インターネットを経由して安全にネットワークへ接続するVPN技術の中で、「L2TP」という名前を目にしたことがある方は多いでしょう。
L2TPはVPNの中核を担うトンネリングプロトコルの一つであり、IPsecと組み合わせてL2TP/IPsecとして広く普及しています。
「PPTPとどう違うのか」「なぜIPsecと組み合わせる必要があるのか」といった疑問を持つ方のために、本記事ではL2TPの意味・仕組み・歴史・PPTPとの比較をわかりやすく解説していきます。
L2TPとは?PPPセッションをトンネリングするプロトコル
それではまず、L2TPの基本的な意味と仕組みについて解説していきます。
L2TP(Layer 2 Tunneling Protocol)とは、データリンク層(レイヤー2)のPPPフレームをIPネットワーク上でトンネリングするプロトコルです。
RFC 2661として標準化されており、MicrosoftとCiscoが共同で策定したL2FとMicrosoftのPPTPを統合した経緯を持ちます。
L2TPはトンネリングの仕組みのみを提供し、暗号化機能を持たないため、セキュリティ確保のためにIPsecと組み合わせて使用されるのが一般的です。
これがL2TP/IPsecと呼ばれる方式であり、現在もVPNの標準的な選択肢の一つとして広く使われています。
L2TPはインターネットサービスプロバイダー(ISP)とその顧客の間でPPP接続を延伸するために設計されました。LAC(L2TP Access Concentrator)とLNS(L2TP Network Server)という2つのエンドポイント間でトンネルを確立する構造が特徴です。
L2TPのトランスポートにはUDPポート1701が使われており、UDP上でL2TPの制御メッセージとデータメッセージをやり取りします。
トンネルの内側ではPPPセッションが維持されるため、PPPが持つ認証(PAP・CHAP・MS-CHAPv2)・圧縮・マルチリンクなどの機能を活用できます。
L2TPのアーキテクチャ:LACとLNSの役割
L2TPを理解するうえで、LACとLNSという2つのコンポーネントを把握しておくことが重要です。
LAC(L2TP Access Concentrator)はユーザー側のアクセスポイントとなる装置であり、ISPのネットワーク境界に配置されます。
LNS(L2TP Network Server)はVPNの終端となるサーバーであり、企業ネットワークの入口に配置されることが多いでしょう。
ユーザーがダイヤルアップ接続やブロードバンド接続でLACに接続すると、LACはLNSとの間にL2TPトンネルを確立し、PPPセッションをLNSまで延伸します。
これにより、ユーザーはあたかも直接企業ネットワークに接続しているように通信できます。
L2TPのパケット構造とカプセル化
L2TPのカプセル化の仕組みを理解すると、なぜオーバーヘッドが生じるかがわかります。
L2TP/IPsecにおけるカプセル化の階層(外側から内側の順)
・Ethernet(イーサネットヘッダー)
・IP(外部IPヘッダー)
・UDP(UDPヘッダー)
・L2TPヘッダー
・PPPヘッダー
・元のIPパケット(ペイロード)
このように複数のヘッダーが重なるため、実際に送れるペイロードサイズは元のMTU(通常1500バイト)より小さくなります。
オーバーヘッドは約40〜60バイト程度となることが多く、MTU設定の調整が必要になる場面もあります。
IPsecを組み合わせるとさらにESPヘッダー分のオーバーヘッドが加わるため、VPN環境ではMTUの設定に注意が必要です。
L2TPの認証メカニズム
L2TPではトンネルレベルとPPPセッションレベルの2段階で認証が行われます。
トンネル認証では、LACとLNSがチャレンジ応答方式(CHAP類似)でお互いを認証し、不正なトンネル確立を防ぎます。
PPPセッション認証では、エンドユーザーのIDとパスワードがPAP・CHAP・MS-CHAPv2などのプロトコルで検証されます。
MS-CHAPv2はMicrosoftが開発した認証プロトコルであり、Windowsの認証基盤と統合しやすいため企業環境でよく使われます。
さらにIPsecを組み合わせることで、証明書ベースの認証もサポートでき、より堅固なセキュリティが実現します。
L2TPとPPTPの違いを徹底比較
続いては、L2TPと混同されがちなPPTPとの違いを確認していきます。
PPTP(Point-to-Point Tunneling Protocol)はMicrosoftが開発したVPNプロトコルであり、Windowsに古くから標準搭載されてきました。
L2TPとPPTPはどちらもPPPベースのトンネリングプロトコルですが、セキュリティ・互換性・パフォーマンスの面で大きな違いがあります。
| 比較項目 | PPTP | L2TP/IPsec |
|---|---|---|
| 暗号化 | MPPE(128bit) | AES-256(IPsec) |
| セキュリティ | 脆弱性あり・非推奨 | 高い安全性 |
| 使用ポート | TCP 1723・GRE | UDP 500・4500・1701 |
| NATとの相性 | 比較的良好 | NATトラバーサル必要 |
| 速度 | 比較的高速 | やや低速(オーバーヘッドあり) |
| 現在の推奨度 | 非推奨 | 一般的に使用可 |
PPTPは設定が容易で通信速度が速い反面、暗号化の強度が弱くMS-CHAPv2の脆弱性が指摘されているため、現在は使用を推奨しない状況です。
セキュリティを重視するならL2TP/IPsecを選択するのが基本です。
PPTPが現在非推奨とされる理由
PPTPが現在非推奨とされる最大の理由は、暗号化の脆弱性にあります。
PPTPが使用するMPPE(Microsoft Point-to-Point Encryption)はRC4ベースであり、現代の基準ではセキュリティが不十分とされています。
また、認証に用いられるMS-CHAPv2は辞書攻撃やブルートフォース攻撃に対して脆弱であることが研究で示されており、セキュリティ専門家からの使用中止勧告が出ています。
PPTPは通信速度のメリットを持つものの、機密情報を扱うVPN接続では使用を避けるべきプロトコルといえます。
Windows 10・11でもPPTPはサポートされていますが、新規構築ではL2TP/IPsecやIKEv2/IPsecへの移行が推奨されます。
L2TPとOpenVPNの比較
L2TP/IPsecとよく比較される選択肢の一つがOpenVPNです。
OpenVPNはオープンソースのVPNソリューションであり、TLS/SSLをベースにした強力な暗号化を提供します。
L2TP/IPsecが標準搭載で手軽に使える点に対し、OpenVPNは専用クライアントソフトのインストールが必要ですが、より柔軟な設定と高いセキュリティを実現します。
ファイアウォール越えの観点では、OpenVPNがTCP 443を使用できるためHTTPS通信に偽装しやすく、厳格なファイアウォール環境でも通信しやすい特性があります。
L2TP/IPsecはシンプルで管理コストが低く、OpenVPNは高機能で柔軟性が高いという特徴を踏まえて選択するとよいでしょう。
L2TPとWireGuardの比較
近年急速に普及しているVPNプロトコルがWireGuardです。
WireGuardはL2TP/IPsecに比べてコードベースが格段に小さく(約4,000行)、シンプルな設計でセキュリティ監査がしやすいという特徴があります。
通信速度もL2TP/IPsecより高速であることが多く、モバイルネットワークでの接続切り替えにも素早く対応します。
ただし、WireGuardはL2TP/IPsecほどOSへの標準搭載が進んでおらず、クライアントアプリのインストールが必要な場合が多いでしょう。
新規にVPN環境を構築する場合は、WireGuardやIKEv2/IPsecも選択肢に含めて比較検討することをお勧めします。
L2TPのトラブルシューティングと注意点
続いては、L2TP/IPsecで発生しやすいトラブルと対処方法について確認していきます。
L2TP/IPsecの接続トラブルは、ネットワーク環境・設定ミス・ファイアウォールなど複数の原因が絡み合うことが多いため、体系的に切り分けることが重要です。
よくある接続エラーと原因
L2TP/IPsec接続でよく見られるエラーとその原因を把握しておくと、トラブル対応がスムーズになります。
「エラー789」はWindowsで頻出するエラーコードであり、多くの場合NATトラバーサルのレジストリ設定が原因です。
「エラー809」はVPNサーバーに接続できない場合に表示され、ファイアウォールによるUDP 500・4500のブロックが疑われます。
主なトラブルシューティング手順
1. ファイアウォールでUDP 500・4500・1701が許可されているか確認する
2. NATトラバーサルのレジストリ(AssumeUDPEncapsulationContextOnSendRule)を確認する
3. 事前共有鍵(PSK)が正確に設定されているか再確認する
4. VPNサーバーのIPsecポリシーとクライアント設定が一致しているか確認する
5. VPNサーバーのサービス(Routing and Remote Access)が起動しているか確認する
問題の原因を段階的に絞り込むことが、L2TPトラブル解決の基本アプローチです。
ログファイルの確認(Windowsではイベントビューアー)も原因特定に有効な手段です。
二重NATとL2TP接続への影響
L2TP/IPsecが特に接続しにくい環境として、二重NAT(ダブルNAT)があります。
二重NATとは、インターネットルーターの下にさらにルーターが存在する構成であり、集合住宅や一部のプロバイダー環境でよく見られます。
この環境ではIPsecパケットが正しくNATトラバーサルされないケースがあり、接続が確立できないことがあります。
対策としては、ルーターのDMZ設定やポートフォワーディングの設定変更、またはIPsecパススルー機能の有効化が有効です。
それでも解決しない場合は、TCP 443を使用するOpenVPNやSSL-VPNへの変更も検討するとよいでしょう。
まとめ
L2TPはデータリンク層のPPPフレームをIPネットワーク上でトンネリングするプロトコルであり、暗号化機能を持たないためIPsecと組み合わせてL2TP/IPsecとして使用されます。
PPTPと比較するとセキュリティが高く、AES-256による強力な暗号化が可能です。
一方でPPTPは速度は速いものの脆弱性の問題から現在は非推奨となっており、新規構築ではL2TP/IPsecやWireGuard・IKEv2の選択が推奨されます。
トラブル発生時はファイアウォール設定・NATトラバーサル・PSKの設定を順に確認することで、多くの問題を解決できます。
L2TPの仕組みを正しく理解したうえで、用途と環境に合ったVPNプロトコルを選択してみてください。
