11. L2TP (Layer 2 Tunneling Protocol)

El Layer 2 Tunneling Protocol (L2TP) encapsula tramas de capa 2 dentro de IP para transportar sesiones PPP a través de redes públicas. Surgió como evolución de PPTP y L2F, y se encuentra documentado en la RFC 2661. Aunque no ofrece cifrado propio, combinado con IPsec continúa siendo una opción popular para conexiones VPN en Windows y routers domésticos.

En este tema se repasa su arquitectura, el flujo básico de establecimiento, los casos de uso más frecuentes, sus ventajas y limitaciones, y un ejemplo de configuración híbrida con IPsec.

11.1 Fundamentos y arquitectura

L2TP trabaja transportando unidades PPP (Point-to-Point Protocol) dentro de paquetes UDP (puerto 1701). Sus actores principales son:

  • L2TP Access Concentrator (LAC): dispositivo del lado del cliente o proveedor que recibe conexiones PPP y las encapsula.
  • L2TP Network Server (LNS): terminación del túnel que autentica, asigna direcciones y entrega acceso a la red corporativa.

El LAC puede residir en un router doméstico, un CPE del ISP o incluso en el sistema operativo del usuario. El LNS suele ser un servidor VPN en la casa matriz o en la nube.

11.2 Flujo de funcionamiento

El proceso de establecimiento incluye los siguientes pasos:

  1. El cliente inicia una sesión PPP (discado, conexión dial-up o cliente VPN).
  2. El LAC encapsula esa sesión en L2TP y establece un túnel con el LNS.
  3. L2TP negocia parámetros (ID de túnel, ID de sesión) y transfiere los PPP frames al LNS.
  4. El LNS autentica al usuario (PAP, CHAP, EAP) y asigna direcciones IP o políticas.
  5. Una vez activo, el tráfico PPP fluye cifrado si se combina con IPsec, o en claro si no se agregó protección.

L2TP soporta múltiples sesiones dentro de un mismo túnel, lo que permite multiplexar varios usuarios sin abrir nuevos sockets UDP.

11.3 Encapsulación y combinación con IPsec

Al no incluir cifrado, L2TP se combina con IPsec para asegurar los datos. La arquitectura típica recibe el nombre de “L2TP/IPsec” y funciona así:

  • IPsec en modo transporte protege los paquetes UDP 1701 entre el cliente y el servidor.
  • Dentro de ese canal seguro viajan los mensajes de control y los frames PPP transportados por L2TP.
  • La autenticación del túnel se maneja con IKE (certificados o PSK) y la del usuario con PPP (credenciales individuales).

El resultado es una VPN doblemente autenticada: primero el dispositivo y luego el usuario. Este enfoque continúa siendo compatible con clientes nativos de Windows, macOS y muchos routers.

11.4 Ventajas y desventajas

Aspecto Ventajas Desventajas
Compatibilidad Cliente nativo en Windows, Android, iOS y muchos routers. Requiere IPsec para seguridad real; sin él, transmite en claro.
Escalabilidad Permite múltiples sesiones PPP por túnel. Mayor overhead que soluciones modernas como WireGuard.
Operación Separación de la autenticación del dispositivo y del usuario. Configuración más compleja (PPP + IPsec + políticas).
Rendimiento Uso eficiente del ancho de banda en enlaces de baja velocidad. No aprovecha hardware criptográfico de forma tan óptima como IPsec puro.

11.5 Escenarios de uso

  • Acceso remoto corporativo: empleados se conectan desde notebooks o móviles usando clientes L2TP/IPsec.
  • Routers domésticos o SOHO: proveedores incluyen soporte para L2TP para facilitar conexiones preconfiguradas.
  • Integraciones heredadas: sistemas que dependen de PPP o autenticación basada en RADIUS encuentran en L2TP una transición sin cambios drásticos.

Aunque nuevas tecnologías ganan popularidad, L2TP sigue vigente por su interoperabilidad y porque muchos ISP lo usan internamente para gestionar CPE.

11.6 Ejemplo de configuración en Windows

Windows permite crear conexiones L2TP/IPsec desde PowerShell, indicando pre-shared key y servidor destino: 

Add-VpnConnection -Name "VPN-L2TP" `
  -ServerAddress "vpn.empresa.com" `
  -TunnelType L2TP `
  -L2tpPsk "CLAVE-SECRETA" `
  -AuthenticationMethod Pap,Chap `
  -RememberCredential

El administrador puede complementar esto con políticas de acceso condicional, distribución vía Intune o scripts de inicio de sesión. Es recomendable exigir certificados en lugar de PSK para mayor seguridad.

11.7 Consideraciones prácticas

  • Habilitar NAT-T (UDP 4500) cuando los clientes se encuentran detrás de routers que realizan NAT.
  • Monitorear sesiones mediante RADIUS accounting para detectar usos no autorizados.
  • Limitar los algoritmos PPP inseguros (PAP) salvo que el canal IPsec ya provea autenticación fuerte.
  • Documentar claramente qué prefijos y servicios se publican a través del túnel.

L2TP continúa siendo una solución equilibrada cuando se necesita compatibilidad amplia y una arquitectura basada en PPP. En el próximo tema revisaremos PPTP, un protocolo histórico que hoy se considera inseguro.

Retornar