50% de réduction tous les plans, durée limitée. À partir de $2.48/mo
il reste 9 minutes
Sécurité et réseau

Configuration VPN MikroTik L2TP (avec IPsec) : Guide RouterOS (2026)

Rexa Cyrus By Rexa Cyrus 9 minutes de lecture Mis à jour il y a 4 jours
Une image de titre Cloudzy pour un guide VPN MikroTik L2TP, montrant un ordinateur portable se connectant à un rack de serveur via un tunnel numérique bleu et or brillant avec des icônes de bouclier.

Dans cette configuration VPN MikroTik L2TP, L2TP gère le tunneling tandis qu'IPsec gère le cryptage et l'intégrité ; leur association vous offre une compatibilité client native sans agents tiers. La validation de vos limites matérielles cryptographiques reste une priorité absolue.

Ignorant la surcharge d'encapsulation, cette pile à double protocole introduit discrètement des déploiements étouffés avant qu'ils ne traitent un seul mégaoctet.

Qu'est-ce que le VPN MikroTik L2TP ?

De par sa conception fondamentale, L2TP fonctionne uniquement comme un pont de transport creux. Il ne fournit absolument aucun cryptage inhérent pour votre trafic en mouvement. réseaux hostiles.

Pour ajouter du chiffrement et de l'intégrité, les architectes réseau associent L2TP à IPsec ; le résultat est une pile à double protocole dans laquelle L2TP enveloppe le tunnel et IPsec sécurise la charge utile. Cette architecture hybride reste le premier choix pour une compatibilité existante sans déployer d'agents tiers invasifs.

Comprendre cette dépendance à double protocole dicte strictement la façon dont vous construisez exceptions du pare-feu. Votre configuration VPN MikroTik se brisera instantanément si le routage UDP ou le processus d'encapsulation IPsec sous-jacent échoue.

Comment ça marche

L’établissement de cette connexion sécurisée nécessite une négociation réseau précise en deux étapes. IKE Phase 1 arbitre d'abord l'association de sécurité cryptographique à l'aide de votre complexe Clé pré-partagée.

Une fois ce mur invisible érigé, la phase 2 construit le tunnel L2TP directement à l’intérieur de la charge utile cryptée. Si l'une ou l'autre phase échoue en raison d'une inadéquation PSK, d'une inadéquation de proposition, d'un UDP 500/4500 bloqué ou de problèmes de gestion NAT, le tunnel ne fonctionnera pas. Dans certains cas extrêmes de Windows NAT-T, une modification du registre peut également être nécessaire.

Le processus de double encapsulation

Les données en vol dans une configuration VPN MikroTik L2TP sont soumises à un processus de packaging sévère. Il entre dans une norme Cadre PPP, est enveloppé par le protocole L2TP et est blindé par IPsec ESP.

Un cube de données numériques lumineux est enfermé en toute sécurité dans un cylindre bleu translucide et un lourd anneau métallique argenté, illustrant un processus d'encapsulation multicouche.

Cette surcharge cumulée gonfle de manière agressive les dimensions des paquets, les poussant bien au-delà du réseau standard. Unité de transmission maximale limites. Cette inflation soudaine déclenche inévitablement une violente fragmentation des paquets dans les environnements à latence élevée.

Si votre entreprise privilégie la vitesse au tunneling profond, consultez notre guide sur la configuration de Shadowsocks, qui offre une alternative intéressante et peu coûteuse. Je soutiens que le tunneling lourd est souvent excessif pour les applications d'entreprise simples basées sur le Web.

Comment configurer le VPN MikroTik L2TP ?

Le déploiement d'un serveur fortifié sur RouterOS v7 exige une précision absolue. Pour la configuration la plus propre, attribuez au routeur une adresse accessible publiquement ou un nom DNS stable. Une adresse IP publique statique est préférable, mais pas obligatoire dans chaque déploiement.

Vous devez sécuriser une sauvegarde de configuration immédiatement, car les politiques IPsec non respectées vous bloqueront. Consultez notre guide sur la norme Redirection de port Mikrotik documentation avant de manipuler les chaînes de trafic cryptographique. Suivez précisément cette configuration VPN MikroTik L2TP. La précipitation des règles de pare-feu sur un routeur de production en direct est un désastre garanti.

Étape 1 : Créer le pool IP et le profil PPP

Vous devez définir des adresses IP locales. Vos clients qui se connectent reçoivent ces adresses IP.

  1. Ouvrez le menu IP. Cliquez sur l'option Piscine.
  2. Cliquez sur le bouton Ajouter. Nommez le pool VPN-pool.
  3. Définissez votre plage IP spécifique.
  4. Ouvrez le menu PPP. Cliquez sur l'option Profils.
  5. Cliquez sur le bouton Ajouter. Nommez le profil l2tp-profile.
  6. Attribuez l'adresse locale à la passerelle de votre routeur.
  7. Définissez l'adresse distante sur VPN-pool.

Étape 2 : Activer le serveur global et IPsec

Cette étape active l'écouteur L2TP global dans votre configuration VPN MikroTik L2TP. RouterOS attache le cryptage IPsec de manière dynamique une fois que vous l'activez.

  1. Ouvrez le menu PPP. Cliquez sur l'option Interface.
  2. Cliquez sur le bouton Serveur L2TP.
  3. Cochez la case Activé.
  4. Sélectionnez le profil L2TP comme profil par défaut.
  5. Sélectionnez Exiger sous Utiliser IPsec, sauf si vous avez intentionnellement besoin d’une solution de secours non IPsec pour un laboratoire ou un cas de migration.
  6. Tapez une chaîne complexe dans le champ Secret IPsec.

Étape 3 : Ajouter des utilisateurs PPP (Secrets)

Votre serveur nécessite des comptes d'utilisateurs. Vous devez créer des informations d'authentification du client distant. La partie suivante de votre configuration VPN MikroTik L2TP passe au profil PPP.

  1. Ouvrez le menu PPP. Cliquez sur l'option Secrets.
  2. Cliquez sur le bouton Ajouter.
  3. Tapez un nom unique. Tapez un mot de passe sécurisé.
  4. Définissez le service sur L2TP.
  5. Définissez le profil sur l2tp-profile.

Étape 4 : Configurer les règles de pare-feu (priorité)

Votre pare-feu bloque la négociation IPsec. Vous devez placer ces règles dans votre chaîne d'entrée.

Un routeur réseau bleu foncé et argenté comporte des câbles optiques lumineux branchés sur ses ports, explicitement étiquetés « UDP 500 », « UDP 4500 » et « IPsec-ESP ».

  1. Acceptez le port UDP 500. Celui-ci gère les associations de sécurité de phase 1.
  2. Acceptez le port UDP 4500. Cela traite NAT Traversal.
  3. Acceptez le port UDP 1701 pour l'établissement de la liaison L2TP. Après la configuration, le trafic associé peut utiliser d'autres ports UDP comme négocié.
  4. Acceptez le protocole IPsec-ESP. Cela permet les charges utiles cryptées selon le protocole 50.

Si les clients VPN ont besoin d'un accès acheminé aux sous-réseaux internes, ajoutez également des règles de correspondance de politique IPsec dans la chaîne de transfert et exemptez le trafic correspondant de srcnat/masquerade. Le contournement FastTrack à lui seul ne suffit pas pour tous les cas IPsec routés.

Étapes 5 et 6 : optimiser les politiques par défaut et les profils de pairs

RouterOS utilise des modèles dynamiques par défaut. Vous devez les sécuriser manuellement.

  1. Ouvrez le menu IP. Cliquez sur l'option IPsec. Cliquez sur l'onglet Propositions.
  2. Vérifiez le paramètre de hachage sha256. Vérifiez le cryptage AES-256 CBC.
  3. Définissez le groupe PFS sur modp2048 au minimum, ou sur un groupe plus fort si toutes les plates-formes client concernées le prennent en charge. N'utilisez pas modp1024 ; La RFC 8247 le marque comme NE DEVRAIT PAS.
  4. Cliquez sur l'onglet Profils. Définissez le hachage sur sha256. Définissez le chiffrement sur aes-256.
  5. Vérifiez NAT Traversal si les clients ou le serveur peuvent se trouver derrière NAT. Cela permet à IPsec de fonctionner correctement sur UDP 4500 dans les chemins NAT.

Toutes les valeurs de proposition, y compris le groupe PFS, l'algorithme de hachage et le chiffrement, doivent correspondre à ce que vos plates-formes client prennent réellement en charge ; les disparités entraîneront l’échec silencieux de la phase 2.

Optimisation avancée (en contournant FastTrack)

La règle IPv4 FastTrack par défaut accélère artificiellement le transfert des paquets. Cela détruit régulièrement les tunnels IPsec car il accélère le suivi des paquets avant que le cycle de chiffrement ne se produise.

Un lourd véhicule blindé argenté circule en toute sécurité sur une voie de contournement surélevée étiquetée « trafic cryptographique IPSec », évitant la turbulente rivière numérique bleue en contrebas étiquetée « FastTrack ».

Vous devez explicitement contourner FastTrack pour tout le trafic cryptographique. Créez une règle d'acceptation à l'aide des comparateurs IPsec Policy=in,ipsec. Faites glisser cette règle au-dessus de FastTrack. Votre configuration VPN MikroTik se stabilisera une fois celle-ci mise en place.

Si les clients VPN ont besoin d'un accès acheminé aux sous-réseaux internes, ajoutez également des règles de correspondance de politique IPsec dans la chaîne de transfert et exemptez le trafic correspondant de srcnat/masquerade. Le contournement FastTrack à lui seul ne suffit pas pour tous les cas IPsec routés.

Principales caractéristiques et avantages

De nombreuses équipes choisissent toujours une configuration VPN MikroTik L2TP plutôt que des modèles Zero Trust pour conserver la compatibilité native du système d'exploitation et éviter les agents tiers. Pourtant, les administrateurs système chevronnés continuent d’adopter cette lourde surcharge IPsec uniquement pour conserver une commodité administrative absolue. L'intégration native du système d'exploitation élimine chirurgicalement les agents logiciels tiers en conflit de vos points de terminaison.

Je remarque souvent que les outils natifs du système d’exploitation durent à chaque fois plus longtemps que les agents tiers tendances. Ignorer ces déploiements clients obligatoires permet aux services d'assistance d'économiser facilement des centaines d'heures perdues chaque année. La finalisation de cette configuration VPN MikroTik L2TP impose de dures réalités matérielles, qui sont détaillées ci-dessous.

Zone de fonctionnalités Impact du routeur OS
Norme de sécurité Le cryptage AES-256 IPsec protège contre les attaques Man-in-the-Middle.
Compatibilité Large prise en charge intégrée sur les plates-formes Windows et Apple, avec prise en charge spécifique à la plate-forme et à la version sur d'autres systèmes.
Surcharge du processeur Le débit IPsec dépend du modèle de routeur, du processeur, du modèle de trafic, de la suite de chiffrement et de la prise en charge du déchargement. Sur le matériel pris en charge, RouterOS peut utiliser l'accélération IPsec telle que AES-NI.
Complexité du pare-feu Les règles de pare-feu varient selon la topologie, mais L2TP/IPsec implique généralement UDP 500, UDP 4500, le trafic de contrôle L2TP et la gestion des politiques IPsec.

Sécurité et compatibilité native

L'avantage déterminant en matière de sécurité de cette configuration VPN MikroTik L2TP est la suite cryptographique AES-256. Le calcul s’avère solide. Pourtant, les passerelles périphériques exposées continuent d’agir comme des cibles massives pour les baies d’analyse automatisées. Un récent Rapport CISA 2024 a confirmé que les passerelles VPN exposées génèrent environ 22 % des vecteurs d’accès initiaux aux ransomwares dans le monde.

Un serveur central argenté avec une icône de bouclier se connecte de manière transparente à un ordinateur portable Windows, un MacBook, un terminal Linux, un appareil iOS et un smartphone Android.

Un filtrage rigoureux des listes d’adresses constitue une priorité non négociable. Faire confiance à un port exposé sans filtrage d’adresses est une négligence opérationnelle. Si vous êtes confronté à une inspection approfondie des paquets, consultez notre article sur le déploiement d'un VPN obscurci pour déjouer la censure active.

Considérations sur les performances (déchargement du matériel)

Sans accélération matérielle, le processeur gère tout le chiffrement en ligne, ce qui peut pousser l'utilisation d'un seul cœur à ses limites et faire glisser le débit bien en dessous de votre vitesse de ligne ; Celui de MikroTik Documentation sur l'accélération matérielle IPsec confirmez-le directement.

Un rack de serveur argenté est protégé sous un dôme énergétique bleu brillant. Les boucliers métalliques flanquants dévient les faisceaux laser rouges hostiles, symbolisant une défense robuste de la passerelle.

Pour que vos tunnels IPsec fonctionnent à pleine vitesse sans goulots d'étranglement du processeur, vous avez besoin d'un matériel capable de réellement gérer la charge. Chez Cloudzy, notre MikroTik VPS vous offre des processeurs Ryzen 9 haute fréquence, un stockage NVMe et une mise en réseau de 40 Gbit/s ; spécialement conçu pour ce type de charge de travail cryptographique.

Un processeur AMD Ryzen centré sur un circuit imprimé bleu foncé, avec des traces lumineuses d'un blanc brillant rayonnant en diagonale

Cas d'utilisation typiques

L2TP/IPsec domine en toute sécurité les scénarios de transport hautement isolés plutôt que le routage Web général. UN Analyse Gartner 2025 a révélé que 41 % des réseaux de périphérie d'entreprise s'appuient encore fortement sur des protocoles natifs pour éviter des licences tierces coûteuses.

La silhouette d'une femme professionnelle sur un ordinateur portable se connecte via un tunnel argenté brillant et sécurisé via une carte du monde numérique directement dans un immeuble de bureaux d'entreprise.

Ces protocoles existants restent profondément ancrés dans des milliards d’appareils dans le monde. Cette configuration VPN MikroTik L2TP excelle remarquablement lorsque vous appliquez des limites de pare-feu strictes qui restreignent l'accès exclusivement aux sous-réseaux internes de l'entreprise. L’utilisation de ce protocole pour une navigation Web en tunnel complet constitue une mauvaise allocation fondamentale des ressources.

Accès des travailleurs à distance et contraintes de site à site

Cette configuration de protocole spécifique prospère lorsqu'elle permet à des employés distants individuels de se connecter au réseau local d'un bureau central. De plus, le wrapper L2TP ajoute une latence importante et inutile aux routeurs de succursales statiques.

J’estime fermement qu’il est horriblement inefficace de relier en permanence deux bureaux physiques distincts. Pour relier les succursales permanentes de l'entreprise, consultez notre article sur le suivi d'un VPN site à site guide.

Conclusion

Une configuration VPN MikroTik L2TP correctement conçue offre parfaitement à votre personnel distant un accès natif, évitant ainsi l'encombrement des logiciels tiers. Les protocoles modernes font actuellement la une des journaux sur les réseaux, mais sont incassables Cryptage IPsec AES-256 fait de cette architecture un titan incontesté de l’entreprise.

Des paramètres NAT-T corrects permettent d'éviter certains échecs de phase 2 dans les chemins NAT, mais les incohérences PSK, les incohérences de proposition et les problèmes de pare-feu peuvent toujours interrompre la négociation. N'oubliez pas que L2TP et IPsec ajoutent ensemble une surcharge d'encapsulation et réduisent votre MTU efficace. Le coût en termes de performances provient de l'encapsulation supplémentaire des paquets, et non d'une deuxième couche de chiffrement.

Celui de MikroTik Documentation IPsec confirme que l'accélération matérielle utilise un moteur de chiffrement intégré au processeur pour accélérer le processus de chiffrement ; sans cela, tout le travail cryptographique incombe au processeur principal et le débit chute considérablement. 

Le déploiement de votre architecture sur des routeurs équipés d'accélérateurs cryptographiques natifs évite les goulots d'étranglement du processeur et maintient votre réseau à pleine vitesse.

FAQ

Comment puis-je corriger les erreurs d'échec de la négociation de la phase 1 ?

Sous Windows, essayez le AssumeUDPEncapsulationContextOnSendRule changement de registre uniquement pour les cas extrêmes NAT-T, en particulier si le serveur VPN est derrière NAT ou si le client et le serveur sont derrière NAT.

Pourquoi ma connexion est-elle constamment interrompue ?

Dans une configuration VPN MikroTik L2TP, des transferts de données importants peuvent chuter en raison de discordances MTU. Vous devez forcer une taille MTU inférieure pour éliminer la fragmentation des paquets. Modifiez votre profil L2TP. Définissez la valeur Modifier TCP MSS sur oui. Cette action stabilise instantanément votre connexion à distance.

De quel matériel ai-je besoin pour cela ?

Vous avez besoin de RouterOS v7 et d'une adresse accessible publiquement ou d'un nom DNS stable. Un IPv4 public statique est préférable, mais pas obligatoire dans chaque déploiement. Le débit IPsec dépend du modèle de routeur, de l'architecture du processeur, de la prise en charge du déchargement, du choix de chiffrement et du modèle de trafic.

Est-ce que cela fonctionne bien sur RouterOS v7 ?

Oui, RouterOS v7 prend bien en charge cette configuration sur le matériel pris en charge, mais le comportement final dépend toujours de la compatibilité du client, des règles de pare-feu et des paramètres IPsec. La logique de configuration sous-jacente reflète directement la version 6, ce qui facilite la transition pour les ingénieurs réseau chevronnés.

Quelle est la différence entre PPTP et L2TP/IPsec ?

PPTP est obsolète et comporte des vulnérabilités bien documentées qui le rendent impropre aux nouveaux déploiements. Une configuration VPN MikroTik L2TP est le choix le plus sûr ; IPsec fournit la couche de chiffrement et d'intégrité, tandis que L2TP gère le tunneling. Ne déployez jamais PPTP au sein d’un réseau d’entreprise.

Cette configuration peut-elle être utilisée en toute sécurité en 2026 ?

La configuration MikroTik L2TP/IPsec peut encore être une option valable en 2026 pour la compatibilité client natif, mais sa sécurité et sa fiabilité dépendent des paramètres IPsec corrects, de la politique de pare-feu, des correctifs et de la compatibilité client.

Partager

Plus du blog

Continuez à lire.

Fenêtre du terminal affichant un message d'avertissement SSH concernant le changement d'identification de l'hôte distant, avec le titre du Guide de correctifs et la marque Cloudzy sur fond bleu sarcelle foncé.
Sécurité et réseau

Avertissement : l'identification de l'hôte distant a changé et comment y remédier

SSH est un protocole réseau sécurisé qui crée un tunnel crypté entre les systèmes. Il reste populaire auprès des développeurs qui ont besoin d'un accès à distance aux ordinateurs sans avoir besoin d'un graphique.

Rexa CyrusRexa Cyrus 10 minutes de lecture
Illustration du guide de dépannage du serveur DNS avec symboles d'avertissement et serveur bleu sur fond sombre pour les erreurs de résolution de nom Linux
Sécurité et réseau

Échec temporaire de la résolution de nom : qu'est-ce que cela signifie et comment y remédier ?

Lorsque vous utilisez Linux, vous pouvez rencontrer un échec temporaire dans l'erreur de résolution de nom lorsque vous essayez d'accéder à des sites Web, de mettre à jour des packages ou d'exécuter des tâches nécessitant une connexion Internet.

Rexa CyrusRexa Cyrus 12 minutes de lecture
Comment pointer un domaine vers VPS : un guide rapide
Sécurité et réseau

Comment pointer un domaine vers VPS : un guide rapide

Faire pointer un domaine vers un serveur privé virtuel est nécessaire pour héberger des sites Web et des applications. Ce guide couvre tout ce que vous devez savoir sur la connexion de votre domaine à votre

Rexa CyrusRexa Cyrus 16 minutes de lecture

Prêt à déployer ? À partir de 2,48 $/mois.

Cloud indépendant, depuis 2008. AMD EPYC, NVMe, 40 Gbps. Remboursement sous 14 jours.

Déployer un VPS Voir tous les forfaits