50 % Rabatt alle Pläne, begrenzte Zeit. Beginnend bei $2.48/mo
Noch 9 Minuten übrig
Sicherheit und Netzwerk

MikroTik L2TP VPN-Setup (mit IPsec): RouterOS Guide (2026)

Rexa Cyrus By Rexa Cyrus 9 Min. gelesen Vor 4 Tagen aktualisiert
Ein Cloudzy-Titelbild für eine MikroTik-L2TP-VPN-Anleitung, das einen Laptop zeigt, der über einen leuchtend blau-goldenen digitalen Tunnel mit Schildsymbolen eine Verbindung zu einem Server-Rack herstellt.

In diesem MikroTik L2TP VPN-Setup übernimmt L2TP das Tunneln, während IPsec die Verschlüsselung und Integrität übernimmt; Durch die Kopplung erhalten Sie native Client-Kompatibilität ohne Agenten von Drittanbietern. Die Validierung Ihrer kryptografischen Hardwaregrenzen hat weiterhin absolute Priorität.

Ohne Berücksichtigung des Kapselungsaufwands, den dieser Dual-Protokoll-Stack mit sich bringt, werden Bereitstellungen stillschweigend abgewürgt, bevor sie ein einziges Megabyte verarbeiten.

Was ist MikroTik L2TP VPN?

Aufgrund seines grundlegenden Designs fungiert L2TP lediglich als hohle Transportbrücke. Es bietet absolut keine inhärente Verschlüsselung für Ihren sich bewegenden Datenverkehr feindliche Netzwerke.

Um Verschlüsselung und Integrität hinzuzufügen, kombinieren Netzwerkarchitekten L2TP mit IPsec; Das Ergebnis ist ein Dual-Protokoll-Stack, bei dem L2TP den Tunnel umschließt und IPsec die Nutzlast sichert. Diese Hybridarchitektur bleibt die erste Wahl für Legacy-Kompatibilität ohne den Einsatz invasiver Agenten von Drittanbietern

Das Verständnis dieser Abhängigkeit von zwei Protokollen bestimmt strikt, wie Sie bauen Firewall-Ausnahmen. Ihr MikroTik-VPN-Setup wird sofort zusammenbrechen, wenn entweder das UDP-Routing oder der zugrunde liegende IPsec-Kapselungsprozess fehlschlägt.

Wie es funktioniert

Der Aufbau dieser gesicherten Verbindung erfordert einen präzisen, zweistufigen Netzwerk-Handshake. IKE Phase 1 vermittelt zunächst die kryptografische Sicherheitszuordnung mithilfe Ihres Komplexes Vorinstallierter Schlüssel.

Sobald diese unsichtbare Mauer steht, baut Phase 2 den L2TP-Tunnel direkt innerhalb der verschlüsselten Nutzlast auf. Wenn eine der Phasen aufgrund einer PSK-Nichtübereinstimmung, einer Vorschlags-Nichtübereinstimmung, eines blockierten UDP 500/4500 oder von NAT-Verarbeitungsproblemen fehlschlägt, wird der Tunnel nicht aufgebaut. In einigen Windows NAT-T-Edge-Fällen kann auch eine Registrierungsänderung erforderlich sein.

Der doppelte Kapselungsprozess

In-Flight-Daten in einem MikroTik-L2TP-VPN-Setup durchlaufen einen umfassenden Verpackungsprozess. Es tritt ein Standard ein PPP-Rahmen, wird vom L2TP-Protokoll umschlossen und durch IPsec ESP geschützt.

Ein leuchtender digitaler Datenwürfel ist sicher in einem durchscheinenden blauen Zylinder und einem schweren silbernen Metallring eingeschlossen, was einen mehrschichtigen Verkapselungsprozess veranschaulicht.

Durch diesen zusätzlichen Overhead werden die Paketabmessungen aggressiv vergrößert, sodass sie weit über das Standardnetzwerk hinausgehen Maximale Übertragungseinheit Grenzen. Diese plötzliche Inflation löst unweigerlich eine heftige Paketfragmentierung in Umgebungen mit hoher Latenz aus.

Wenn Ihrem Unternehmen reine Geschwindigkeit wichtiger ist als Deep Tunneling, lesen Sie unseren Leitfaden zur Shadowsocks-Konfiguration, der eine überzeugende Alternative mit geringem Overhead bietet. Ich behaupte, dass starkes Tunneling für einfache webbasierte Unternehmensanwendungen oft übertrieben ist.

Wie richte ich MikroTik L2TP VPN ein?

Die Bereitstellung eines verstärkten Servers unter RouterOS v7 erfordert absolute Präzision. Für eine möglichst saubere Einrichtung geben Sie dem Router eine öffentlich erreichbare Adresse oder einen stabilen DNS-Namen. Eine statische öffentliche IP wird bevorzugt, ist jedoch nicht in jeder Bereitstellung obligatorisch.

Sie müssen sofort ein Konfigurations-Backup erstellen, da fehlerhafte IPsec-Richtlinien Sie aussperren. Lesen Sie unseren Leitfaden zum Thema Standard Mikrotik-Portweiterleitung Dokumentation, bevor Sie kryptografische Verkehrsketten manipulieren. Befolgen Sie dieses MikroTik L2TP VPN-Setup genau. Das Überstürzen von Firewall-Regeln auf einem Live-Produktions-Router ist garantiert eine Katastrophe.

Schritt 1: Erstellen Sie den IP-Pool und das PPP-Profil

Sie müssen lokale IP-Adressen definieren. Ihre verbindenden Clients erhalten diese IPs.

  1. Öffnen Sie das IP-Menü. Klicken Sie auf die Option „Pool“.
  2. Klicken Sie auf die Schaltfläche „Hinzufügen“. Benennen Sie den Pool VPN-Pool.
  3. Legen Sie Ihren spezifischen IP-Bereich fest.
  4. Öffnen Sie das PPP-Menü. Klicken Sie auf die Option Profile.
  5. Klicken Sie auf die Schaltfläche „Hinzufügen“. Benennen Sie das Profil l2tp-profile.
  6. Weisen Sie Ihrem Router-Gateway die lokale Adresse zu.
  7. Legen Sie die Remote-Adresse auf VPN-Pool fest.

Schritt 2: Aktivieren Sie den globalen Server und IPsec

Dieser Schritt aktiviert den globalen L2TP-Listener in Ihrem MikroTik L2TP VPN-Setup. RouterOS fügt die IPsec-Verschlüsselung dynamisch hinzu, sobald Sie sie aktivieren.

  1. Öffnen Sie das PPP-Menü. Klicken Sie auf die Option Schnittstelle.
  2. Klicken Sie auf die Schaltfläche L2TP-Server.
  3. Aktivieren Sie das Kontrollkästchen Aktiviert.
  4. Wählen Sie das L2TP-Profil als Standardprofil aus.
  5. Wählen Sie unter „IPsec verwenden“ die Option „Erforderlich“ aus, es sei denn, Sie benötigen absichtlich einen Nicht-IPsec-Fallback für einen Labor- oder Migrationsfall.
  6. Geben Sie eine komplexe Zeichenfolge in das Feld „IPsec-Geheimnis“ ein.

Schritt 3: PPP-Benutzer hinzufügen (Geheimnisse)

Ihr Server erfordert Benutzerkonten. Sie müssen Anmeldeinformationen für die Remote-Client-Authentifizierung erstellen. Der nächste Teil Ihres MikroTik L2TP VPN-Setups wechselt zum PPP-Profil.

  1. Öffnen Sie das PPP-Menü. Klicken Sie auf die Option Geheimnisse.
  2. Klicken Sie auf die Schaltfläche „Hinzufügen“.
  3. Geben Sie einen eindeutigen Namen ein. Geben Sie ein sicheres Passwort ein.
  4. Stellen Sie den Dienst auf L2TP ein.
  5. Setzen Sie das Profil auf l2tp-profile.

Schritt 4: Konfigurieren Sie die Firewall-Regeln (Priorität)

Ihre Firewall blockiert die IPsec-Aushandlung. Sie müssen diese Regeln in Ihre Eingabekette einfügen.

An den Ports eines dunkelblau-silbernen Netzwerkrouters sind leuchtende optische Kabel angeschlossen, die explizit mit „UDP 500“, „UDP 4500“ und „IPsec-ESP“ gekennzeichnet sind.

  1. Akzeptieren Sie den UDP-Port 500. Dieser verarbeitet Phase-1-Sicherheitszuordnungen.
  2. Akzeptieren Sie UDP-Port 4500. Dadurch wird NAT-Traversal verarbeitet.
  3. Akzeptieren Sie den UDP-Port 1701 für den L2TP-Verbindungsaufbau. Nach der Einrichtung kann der zugehörige Datenverkehr je nach Vereinbarung andere UDP-Ports verwenden.
  4. Akzeptieren Sie das IPsec-ESP-Protokoll. Dies ermöglicht Protokoll 50-verschlüsselte Nutzlasten.

Wenn VPN-Clients gerouteten Zugriff auf interne Subnetze benötigen, fügen Sie außerdem IPsec-Richtlinien-Übereinstimmungsregeln in der Weiterleitungskette hinzu und schließen Sie übereinstimmenden Datenverkehr von srcnat/masquerade aus. Die FastTrack-Umgehung allein reicht nicht für alle gerouteten IPsec-Fälle aus.

Schritt 5 und 6: Standardrichtlinien und Peer-Profile optimieren

RouterOS verwendet standardmäßige dynamische Vorlagen. Sie müssen sie manuell sichern.

  1. Öffnen Sie das IP-Menü. Klicken Sie auf die IPsec-Option. Klicken Sie auf die Registerkarte Vorschläge.
  2. Überprüfen Sie den Hash-Parameter sha256. Überprüfen Sie die AES-256-CBC-Verschlüsselung.
  3. Legen Sie die PFS-Gruppe mindestens auf modp2048 oder eine stärkere Gruppe fest, wenn alle Client-Plattformen im Geltungsbereich dies unterstützen. Verwenden Sie nicht modp1024; RFC 8247 markiert es als SOLLTE NICHT.
  4. Klicken Sie auf die Registerkarte Profile. Setzen Sie Hash auf sha256. Stellen Sie die Verschlüsselung auf aes-256 ein.
  5. Überprüfen Sie NAT Traversal, wenn Clients oder der Server möglicherweise hinter NAT sitzen. Dadurch kann IPsec über UDP 4500 in NAT-Pfaden ordnungsgemäß funktionieren.

Alle Vorschlagswerte, einschließlich der PFS-Gruppe, des Hash-Algorithmus und des Verschlüsselungscodes, müssen mit dem übereinstimmen, was Ihre Client-Plattformen tatsächlich unterstützen. Nichtübereinstimmungen führen dazu, dass Phase 2 stillschweigend fehlschlägt.

Erweiterte Optimierung (Umgehung von FastTrack)

Die standardmäßige IPv4-FastTrack-Regel beschleunigt die Paketweiterleitung künstlich. Dadurch werden IPsec-Tunnel routinemäßig zerstört, da Pakete beschleunigt werden, bevor der Verschlüsselungszyklus stattfindet.

Ein schweres, silbergepanzertes Fahrzeug fährt sicher auf einer erhöhten Umgehungsspur mit der Aufschrift „IPSec-Kryptografieverkehr“ und vermeidet dabei den turbulenten blauen digitalen Fluss mit der Aufschrift „FastTrack“.

Sie müssen FastTrack für den gesamten kryptografischen Datenverkehr explizit umgehen. Erstellen Sie eine Akzeptanzregel mit IPsec Policy=in,ipsec-Matchern. Ziehen Sie diese Regel über FastTrack. Sobald dies erfolgt ist, stabilisiert sich Ihre MikroTik VPN-Konfiguration.

Wenn VPN-Clients gerouteten Zugriff auf interne Subnetze benötigen, fügen Sie außerdem IPsec-Richtlinien-Übereinstimmungsregeln in der Weiterleitungskette hinzu und schließen Sie übereinstimmenden Datenverkehr von srcnat/masquerade aus. Die FastTrack-Umgehung allein reicht nicht für alle gerouteten IPsec-Fälle aus.

Hauptmerkmale und Vorteile

Viele Teams entscheiden sich immer noch für ein MikroTik-L2TP-VPN-Setup gegenüber Zero-Trust-Modellen, um die native Betriebssystemkompatibilität beizubehalten und Agenten von Drittanbietern zu vermeiden. Dennoch nutzen erfahrene Systemadministratoren weiterhin diesen hohen IPsec-Overhead, nur um absolute Verwaltungsfreundlichkeit zu gewährleisten. Durch die native Betriebssystemintegration werden widersprüchliche Softwareagenten von Drittanbietern von Ihren Endpunkten eliminiert.

Ich stelle oft fest, dass native Betriebssystem-Tools jedes Mal die aktuellen Agenten von Drittanbietern überdauern. Durch das Überspringen dieser obligatorischen Client-Rollouts können Helpdesk-Abteilungen jedes Jahr Hunderte verschwendeter Stunden sparen. Die Fertigstellung dieses MikroTik L2TP VPN-Setups bringt harte Hardware-Realitäten mit sich, die im Folgenden detailliert beschrieben werden.

Funktionsbereich Auswirkungen auf RouterOS
Sicherheitsstandard Die AES-256-IPsec-Verschlüsselung schützt vor Man-in-the-Middle-Angriffen.
Kompatibilität Umfassende integrierte Unterstützung auf Windows- und Apple-Plattformen, mit plattform- und versionspezifischer Unterstützung auf anderen Systemen.
CPU-Overhead Der IPsec-Durchsatz hängt vom Routermodell, der CPU, dem Verkehrsmuster, der Verschlüsselungssuite und der Offload-Unterstützung ab. Auf unterstützter Hardware kann RouterOS IPsec-Beschleunigung wie AES-NI verwenden.
Komplexität der Firewall Firewall-Regeln variieren je nach Topologie, aber L2TP/IPsec umfasst üblicherweise UDP 500, UDP 4500, L2TP-Kontrollverkehr und die Handhabung von IPsec-Richtlinien.

Sicherheit und native Kompatibilität

Der entscheidende Sicherheitsvorteil dieses MikroTik L2TP VPN-Setups ist die AES-256-Kryptografiesuite. Die Rechnung erweist sich als solide. Dennoch fungieren exponierte Edge-Gateways weiterhin als massive Ziele für automatisierte Scan-Arrays. Ein aktueller CISA-Bericht 2024 bestätigte, dass exponierte VPN-Gateways etwa 22 % der anfänglichen Ransomware-Zugriffsvektoren weltweit ausmachen.

Ein zentraler silberner Server mit einem Schildsymbol verbindet sich nahtlos mit einem Windows-Laptop, einem MacBook, einem Linux-Terminal, einem iOS-Gerät und einem Android-Smartphone.

Eine strenge Filterung der Adressliste ist eine nicht verhandelbare Priorität. Einem exponierten Port ohne Adressfilterung zu vertrauen, ist betriebliche Fahrlässigkeit. Wenn Sie mit einer Deep-Packet-Inspektion konfrontiert sind, lesen Sie unseren Artikel über die Bereitstellung einer Verschleiertes VPN um die aktive Zensur zu umgehen.

Leistungsüberlegungen (Hardware-Offloading)

Ohne Hardwarebeschleunigung übernimmt die CPU die gesamte Verschlüsselung inline, was die Single-Core-Nutzung an ihre Grenzen bringen und den Durchsatz weit unter Ihre Leitungsgeschwindigkeit senken kann; MikroTiks eigenes Dokumentation zur IPsec-Hardwarebeschleunigung Bestätigen Sie dies direkt.

Ein silberner Serverschrank steht geschützt unter einer leuchtend blauen Energiekuppel. Flankierende Metallschilde lenken feindselige rote Laserstrahlen ab und symbolisieren eine robuste Torverteidigung.

Damit Ihre IPsec-Tunnel ohne CPU-Engpässe mit voller Leitungsgeschwindigkeit laufen, benötigen Sie Hardware, die die Last tatsächlich bewältigen kann. Bei Cloudzy, unserem MikroTik VPS bietet Ihnen hochfrequente Ryzen 9-CPUs, NVMe-Speicher und 40-Gbit/s-Netzwerk; speziell für genau diese Art von kryptografischer Arbeitslast entwickelt.

Eine AMD-Ryzen-CPU zentriert auf einer dunkelblauen Platine, mit hellweiß leuchtenden Spuren, die diagonal ausstrahlen

Typische Anwendungsfälle

L2TP/IPsec dominiert sicher stark isolierte Transportszenarien und nicht das allgemeine Web-Routing. A Gartner-Analyse 2025 ergab, dass 41 % der Unternehmens-Edge-Netzwerke immer noch stark auf native Protokolle angewiesen sind, um teure Lizenzen von Drittanbietern zu vermeiden.

Die Silhouette einer berufstätigen Frau auf einem Laptop führt über einen sicheren, leuchtenden silbernen Tunnel durch eine digitale Weltkarte direkt in ein Firmenbürogebäude.

Diese Legacy-Protokolle sind weiterhin tief in Milliarden von Geräten weltweit verankert. Dieses L2TP-VPN-Setup von MikroTik zeichnet sich besonders aus, wenn Sie strenge Firewall-Grenzen durchsetzen, die den Zugriff ausschließlich auf unternehmensinterne Subnetze beschränken. Die Verwendung dieses Protokolls für das Surfen im Internet im Volltunnel ist eine grundlegende Fehlallokation von Ressourcen.

Zugriff von Remote-Mitarbeitern und Site-to-Site-Einschränkungen

Diese spezielle Protokollkonfiguration eignet sich hervorragend, wenn es einzelnen Remote-Mitarbeitern ermöglicht wird, sich in ein zentrales Büro-LAN einzuwählen. Darüber hinaus führt der L2TP-Wrapper zu unnötiger, hoher Latenz bei statischen Filialroutern.

Ich bin fest davon überzeugt, dass es furchtbar ineffizient ist, zwei verschiedene physische Büros dauerhaft zu verbinden. Informationen zur Verknüpfung dauerhafter Unternehmensstandorte finden Sie in unserem Artikel zum Folgen von a Site-to-Site-VPN Führung.

Abschluss

Ein ordnungsgemäß konzipiertes MikroTik-L2TP-VPN-Setup rüstet Ihre Remote-Mitarbeiter einwandfrei mit nativem Zugriff aus und vermeidet so eine Aufblähung durch Software von Drittanbietern. Moderne Protokolle dominieren derzeit die Schlagzeilen im Netzwerkbereich, sind jedoch unzerbrechlich AES-256 IPsec-Verschlüsselung macht diese Architektur zu einem unbestrittenen Enterprise-Titan.

Korrekte NAT-T-Einstellungen tragen dazu bei, einige Phase-2-Fehler in NAT-Pfaden zu vermeiden, aber PSK-Nichtübereinstimmungen, Vorschlags-Nichtübereinstimmungen und Firewall-Probleme können dennoch die Verhandlung unterbrechen. Denken Sie daran, dass L2TP und IPsec zusammen den Kapselungsaufwand erhöhen und Ihre effektive MTU reduzieren. Die Leistungseinbußen entstehen durch zusätzliche Paketverpackung, nicht durch eine zweite Verschlüsselungsebene.

MikroTiks eigenes IPsec-Dokumentation bestätigt, dass die Hardwarebeschleunigung eine integrierte Verschlüsselungs-Engine in der CPU verwendet, um den Verschlüsselungsprozess zu beschleunigen; Ohne sie fällt die gesamte kryptografische Arbeit auf die Haupt-CPU und der Durchsatz sinkt erheblich. 

Die Bereitstellung Ihrer Architektur auf Routern, die mit nativen kryptografischen Beschleunigern ausgestattet sind, verhindert CPU-Engpässe und sorgt dafür, dass Ihr Netzwerk mit voller Leitungsgeschwindigkeit läuft.

FAQ

Wie behebe ich den Fehler „Phase 1 Verhandlung fehlgeschlagen“?

Probieren Sie unter Windows Folgendes aus: AssumeUDPEncapsulationContextOnSendRule Registrierungsänderung nur für NAT-T-Edge-Fälle, insbesondere wenn sich der VPN-Server hinter NAT befindet oder sowohl Client als auch Server hinter NAT stehen.

Warum bricht meine Verbindung ständig ab?

In einem MikroTik-L2TP-VPN-Setup können umfangreiche Datenübertragungen aufgrund von MTU-Nichtübereinstimmungen ausfallen. Sie müssen eine niedrigere MTU-Größe erzwingen, um Paketfragmentierung zu verhindern. Bearbeiten Sie Ihr L2TP-Profil. Legen Sie den Wert „TCP MSS ändern“ auf „Ja“ fest. Diese Aktion stabilisiert Ihre Remote-Verbindung sofort.

Welche Hardware benötige ich dafür?

Sie benötigen RouterOS v7 und eine öffentlich erreichbare Adresse oder einen stabilen DNS-Namen. Eine statische öffentliche IPv4-Adresse wird bevorzugt, ist jedoch nicht in jeder Bereitstellung obligatorisch. Der IPsec-Durchsatz hängt vom Routermodell, der CPU-Architektur, der Offload-Unterstützung, der Verschlüsselungsauswahl und dem Verkehrsmuster ab.

Funktioniert das gut unter RouterOS v7?

Ja, RouterOS v7 unterstützt dieses Setup gut auf unterstützter Hardware, aber das endgültige Verhalten hängt immer noch von der Client-Kompatibilität, den Firewall-Regeln und den IPsec-Einstellungen ab. Die zugrunde liegende Konfigurationslogik spiegelt direkt Version 6 wider, was den Übergang für erfahrene Netzwerktechniker unkompliziert macht.

Was ist der Unterschied zwischen PPTP und L2TP/IPsec?

PPTP ist veraltet und weist gut dokumentierte Schwachstellen auf, die es für neue Bereitstellungen ungeeignet machen. Ein MikroTik L2TP VPN-Setup ist die sicherere Wahl; IPsec stellt die Verschlüsselungs- und Integritätsschicht bereit, während L2TP das Tunneln übernimmt. Stellen Sie PPTP niemals innerhalb eines Unternehmensnetzwerks bereit.

Ist die Verwendung dieses Setups im Jahr 2026 sicher?

Das L2TP/IPsec-Setup von MikroTik kann auch im Jahr 2026 eine gültige Option für die native Client-Kompatibilität sein, seine Sicherheit und Zuverlässigkeit hängen jedoch von korrekten IPsec-Einstellungen, Firewall-Richtlinien, Patches und Client-Kompatibilität ab.

Aktie

Mehr aus dem Blog

Lesen Sie weiter.

Terminalfenster mit SSH-Warnmeldung über Änderung der Remote-Host-Identifikation, mit Fix-Guide-Titel und Cloudzy-Branding auf dunkelgrünem Hintergrund.
Sicherheit und Netzwerk

Warnung: Die Remote-Host-Identifikation hat sich geändert und wie kann man das Problem beheben?

SSH ist ein sicheres Netzwerkprotokoll, das einen verschlüsselten Tunnel zwischen Systemen erstellt. Es erfreut sich nach wie vor großer Beliebtheit bei Entwicklern, die Fernzugriff auf Computer benötigen, ohne dass eine Grafik erforderlich ist

Rexa CyrusRexa Cyrus 10 Min. Lektüre
Illustration der DNS-Server-Fehlerbehebungsanleitung mit Warnsymbolen und blauem Server auf dunklem Hintergrund für Linux-Namensauflösungsfehler
Sicherheit und Netzwerk

Vorübergehender Fehler bei der Namensauflösung: Was bedeutet das und wie kann man es beheben?

Bei der Verwendung von Linux kann es zu einem vorübergehenden Fehler bei der Namensauflösung kommen, wenn Sie versuchen, auf Websites zuzugreifen, Pakete zu aktualisieren oder Aufgaben auszuführen, die eine Internetverbindung erfordern

Rexa CyrusRexa Cyrus 12 Min. Lektüre
So verweisen Sie eine Domain auf VPS: Eine Kurzanleitung
Sicherheit und Netzwerk

So verweisen Sie eine Domain auf VPS: Eine Kurzanleitung

Für das Hosten von Websites und Anwendungen ist es notwendig, eine Domäne auf einen Virtual Private Server zu verweisen. In diesem Leitfaden erfahren Sie alles, was Sie über die Verbindung Ihrer Domain mit Ihrem wissen müssen

Rexa CyrusRexa Cyrus 16 Min. Lektüre

Bereit zur Bereitstellung? Ab 2,48 $/Monat.

Unabhängige Cloud, seit 2008. AMD EPYC, NVMe, 40 Gbit/s. 14 Tage Geld-zurück-Garantie.

Stellen Sie einen VPS bereit Alle Pläne ansehen