50 % Rabatt auf alle Pläne, begrenzte Zeit. Ab $2.48/mo
Noch 9 Min.
Sicherheit & Netzwerk

MikroTik L2TP VPN-Einrichtung (mit IPsec): RouterOS-Anleitung (2026)

Rexa Cyrus By Rexa Cyrus 9 Min. Lesezeit Aktualisiert vor 23 Tagen
Ein Cloudzy-Titelbild für einen MikroTik L2TP VPN-Guide, das einen Laptop zeigt, der über einen leuchtend blau-goldenen digitalen Tunnel mit Shield-Symbolen mit einem Server-Rack verbunden ist.

Bei diesem MikroTik L2TP VPN-Setup übernimmt L2TP das Tunneling, während IPsec die Verschlüsselung und Integrität sicherstellt. Diese Kombination bietet native Client-Kompatibilität ohne Drittanbieter-Agenten. Die Überprüfung der kryptografischen Hardware-Grenzen hat dabei höchste Priorität.

Wer den Kapselungs-Overhead dieses Doppelprotokoll-Stacks ignoriert, würgt Deployments still ab, bevor sie auch nur ein einziges Megabyte verarbeiten.

Was ist MikroTik L2TP VPN?

Von Grund auf ist L2TP ausschließlich als reiner Transportkanal konzipiert. Es bietet keinerlei eigene Verschlüsselung für den Datenverkehr über unsichere Netzwerke.

Um Verschlüsselung und Integrität hinzuzufügen, kombinieren Netzwerkarchitekten L2TP mit IPsec. Das Ergebnis ist ein Doppelprotokoll-Stack, bei dem L2TP den Tunnel kapselt und IPsec die Nutzdaten absichert. Diese Hybridarchitektur ist die erste Wahl, wenn Legacy-Kompatibilität gefragt ist und keine invasiven Drittanbieter-Agenten eingesetzt werden sollen.

Diese Abhängigkeit vom Doppelprotokoll bestimmt direkt, wie Sie Ihre Firewall-Ausnahmenkonfigurieren. Ihr MikroTik VPN-Setup schlägt sofort fehl, sobald entweder das UDP-Routing oder der zugrunde liegende IPsec-Kapselungsprozess ausfällt.

So funktioniert es

Der Aufbau dieser gesicherten Verbindung erfordert einen präzisen, zweistufigen Netzwerk-Handshake. IKE Phase 1 handelt zunächst die kryptografische Security Association anhand Ihres komplexen Vorinstallierter Schlüssel.

Sobald diese Grundlage steht, baut Phase 2 den L2TP-Tunnel direkt innerhalb der verschlüsselten Nutzdaten auf. Schlägt eine der beiden Phasen fehl - wegen PSK-Mismatch, Proposal-Mismatch, blockiertem UDP 500/4500 oder NAT-Problemen - kommt der Tunnel nicht zustande. In bestimmten Windows NAT-T-Grenzfällen kann außerdem eine Registry-Änderung erforderlich sein.

Der doppelte Kapselungsprozess

Daten, die durch ein MikroTik L2TP VPN-Setup fließen, durchlaufen eine mehrstufige Verpackung. Sie werden in einen Standard- PPP-Frameeingebettet, dann vom L2TP-Protokoll umhüllt und schließlich durch IPsec ESP gesichert.

Ein leuchtender digitaler Datenwürfel ist sicher von einem durchsichtigen blauen Zylinder und einem massiven silbernen Metallring umschlossen - eine Darstellung eines mehrschichtigen Kapselungsprozesses.

Dieser kumulative Overhead bläht die Paketgröße erheblich auf und treibt sie weit über die standardmäßige Maximale Übertragungseinheit des Netzwerks hinaus. Diese plötzliche Vergrößerung führt in Hochlatenznetzwerken unweigerlich zu starker Paketfragmentierung.

Wenn in Ihrem Unternehmen Geschwindigkeit Vorrang vor tiefem Tunneling hat, empfehle ich unseren Leitfaden zur Shadowsocks-Konfiguration - eine überzeugende Alternative mit geringem Overhead. Für einfache webbasierte Unternehmensanwendungen ist schweres Tunneling meiner Meinung nach oft überdimensioniert.

Wie richtet man MikroTik L2TP VPN ein?

Ein abgesicherter Server auf RouterOS v7 erfordert höchste Sorgfalt beim Setup. Am besten geben Sie dem Router eine öffentlich erreichbare Adresse oder einen stabilen DNS-Namen. Eine statische öffentliche IP ist bevorzugt, aber nicht in jedem Deployment zwingend erforderlich.

Sichern Sie die Konfiguration sofort, da fehlerhafte IPsec-Richtlinien den Zugang sperren können. Lesen Sie dazu unseren Leitfaden zum Thema Mikrotik Port-Weiterleitung Lesen Sie die Dokumentation vollständig, bevor Sie kryptografische Traffic-Chains anpassen. Folgen Sie dieser MikroTik L2TP VPN-Einrichtung genau. Firewall-Regeln auf einem Live-Produktionsrouter überstürzt zu setzen endet garantiert in einer Katastrophe.

Schritt 1: IP-Pool und PPP-Profil erstellen

Sie müssen lokale IP-Adressen festlegen. Verbindende Clients erhalten diese IPs.

  1. Öffnen Sie das Menü IP. Klicken Sie auf Pool.
  2. Klicken Sie auf Hinzufügen. Benennen Sie den Pool vpn-pool.
  3. Legen Sie Ihren gewünschten IP-Bereich fest.
  4. Öffnen Sie das Menü PPP. Klicken Sie auf Profile.
  5. Klicken Sie auf Hinzufügen. Benennen Sie das Profil l2tp-profile.
  6. Weisen Sie als Local Address die Gateway-Adresse Ihres Routers zu.
  7. Setzen Sie die Remote Address auf vpn-pool.

Schritt 2: Globalen Server und IPsec aktivieren

Dieser Schritt aktiviert den globalen L2TP-Listener in Ihrer MikroTik L2TP VPN-Einrichtung. RouterOS bindet die IPsec-Verschlüsselung dynamisch ein, sobald Sie sie aktivieren.

  1. Öffnen Sie das Menü PPP. Klicken Sie auf Interface.
  2. Klicken Sie auf L2TP Server.
  3. Setzen Sie das Häkchen bei Enabled.
  4. Wählen Sie L2TP-Profile als Standard-Profil.
  5. Wählen Sie unter Use IPsec die Option Require, es sei denn, Sie benötigen bewusst einen Fallback ohne IPsec für ein Lab- oder Migrationsszenario.
  6. Tragen Sie eine komplexe Zeichenkette in das Feld IPsec Secret ein.

Schritt 3: PPP-Benutzer (Secrets) anlegen

Ihr Server benötigt Benutzerkonten. Sie müssen Anmeldedaten für die Remote-Client-Authentifizierung erstellen. Der nächste Teil Ihrer MikroTik L2TP VPN-Einrichtung wechselt zum PPP-Profil.

  1. Öffnen Sie das Menü PPP. Klicken Sie auf Secrets.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie einen eindeutigen Namen ein. Geben Sie ein sicheres Passwort ein.
  4. Setzen Sie den Service auf L2TP.
  5. Setzen Sie das Profil auf l2tp-profile.

Schritt 4: Firewall-Regeln konfigurieren (Priorität)

Deine Firewall blockiert die IPsec-Aushandlung. Diese Regeln müssen in deine Input-Chain eingetragen werden.

Ein dunkelblauer und silberner Netzwerk-Router mit leuchtenden optischen Kabeln in seinen Ports, die deutlich mit "UDP 500", "UDP 4500" und "IPsec-ESP" beschriftet sind.

  1. UDP-Port 500 akzeptieren. Dieser Port verwaltet Phase-1-Security-Associations.
  2. Port 4500 für UDP akzeptieren. Dieser verarbeitet NAT Traversal.
  3. Port 1701 für UDP akzeptieren, um L2TP-Verbindungen aufzubauen. Nach der Einrichtung kann zugehöriger Datenverkehr weitere UDP-Ports verwenden, wie ausgehandelt.
  4. IPsec-ESP-Protokoll zulassen. Damit werden verschlüsselte Nutzdaten gemäß Protokoll 50 ermöglicht.

Wenn VPN-Clients gerouteten Zugriff auf interne Subnetze benötigen, müssen zusätzlich IPsec-Policy-Match-Regeln in der Forward-Chain eingetragen und der entsprechende Traffic von srcnat/masquerade ausgenommen werden. FastTrack-Bypass allein reicht für alle gerouteten IPsec-Szenarien nicht aus.

Schritt 5 & 6: Standardrichtlinien und Peer-Profile optimieren

RouterOS verwendet standardmäßige dynamische Templates. Diese müssen manuell abgesichert werden.

  1. Öffnen Sie das IP-Menü. Klicken Sie auf die Option IPsec. Klicken Sie auf den Tab Proposals.
  2. SHA256-Hash-Parameter prüfen. AES-256-CBC-Verschlüsselung verifizieren.
  3. Setze die PFS-Gruppe mindestens auf modp2048 – oder eine stärkere Gruppe, sofern alle beteiligten Client-Plattformen diese unterstützen. modp1024 ist nicht zulässig; RFC 8247 stuft es als SHOULD NOT ein.
  4. Klicke auf den Profiles-Tab. Setze Hash auf sha256. Setze Encryption auf aes-256.
  5. Aktiviere NAT Traversal, wenn Clients oder der Server hinter NAT sitzen könnten. Dadurch funktioniert IPsec korrekt über Port 4500 in NAT-Umgebungen.

Alle Proposal-Werte – PFS-Gruppe, Hash-Algorithmus und Verschlüsselungsverfahren – müssen mit dem übereinstimmen, was Ihre Client-Plattformen tatsächlich unterstützen. Stimmen sie nicht überein, schlägt Phase 2 ohne Fehlermeldung fehl.

Erweiterte Optimierung (FastTrack umgehen)

Die standardmäßige IPv4-FastTrack-Regel beschleunigt die Paketweitergabe künstlich. Das führt regelmäßig dazu, dass IPsec-Tunnel abbrechen, weil Pakete vor dem Verschlüsselungszyklus vorzeitig weitergeleitet werden.

Ein schweres, silbernes Panzerfahrzeug fährt sicher auf einer erhöhten Umgehungsspur mit der Aufschrift "IPSec cryptographic traffic" und umgeht dabei den turbulenten blauen digitalen Strom darunter mit der Bezeichnung "FastTrack".

Du musst FastTrack für den gesamten kryptografischen Datenverkehr explizit umgehen. Erstelle dazu eine Accept-Regel mit den IPsec-Matchern Policy=in,ipsec. Ziehe diese Regel oberhalb von FastTrack. Deine MikroTik VPN-Konfiguration stabilisiert sich, sobald das eingerichtet ist.

Wenn VPN-Clients gerouteten Zugriff auf interne Subnetze benötigen, müssen zusätzlich IPsec-Policy-Match-Regeln in der Forward-Chain eingetragen und der entsprechende Traffic von srcnat/masquerade ausgenommen werden. FastTrack-Bypass allein reicht für alle gerouteten IPsec-Szenarien nicht aus.

Wichtigste Funktionen und Vorteile

Viele Teams entscheiden sich nach wie vor für ein MikroTik L2TP VPN-Setup statt für Zero-Trust-Modelle, um native OS-Kompatibilität zu behalten und Drittanbieter-Agents zu vermeiden. Dennoch setzen erfahrene Sysadmins weiterhin auf den höheren IPsec-Overhead, allein um maximale administrative Kontrolle zu behalten. Die native Betriebssystemintegration beseitigt kollidierende Drittanbieter-Agents auf Ihren Endpunkten zuverlässig.

Ich stelle immer wieder fest: Native Betriebssystem-Tools überdauern trendige Drittanbieter-Agenten jedes Mal. Wer diese obligatorischen Client-Rollouts weglässt, spart dem Helpdesk leicht Hunderte von Stunden im Jahr. Die Einrichtung dieses MikroTik L2TP VPN bringt jedoch konkrete Hardware-Anforderungen mit sich, die nachfolgend beschrieben werden.

Funktionsbereich RouterOS Auswirkungen
Sicherheitsstandard AES-256-IPsec-Verschlüsselung schützt vor Man-in-the-Middle-Angriffen.
Kompatibilität Breite native Unterstützung auf Windows- und Apple-Plattformen, mit plattform- und versionsspezifischer Unterstützung auf anderen Systemen.
CPU-Overhead Der IPsec-Durchsatz hängt vom Router-Modell, der CPU, dem Datenverkehrsmuster, der Cipher-Suite und der Offload-Unterstützung ab. Auf kompatibler Hardware kann RouterOS IPsec-Beschleunigung wie AES-NI nutzen.
Firewall-Komplexität Firewall-Regeln variieren je nach Topologie, aber L2TP/IPsec erfordert üblicherweise UDP 500, UDP 4500, L2TP-Steuerverkehr und IPsec-Richtlinienverarbeitung.

Sicherheit und native Kompatibilität

Der entscheidende Sicherheitsvorteil dieses MikroTik-L2TP-VPN-Setups ist die kryptografische AES-256-Suite. Die Mathematik stimmt. Dennoch bleiben exponierte Edge-Gateways ein bevorzugtes Ziel für automatisierte Scan-Systeme. Ein aktueller 2024 CISA Bericht bestätigte, dass exponierte VPN-Gateways weltweit für rund 22 % der initialen Ransomware-Zugriffsvektoren verantwortlich sind.

Ein zentraler silberner Server mit Shield-Icon ist mit einem Windows-Laptop, einem MacBook, einem Linux-Terminal, einem iOS-Gerät und einem Android-Smartphone verbunden.

Striktes Address-List-Filtering ist unverzichtbar. Einem exponierten Port ohne Adressfilterung zu vertrauen, ist fahrlässig. Wenn Sie Deep-Packet-Inspection begegnen, lesen Sie unseren Artikel zur Einrichtung eines Verschleiertes VPN um aktive Zensur zu umgehen.

Performance-Überlegungen (Hardware-Offloading)

Ohne Hardware-Beschleunigung übernimmt die CPU die gesamte Verschlüsselung inline. Das kann die Auslastung eines einzelnen Kerns an die Grenze treiben und den Durchsatz deutlich unter die Leitungsgeschwindigkeit senken. MikroTiks eigene IPsec-Hardware-Beschleunigungsdokumentation bestätigt dies direkt.

Ein silbernes Server-Rack steht geschützt unter einer leuchtend blauen Energiekuppel. Flankierende Metallschilde deflektieren feindliche rote Laserstrahlen als Symbol für eine starke Gateway-Verteidigung.

Um Ihre IPsec-Tunnel ohne CPU-Engpässe mit voller Leitungsgeschwindigkeit zu betreiben, brauchen Sie Hardware, die die Last tatsächlich bewältigen kann. Bei Cloudzy bietet unser MikroTik VPS hochgetaktete Ryzen-9-CPUs, NVMe-Speicher und 40-Gbps-Netzwerk - gezielt für kryptografische Workloads dieser Art ausgelegt.

Eine AMD-Ryzen-CPU, zentriert auf einem dunkelblauen Schaltkreis-Board, mit hell leuchtenden weißen Leiterbahnen, die diagonal ausstrahlen

Typische Anwendungsfälle

L2TP/IPsec eignet sich besonders für stark isolierte Transportszenarien und nicht für allgemeines Web-Routing. Ein Gartner-Analyse 2025 ergab, dass 41 % der Edge-Netzwerke in Unternehmen nach wie vor stark auf native Protokolle setzen, um teure Drittanbieter-Lizenzen zu vermeiden.

Die Silhouette einer Frau am Laptop verbindet sich über einen sicheren, leuchtend silbernen Tunnel durch eine digitale Weltkarte direkt mit einem Unternehmensgebäude.

Diese Legacy-Protokolle sind tief in Milliarden von Geräten weltweit verankert. Dieses MikroTik L2TP VPN-Setup eignet sich besonders gut, wenn strenge Firewall-Grenzen durchgesetzt werden, die den Zugriff ausschließlich auf interne Unternehmens-Subnetze beschränken. Dieses Protokoll für vollständiges Tunnel-Webbrowsing einzusetzen ist eine grundlegende Fehlallokation von Ressourcen.

Fernzugriff für Mitarbeiter und Site-to-Site-Einschränkungen

Diese Protokollkonfiguration funktioniert am besten, wenn einzelne Remote-Mitarbeiter sich in ein zentrales Büro-LAN einwählen. Hinzu kommt, dass der L2TP-Wrapper bei statischen Branch-Routern unnötige und spürbare Latenz verursacht.

Für die dauerhafte Verbindung zweier physisch getrennter Bürostandorte ist diese Lösung deutlich zu ineffizient. Zum Verbinden fester Unternehmensstandorte empfehlen wir unseren Artikel zu folgendem Thema: Site-to-Site-VPN Leitfaden.

Fazit

Ein korrekt konfiguriertes MikroTik L2TP VPN-Setup gibt Remote-Mitarbeitern nativen Netzwerkzugriff, ohne auf Software von Drittanbietern angewiesen zu sein. Moderne Protokolle dominieren derzeit die Networking-Diskussion, doch bewährte AES-256 IPsec-Verschlüsselung macht diese Architektur zu einer zuverlässigen Wahl für Unternehmen.

Korrekte NAT-T-Einstellungen helfen, einige Phase-2-Fehler in NATed-Pfaden zu vermeiden, aber PSK-Abweichungen, Proposal-Konflikte und Firewall-Probleme können die Aushandlung trotzdem unterbrechen. Beachten Sie, dass L2TP und IPsec zusammen einen Encapsulation-Overhead erzeugen und die effektive MTU reduzieren. Der Performance-Verlust entsteht durch den zusätzlichen Paket-Wrapper, nicht durch eine zweite Verschlüsselungsschicht.

MikroTiks eigene IPsec-Dokumentation bestätigt, dass die Hardware-Beschleunigung eine eingebaute Verschlüsselungs-Engine im CPU nutzt, um den Verschlüsselungsprozess zu beschleunigen. Ohne diese fällt die gesamte kryptografische Last auf den Haupt-CPU, und der Durchsatz sinkt erheblich. 

Der Einsatz von Routern mit nativen kryptografischen Beschleunigern verhindert Engpässe am CPU und hält das Netzwerk auf voller Leitungsgeschwindigkeit.

Häufig gestellte Fragen

Wie behebe ich Fehler bei der Phase-1-Aushandlung?

Versuchen Sie unter Windows die AssumeUDPEncapsulationContextOnSendRule Registry-Änderung nur für NAT-T-Sonderfälle, insbesondere wenn der VPN-Server hinter NAT liegt oder sich Client und Server beide hinter NAT befinden.

Warum bricht meine Verbindung ständig ab?

Bei einem MikroTik L2TP VPN-Setup können intensive Datenübertragungen durch MTU-Abweichungen unterbrochen werden. Sie müssen eine niedrigere MTU-Größe erzwingen, um Paketfragmentierung zu verhindern. Bearbeiten Sie Ihr L2TP-Profil. Setzen Sie den Wert für Change TCP MSS auf yes. Diese Maßnahme stabilisiert Ihre Remote-Verbindung sofort.

Welche Hardware benötige ich dafür?

Sie benötigen RouterOS v7 sowie eine öffentlich erreichbare Adresse oder einen stabilen DNS-Namen. Eine statische öffentliche IPv4 wird bevorzugt, ist aber nicht in jedem Deployment zwingend erforderlich. Der IPsec-Durchsatz hängt vom Router-Modell, der CPU-Architektur, Offload-Unterstützung, Cipher-Auswahl und dem Datenverkehrsmuster ab.

Funktioniert das gut mit RouterOS v7?

Ja, RouterOS v7 unterstützt diese Konfiguration auf kompatiblen Geräten gut, das tatsächliche Verhalten hängt jedoch von der Client-Kompatibilität, den Firewall-Regeln und den IPsec-Einstellungen ab. Die zugrunde liegende Konfigurationslogik entspricht direkt der von v6, was den Umstieg für erfahrene Netzwerkingenieure unkompliziert macht.

Was ist der Unterschied zwischen PPTP und L2TP/IPsec?

PPTP ist veraltet und weist gut dokumentierte Sicherheitslücken auf, die es für neue Deployments ungeeignet machen. Ein MikroTik L2TP VPN Setup ist die sicherere Wahl: IPsec übernimmt Verschlüsselung und Integrität, L2TP das Tunneling. Setzen Sie PPTP niemals in einem Unternehmensnetzwerk ein.

Ist dieses Setup im Jahr 2026 noch sicher?

Das MikroTik L2TP/IPsec Setup kann 2026 für native Client-Kompatibilität noch eine sinnvolle Option sein, Sicherheit und Zuverlässigkeit hängen jedoch von korrekten IPsec-Einstellungen, der Firewall-Policy, regelmäßigen Updates und der Client-Kompatibilität ab.

Teilen

Weitere Blog-Beiträge

Weiterlesen.

Terminal-Fenster mit einer SSH-Warnmeldung über eine geänderte Remote-Host-Identifikation, mit dem Titel 'Fix Guide' und Cloudzy-Branding auf dunkelblaugrünem Hintergrund.
Sicherheit & Netzwerk

Warnung: Remote Host Identification Has Changed – Ursache und Lösung

SSH ist ein sicheres Netzwerkprotokoll, das einen verschlüsselten Tunnel zwischen Systemen aufbaut. Es ist bei Entwicklern beliebt, die Remote-Zugriff auf Rechner benötigen, ohne eine grafische Oberfläche vorauszusetzen.

Rexa CyrusRexa Cyrus 10 Min. Lesezeit
Illustration zur DNS-Server-Fehlersuche mit Warnsymbolen und blauem Server auf dunklem Hintergrund für Linux-Namensauflösungsfehler
Sicherheit & Netzwerk

Temporärer Fehler bei der Namensauflösung: Was steckt dahinter und wie lässt er sich beheben?

Bei der Verwendung von Linux kann beim Versuch, Websites aufzurufen, Pakete zu aktualisieren oder Aufgaben auszuführen, die eine Internetverbindung erfordern, ein Fehler bei der temporären Namensauflösung auftreten.

Rexa CyrusRexa Cyrus 12 Min. Lesezeit
So verknüpfst du eine Domain mit VPS: Eine Kurzanleitung
Sicherheit & Netzwerk

So verknüpfst du eine Domain mit VPS: Eine Kurzanleitung

Eine Domain mit einem Virtual Private Server zu verknüpfen ist Voraussetzung für das Hosting von Websites und Anwendungen. Diese Anleitung erklärt alles, was du darüber wissen musst, wie du deine Domain mit deinem

Rexa CyrusRexa Cyrus 16 Min. Lesezeit

Bereit zum Deployen? Ab 2,48 $/Monat.

Unabhängige Cloud seit 2008. AMD EPYC, NVMe, 40 Gbps. 14 Tage Geld-zurück-Garantie.

Einen VPS deployen Alle Pläne ansehen