordelenNadelen
Relatief snelNiet zo veilig als bijvoorbeeld OpenVPN
Ondersteund door alle bekende besturingssystemenNiet meer beschikbaar in veel VPN-clients
Veiliger dan het PPTP-protocolLangzamer dan IKEv2
Relatief gemakkelijk geblokkeerd door de meeste firewalls door het gebruik van UDP-poort 500

Hoe werkt L2TP/IPSec?

Op de eerste plaats worden beveiligingssleutels uitgewisseld tussen jouw device en de VPN-server. Dit doet L2TP/IPSec met behulp van IKEv2 over de (User Datagram Protocol) UDP 500 port op de router. De ESP-functies van IPSec gaan normaal gesproken over netwerkpoort 50. L2TP zorgt ervoor dat IPSec-verkeer alleen beveiligd jouw device op mag. Daarom verpakt L2TP de ESP-data in om het door netwerkpoort 1701 te laten gaan.

Om het verkeer toch begrijpelijk te maken voor de ontvanger, dat het dus gaat om internetverkeer, moet er NAT-traversal plaatsvinden. Network Address Translation (NAT) is een techniek waarbij protocolinformatie in stand gehouden wordt en herkenbaar blijft, ook als er gewisseld wordt van netwerkpoorten. Uiteindelijk gaat je internetverkeer hiermee door de UDP 4500 port.

Dit is natuurlijk erg technisch. Je kunt het ook gewoon simpel zien:

  1. L2TP zet een tunnel op.
  2. IPSec versleutelt je gegevens.
  3. De combinatie L2TP/IPSec stuurt je gegevens door de tunnel naar de VPN-server.

Schematische weergave van hoe een VPN werkt met L2TP/IPSec

Is L2TP/IPSec veilig?

Experts zijn het er niet helemaal over eens of L2TP/IPSec veilig is of niet. Zo zegt het bedrijf Twingate, dat zich specialiseert in de beveiliging van bedrijfsnetwerken, dat het in principe een veilig protocol kan zijn. Wel is hiervoor een sterk en gespecialiseerd technisch team nodig, om eventuele beveiligingslekken te voorkomen.

In 2016 bleek bovendien dat de NSA speciale software ontwikkeld heeft om IPSec-encryptie te ontsleutelen. Deze software werd gestolen door een hackersgroep genaamd Shadow Brokers en ingezet voor wereldwijde ransomware-aanvallen. Het ging toen om een specifieke versie van de encryptie op Cisco-routers, maar volgens cybersecurity expert Mustafa Al-Basam bestaat het probleem bij alle VPN’s die IPSec gebruiken: “The history of IPSec VPNs is littered with remote code execution vulnerabilities for over a decade. If you use IPSec, assume you’re pwned“.

Als je jezelf online wilt beveiligen, kun je beter het zekere voor het onzekere nemen en L2TP/IPSec niet gebruiken. De meeste VPN-providers bieden de mogelijkheid aan om het OpenVPN-protocol te gebruiken. Dit is de gouden standaard als het gaat om VPN-protocollen en zorgt voor een betere encryptie.

Encryptie van dit VPN-protocol

Mail wordt decrypt door sleutelHoewel een VPN geen encryptie hoeft te bieden om VPN te heten, is dit wel een vereiste voor goede commerciële VPN’s voor particulieren. In het geval van L2TP/IPSec zorgt de security suite IPSec voor de encryptie.

IPSec maakt gebruik van asymmetrische encryptie-algoritmes. Het kan hierbij gaan om AES, Blowfish, DES, Tripple DES (3DES) en DES-CBC. Helaas wordt van deze lijst alleen AES-encryptie tegenwoordig nog veilig geacht.

Daarnaast heeft IPSec mechanismen waarmee twee systemen met elkaar overeenstemmen welke vorm van encryptie en key exchange ze gaan gebruiken. Deze overeenkomst wordt een Security Association genoemd. Een van deze mechanismen is IKEv2, die op zijn beurt gebruikmaakt van de Diffie-Hellman key exchange. Andere opties zijn Kerberized Internet Negotiation of Keys en IPSec Key DNS.

Hoe snel is L2TP/IPSec?

Computerscherm met daarop een snelheidsmeterL2TP/IPSec is niet het snelste protocol, maar ook zeker niet het langzaamste. L2TP/IPSec is bijvoorbeeld langzamer dan IKEv2. Dit valt te verklaren doordat L2TP/IPSec gebruikmaakt van dubbele inkapseling, maar IKEv2 van ‘slechts’ één tunnel encapsulation.

Wel is L2TP/IPSec sneller dan OpenVPN (TCP). OpenVPN (TCP) gebruikt namelijk sterkere encryptie. Het in- en uitpakken van datapakketjes duurt hierdoor langer. Als je kijkt naar OpenVPN (UDP), dan blijkt dat deze net wat sneller is dan L2TP/IPSec. Hoe het zit met de verschillen tussen TCP en UDP, lees je in ons OpenVPN-protocol artikel.

Welke VPN’s gebruiken het L2TP/IPSec protocol?

Steeds meer VPN’s verwijderen L2TP/IPSec uit hun repertoire. Zo heeft geen enkele VPN uit onze top 5 het protocol. De laatste top aanbieder die L2TP/IPSec verwijderde was ExpressVPN. Deze deed dat op 31 oktober 2022. Wil je toch echt dit minder veilige protocol gebruiken? Dan zijn deze drie VPN-aanbieders de beste aanbieders die dit protocol wel nog aanbieden.

PrivateVPN: kleine provider die zich inzet voor jouw privacy

PrivateVPN is een kleine VPN-aanbieder die zich inzet voor jouw privacy. Het bedrijf houdt helemaal geen logs bij, zelfs geen connectielogs. Als je een anoniem e-mailadres opgeeft en betaalt met cryptocurrency, kun je de VPN dus praktisch geheel anoniem kopen.

Hoewel PrivateVPN slechts weinig servers heeft, kun je er wel toegang mee krijgen tot de Amerikaanse Netflix. Dit is erg indrukwekkend. Test de service direct gratis uit met de 30-dagen geld-terug-garantie of krijg meer info over deze VPN-provider in onze PrivateVPN-review.

PrivateVPN
Actie:
Veilig online voor maar €2.23 per maand
Vanaf
€2.23
8.0
  • Geen logs
  • Speciale Netflix-servers
  • Weinig servers
Bezoek PrivateVPN

TorGuard: L2TP/IPSec op mobiele apparaten

TorGuard is een andere erg goede VPN-provider die nog L2TP/IPSec aanbiedt. Deze dienst heeft het protocol echter alleen standaard in de smartphone-app ingebouwd. Als je een beetje technisch onderlegd bent, dan kun je dit VPN-protocol wel op je Windows-laptop of -desktop installeren. TorGuard heeft hiervoor, en voor andere leuke ICT-trucjes, een uitgebreide kennisbank.

TorGuard is echter niet de meest klantvriendelijke provider. Als je hulp nodig hebt, vind je bij TorGuard namelijk niet altijd antwoord op je vraag. Ook is de klantenservice niet altijd online. Als je wel weet wat je doet, dan is TorGuard wel een betrouwbare VPN met een solide privacybeleid en oog voor veiligheid.

Lees de volledige TorGuard-review voor alle ins en outs over deze provider. Ook test je de service helemaal gratis uit met de 7 day free trial. Als je binnen zeven dagen opzegt, houdt het bedrijf helemaal geen geld af van je rekening.

Torguard
Vanaf
€1.91
8.3
  • Houdt geen logs bij
  • Groot aanbod aan servers
  • Lastig om streamingdiensten te unblocken
Bezoek Torguard

FastestVPN: een VPN voor erg weinig geld

FastestVPN is niet de beste VPN op de markt, maar wel een van de allergoedkoopste VPN’s. Je hebt al een abonnement voor ongeveer één euro per maand. Bovendien is FastestVPN een ‘no log’-VPN en hiermee een goede keuze voor je privacy.

Als je graag naar de Amerikaanse Netflix kijkt vanuit Nederland, is het echter niet de beste keuze. De snelheid van de VPN-servers is, in tegenstelling tot wat de naam doet vermoeden, namelijk niet erg goed. Dit geldt vooral voor servers die ver weg liggen. Als je anoniem torrents wilt downloaden met een Nederlandse server, dan is FastestVPN wel een prima optie.

Wil je meer weten over deze aanbieder? Lees dan onze volledige review van FastestVPN. Door op de oranje button te klikken, kun je de dienst direct zelf uitproberen met de 15-dagen geld-terug-garantie.

FastestVPN
Vanaf
€0.60
7.0
  • Goede beveiliging
  • Wisselende snelheid
  • Geen software in Nederlands
Bezoek FastestVPN

L2TP/IPSec protocol instellen in de VPN-client

Het is mogelijk om helemaal handmatig een VPN in te stellen op je device. Hierbij heb je ook de keuze voor beveiliging middels het L2TP/IPSec-protocol. Op het Windows-besturingssysteem doe je dit in de instellingen onder ‘Netwerk en internet‘ en dan ‘VPN‘. Je vult dan de gegevens van de server in en kiest een protocol.

Windows scherm "Een VPN-verbinding toevoegen" waarbij "L2TP/IPSec" is uitgelicht

Het is echter veel makkelijker om een VPN-client te gebruiken. Wanneer je een abonnement afsluit op een VPN-provider, dan krijg je hier namelijk gewoon een app van. Binnen de instellingen verander je heel eenvoudig het protocol naar L2TP/IPSec.

In de meeste apps werkt dit precies hetzelfde. De screenshots zijn ter illustratie gemaakt met ExpressVPN. Deze goede VPN biedt nu geen L2TP/IPSec meer aan, maar wel andere veiligere VPN-protocollen. Wil je meer weten over deze aanbieder? Lees dan ook onze ExpressVPN-review.

  1. Open de instellingen binnen de VPN-app. Bij ExpressVPN heet dit ‘Opties’.
  2. Speedtest ExpressVPN
  3. Navigeer naar het tabblad ‘Protocol‘ of ‘Netwerk‘.
  4. Kies het VPN-protocol dat je wilt gebruiken.
  5. ExpressVPN scherm "Protocol" waarbij "Protocol" en "L2TP/IPSec" zijn uitgelicht

Tot slot

L2TP/IPSec is dus een relatief snel, maar niet het meest veilige protocol. Veel VPN-aanbieders besluiten dan ook om dit protocol niet meer aan te bieden. Als je toch echt L2TP/IPSec wilt gebruiken, dan raden we PrivateVPN aan om te gebruiken.

Wil je meer weten over VPN-beveiligingstechnieken? Lees dan ons vergelijkingsartikel over de verschillende protocollen. Zo kun jij een goed geïnformeerde keuze maken over welk protocol jij gebruikt. Zo is er een perfect protocol voor gaming, het snelle WireGuard-protocol, maar kun je beter anoniem internetten met het OpenVPN-protocol.

Veelgestelde vragen over L2TP/IPSec

Heb je een vraag over dit VPN-protocol waar je snel en kort antwoord op wilt? Kijk dan in onze FAQ. Andere vragen over L2TP/IPSec mag je altijd stellen in de reacties!

L2TP is een tunneling-protocol. Het staat voor Layer 2 Tunneling Protocol en de tunnel werkt dus op de datalinklaag (de tweede laag) van het OSI-Model van netwerkcommunicatie.

Wil je weten hoe dit protocol werkt bij VPN’s en of het voor genoeg bescherming zorgt? Lees er dan alles over in ons artikel over L2TP/IPSec.

L2TP zorgt er binnen het L2TP/IPSec VPN-protocol voor dat er een tunnel tot stand wordt gebracht. Het zorgt ervoor dat IPSec-verkeer alleen beveiligd op jouw device komt en laat het datapakket toch herkenbaar zijn voor de ontvanger door NAT-traversal toe te passen.

In ons artikel over L2TP/IPSec lees je alles over dit protocol en welke voor- en nadelen deze heeft.

L2TP en IPSec vormen samen de combinatie L2TP/IPSec. Dit is een VPN-protocol waarbij L2TP zorgt voor het opzetten van een tunnel en IPSec voor de encryptie. Hoe dit precies werkt lees je in ons uitgebreide artikel over L2TP/IPSec.

L2TP is voortgekomen uit PPTP en Cisco’s L2F. Het is daarmee een voorloper op L2TP. Tegenwoordig wordt PPTP’s encryptie als onveilig gezien. Ook is dit protocol minder stabiel dan L2TP/IPSec.

Wil je meer weten over de verschillen tussen deze twee? Neem dan een kijkje in ons artikel waarin we alle VPN-protocollen vergelijken.

OpenVPN werkt met een andere vorm van encryptie dan L2TP/IPSec. Ook is OpenVPN een stabieler protocol dat op meer netwerktypes mogelijk is.

In ‘VPN-protocollen vergeleken‘ gaan we dieper in op de verschillen tussen L2TP/IPSec en OpenVPN. Ook kijken we daar naar andere VPN-protocollen die vaak gebruikt worden.

Ports zijn netwerktoegangen waardoor alleen een bepaald type verkeer kan vloeien. L2TP/IPSec maakt gebruik van verschillende ports:

  • UDP 500 port
  • UDP 50
  • Port 1701
  • UDP 4500 port

In ‘Wat is L2TP/IPSec?‘ lees je meer over de werking van dit VPN-protocol.

Techredacteur
Tamara is al jaren bezig met taal en communicatie. De steeds vernieuwde kennis over tech en cybersecurity weet ze zo goed over te brengen op het grote publiek. Tamara is geïnteresseerd in kwesties rondom (overheids)censuur en de balans tussen privacy en vrijheid online.
Plaats een reactie
Een reactie plaatsen