Diskon 50%. semua rencana, waktu terbatas. Mulai pukul $2.48/mo
9 menit lagi
Keamanan & Jaringan

Pengaturan VPN MikroTik L2TP (dengan IPsec): Panduan RouterOS (2026)

Rexa Cyrus By Rexa Cyrus 9 menit membaca Diperbarui 4 hari yang lalu
Gambar judul Cloudzy untuk panduan VPN MikroTik L2TP, menunjukkan laptop yang terhubung ke rak server melalui terowongan digital bersinar biru dan emas dengan ikon perisai.

Dalam pengaturan VPN MikroTik L2TP ini, L2TP menangani tunneling sementara IPsec menangani enkripsi dan integritas; memasangkannya memberi Anda kompatibilitas klien asli tanpa agen pihak ketiga. Memvalidasi batasan perangkat keras kriptografi Anda tetap menjadi prioritas mutlak.

Mengabaikan overhead enkapsulasi, tumpukan protokol ganda ini secara diam-diam akan mencekik penerapan sebelum memproses satu megabyte.

Apa itu MikroTik L2TP VPN?

Berdasarkan desain dasarnya, L2TP hanya berfungsi sebagai jembatan transportasi berongga. Ini sama sekali tidak menyediakan enkripsi bawaan untuk lalu lintas pergerakan Anda jaringan yang bermusuhan.

Untuk menambah enkripsi dan integritas, arsitek jaringan memasangkan L2TP dengan IPsec; hasilnya adalah tumpukan protokol ganda di mana L2TP membungkus terowongan, dan IPsec mengamankan muatannya. Arsitektur hibrid ini tetap menjadi pilihan utama untuk kompatibilitas lama tanpa menggunakan agen pihak ketiga yang invasif

Memahami ketergantungan protokol ganda ini sangat menentukan cara Anda membangun pengecualian firewall. Pengaturan VPN MikroTik Anda akan langsung rusak jika perutean UDP atau proses enkapsulasi IPsec yang mendasarinya gagal.

Cara Kerjanya

Membangun koneksi aman ini memerlukan jabat tangan jaringan dua tahap yang tepat. IKE Fase 1 pertama-tama melakukan arbitrase terhadap asosiasi keamanan kriptografi menggunakan kompleks Anda Kunci Pra-Berbagi.

Setelah tembok tak kasat mata ini berdiri, Tahap 2 membangun terowongan L2TP langsung di dalam muatan terenkripsi. Jika salah satu fase gagal karena ketidakcocokan PSK, ketidakcocokan proposal, pemblokiran UDP 500/4500, atau masalah penanganan NAT, terowongan tidak akan muncul. Dalam beberapa kasus Windows NAT-T edge, perubahan registri mungkin juga diperlukan.

Proses Enkapsulasi Ganda

Data dalam penerbangan dalam pengaturan MikroTik L2TP VPN mengalami proses pengemasan yang parah. Itu masuk standar bingkai PPP, dibungkus oleh protokol L2TP, dan dilindungi oleh IPsec ESP.

Kubus data digital yang bersinar terbungkus dengan aman dalam silinder biru tembus pandang dan cincin logam perak tebal, yang menggambarkan proses enkapsulasi berlapis-lapis.

Peracikan overhead ini secara agresif meningkatkan dimensi paket, mendorongnya jauh melampaui jaringan standar Unit Transmisi Maksimum batas. Inflasi yang tiba-tiba ini pasti akan memicu fragmentasi paket yang hebat di lingkungan dengan latensi tinggi.

Jika perusahaan Anda menghargai kecepatan dibandingkan deep tunneling, lihat panduan kami tentang Konfigurasi Shadowsocks, yang memberikan alternatif menarik dan biaya overhead rendah. Saya berpendapat bahwa penerowongan berat sering kali berlebihan untuk aplikasi perusahaan berbasis web yang sederhana.

Bagaimana Cara Mengatur MikroTik L2TP VPN?

Menyebarkan server yang dibentengi pada RouterOS v7 menuntut ketelitian mutlak. Untuk pengaturan terbersih, berikan router alamat yang dapat dijangkau secara publik atau nama DNS yang stabil. IP publik statis lebih disukai, namun tidak wajib dalam setiap penerapan.

Anda harus segera mengamankan cadangan konfigurasi, karena kebijakan IPsec yang rusak akan mengunci Anda. Tinjau panduan kami tentang standar Penerusan Port Mikrotik dokumentasi sebelum memanipulasi rantai lalu lintas kriptografi. Ikuti setup MikroTik L2TP VPN ini dengan tepat. Aturan firewall yang terburu-buru pada router produksi langsung adalah bencana yang pasti.

Langkah 1: Buat Kumpulan IP dan Profil PPP

Anda harus menentukan alamat IP lokal. Klien koneksi Anda menerima IP ini.

  1. Buka menu IP. Klik opsi Kumpulan.
  2. Klik tombol Tambah. Beri nama kumpulan vpn-pool.
  3. Tetapkan rentang IP spesifik Anda.
  4. Buka menu PPP. Klik opsi Profil.
  5. Klik tombol Tambah. Beri nama profil l2tp-profil.
  6. Tetapkan Alamat Lokal ke gateway router Anda.
  7. Setel Alamat Jarak Jauh ke vpn-pool.

Langkah 2: Aktifkan Server Global dan IPsec

Langkah ini mengaktifkan pendengar L2TP global di pengaturan VPN MikroTik L2TP Anda. RouterOS melampirkan enkripsi IPsec secara dinamis setelah Anda mengaktifkannya.

  1. Buka menu PPP. Klik opsi Antarmuka.
  2. Klik tombol Server L2TP.
  3. Centang kotak Diaktifkan.
  4. Pilih Profil L2TP sebagai Profil Default.
  5. Pilih Memerlukan di bawah Gunakan IPsec, kecuali Anda sengaja memerlukan penggantian non-IPsec untuk kasus lab atau migrasi.
  6. Ketikkan string kompleks ke dalam bidang Rahasia IPsec.

Langkah 3: Tambahkan Pengguna PPP (Rahasia)

Server Anda memerlukan akun pengguna. Anda harus membuat kredensial otentikasi klien jarak jauh. Bagian selanjutnya dari pengaturan VPN MikroTik L2TP Anda berpindah ke profil PPP.

  1. Buka menu PPP. Klik opsi Rahasia.
  2. Klik tombol Tambah.
  3. Ketik Nama unik. Ketikkan Kata Sandi yang aman.
  4. Atur Layanan ke L2TP.
  5. Setel Profil ke profil l2tp.

Langkah 4: Konfigurasikan Aturan Firewall (Prioritas)

Firewall Anda memblokir negosiasi IPsec. Anda harus menempatkan aturan-aturan ini dalam rantai Input Anda.

Router jaringan berwarna biru tua dan perak dilengkapi kabel optik bercahaya yang dicolokkan ke portnya, secara eksplisit diberi label "UDP 500", "UDP 4500", dan "IPsec-ESP".

  1. Terima port UDP 500. Ini menangani asosiasi keamanan Fase 1.
  2. Terima port UDP 4500. Ini memproses NAT Traversal.
  3. Terima port UDP 1701 untuk pembuatan tautan L2TP. Setelah pengaturan, lalu lintas terkait dapat menggunakan port UDP lain seperti yang dinegosiasikan.
  4. Terima protokol IPsec-ESP. Hal ini memungkinkan muatan terenkripsi Protokol 50.

Jika klien VPN memerlukan akses yang dirutekan ke subnet internal, tambahkan juga aturan kecocokan kebijakan IPsec di rantai maju dan kecualikan lalu lintas yang cocok dari srcnat/masquerade. Bypass FastTrack saja tidak cukup untuk semua kasus IPsec yang dirutekan.

Langkah 5 & 6: Optimalkan Kebijakan Default dan Profil Rekan

RouterOS menggunakan template dinamis default. Anda harus mengamankannya secara manual.

  1. Buka menu IP. Klik opsi IPsec. Klik tab Proposal.
  2. Verifikasi parameter hash sha256. Verifikasi enkripsi AES-256 CBC.
  3. Atur Grup PFS ke minimal modp2048, atau grup yang lebih kuat jika semua platform klien dalam cakupan mendukungnya. Jangan gunakan modp1024; RFC 8247 menandainya sebagai TIDAK HARUS.
  4. Klik tab Profil. Setel Hash ke sha256. Setel Enkripsi ke aes-256.
  5. Periksa NAT Traversal apakah klien atau server mungkin berada di belakang NAT. Hal ini memungkinkan IPsec bekerja dengan benar melalui UDP 4500 di jalur NATed.

Semua nilai proposal, termasuk grup PFS, algoritma hash, dan sandi enkripsi, harus sesuai dengan apa yang sebenarnya didukung oleh platform klien Anda; ketidakcocokan akan menyebabkan Fase 2 gagal secara diam-diam.

Pengoptimalan Tingkat Lanjut (Melewati FastTrack)

Aturan FastTrack IPv4 default secara artifisial mempercepat penerusan paket. Hal ini secara rutin menghancurkan terowongan IPsec karena mempercepat paket sebelum siklus enkripsi terjadi.

Kendaraan lapis baja berat berwarna perak berjalan dengan aman di jalur bypass yang ditinggikan berlabel "lalu lintas kriptografi IPSec", menghindari sungai digital biru yang bergolak di bawah berlabel "FastTrack".

Anda harus secara eksplisit melewati FastTrack untuk semua lalu lintas kriptografi. Buat aturan Terima menggunakan pencocokan IPsec Policy=in,ipsec. Seret aturan ini ke atas FastTrack. Konfigurasi MikroTik VPN Anda akan stabil setelah ini diterapkan.

Jika klien VPN memerlukan akses yang dirutekan ke subnet internal, tambahkan juga aturan kecocokan kebijakan IPsec di rantai maju dan kecualikan lalu lintas yang cocok dari srcnat/masquerade. Bypass FastTrack saja tidak cukup untuk semua kasus IPsec yang dirutekan.

Fitur dan Manfaat Utama

Banyak tim masih memilih pengaturan MikroTik L2TP VPN dibandingkan model zero-trust untuk mempertahankan kompatibilitas OS asli dan menghindari agen pihak ketiga. Namun, sysadmin veteran terus mengadopsi overhead IPsec yang besar ini semata-mata untuk mempertahankan kenyamanan administratif. Integrasi sistem operasi asli menghilangkan agen perangkat lunak pihak ketiga yang bertentangan dari titik akhir Anda.

Saya sering mencatat bahwa alat OS asli bertahan lebih lama dari agen pihak ketiga yang sedang tren setiap saat. Melewatkan peluncuran klien wajib ini dengan mudah menghemat ratusan jam terbuang per tahunnya bagi departemen helpdesk. Menyelesaikan pengaturan MikroTik L2TP VPN ini memerlukan kenyataan perangkat keras yang keras, yang dirinci di bawah ini.

Area Fitur Dampak RouterOS
Standar Keamanan Enkripsi IPsec AES-256 melindungi terhadap serangan Man-in-the-Middle.
Kesesuaian Dukungan bawaan yang luas pada platform Windows dan Apple, dengan dukungan khusus platform dan versi pada sistem lain.
Overhead CPU Throughput IPsec bergantung pada model router, CPU, pola lalu lintas, cipher suite, dan dukungan offload. Pada hardware yang didukung, RouterOS dapat menggunakan akselerasi IPsec seperti AES-NI.
Kompleksitas Firewall Aturan firewall bervariasi berdasarkan topologi, namun L2TP/IPsec umumnya melibatkan UDP 500, UDP 4500, lalu lintas kontrol L2TP, dan penanganan kebijakan IPsec.

Keamanan dan Kompatibilitas Asli

Keuntungan keamanan yang menentukan dari pengaturan MikroTik L2TP VPN ini adalah rangkaian kriptografi AES-256. Perhitungannya terbukti solid. Namun, edge gateway yang terekspos terus bertindak sebagai target besar untuk rangkaian pemindaian otomatis. Baru-baru ini Laporan CISA 2024 mengonfirmasi bahwa gateway VPN yang terekspos mendorong sekitar 22% vektor akses ransomware awal secara global.

Server perak pusat dengan ikon perisai terhubung dengan mulus ke laptop Windows, MacBook, terminal Linux, perangkat iOS, dan ponsel pintar Android.

Pemfilteran daftar alamat yang ketat merupakan prioritas yang tidak dapat dinegosiasikan. Mempercayai port yang terbuka tanpa pemfilteran alamat adalah kelalaian operasional. Jika Anda menghadapi pemeriksaan paket mendalam, lihat artikel kami tentang penerapan VPN yang dikaburkan untuk mengakali sensor aktif.

Pertimbangan Kinerja (Pembongkaran Perangkat Keras)

Tanpa akselerasi perangkat keras, CPU akan menangani semua enkripsi inline, yang dapat mendorong penggunaan single-core hingga batasnya dan menyeret throughput jauh di bawah kecepatan saluran Anda; MikroTik sendiri Dokumen akselerasi perangkat keras IPSec konfirmasikan hal ini secara langsung.

Rak server berwarna perak berdiri terlindung di bawah kubah energi biru yang bersinar. Perisai logam yang mengapit membelokkan sinar laser merah yang bermusuhan, melambangkan pertahanan gerbang yang kuat.

Untuk menjaga terowongan IPsec Anda berjalan pada kecepatan jalur penuh tanpa hambatan CPU, Anda memerlukan perangkat keras yang benar-benar dapat menangani beban tersebut. Di Cloudzy, milik kami VPS MikroTik memberi Anda CPU Ryzen 9 frekuensi tinggi, penyimpanan NVMe, dan jaringan 40 Gbps; dibuat khusus untuk beban kerja kriptografi semacam ini.

CPU AMD Ryzen berpusat pada papan sirkuit biru tua, dengan garis bercahaya putih terang yang memancar secara diagonal

Kasus Penggunaan Khas

L2TP/IPsec dengan aman mendominasi skenario transportasi yang sangat terisolasi dibandingkan perutean web umum. A Analisis Gartner 2025 mengungkapkan bahwa 41% jaringan edge perusahaan masih sangat bergantung pada protokol asli untuk menghindari lisensi pihak ketiga yang mahal.

Siluet seorang wanita profesional di laptop terhubung melalui terowongan perak yang aman dan bersinar melalui peta dunia digital langsung ke gedung perkantoran perusahaan.

Protokol-protokol lama ini masih tertanam kuat di miliaran perangkat global. Pengaturan VPN MikroTik L2TP ini sangat unggul ketika Anda menerapkan batasan firewall ketat yang membatasi akses secara eksklusif ke subnet internal perusahaan. Menggunakan protokol ini untuk penelusuran web terowongan penuh merupakan kesalahan alokasi sumber daya yang mendasar.

Akses Pekerja Jarak Jauh & Kendala Situs-ke-Situs

Konfigurasi protokol khusus ini berkembang pesat ketika memberdayakan karyawan jarak jauh individu untuk melakukan panggilan ke LAN kantor pusat. Selain itu, pembungkus L2TP menambahkan latensi berat yang tidak perlu ke router cabang statis.

Saya menilai dengan tegas bahwa hal ini sangat tidak efisien untuk menjembatani dua kantor fisik yang berbeda secara permanen. Untuk menghubungkan lokasi cabang perusahaan permanen, lihat artikel kami berikut a VPN Situs-Ke-Situs memandu.

Kesimpulan

Pengaturan MikroTik L2TP VPN yang dirancang dengan baik dengan sempurna membekali tenaga kerja jarak jauh Anda dengan akses asli, menghindari pembengkakan perangkat lunak pihak ketiga. Protokol modern saat ini mendominasi berita utama jaringan, namun tidak dapat dipecahkan Enkripsi IPsec AES-256 menjadikan arsitektur ini sebagai raksasa perusahaan yang tak terbantahkan.

Pengaturan NAT-T yang benar membantu menghindari beberapa kegagalan Fase 2 di jalur NAT, namun ketidakcocokan PSK, ketidakcocokan proposal, dan masalah firewall masih dapat mengganggu negosiasi. Ingatlah bahwa L2TP dan IPsec bersama-sama menambah overhead enkapsulasi dan mengurangi MTU efektif Anda. Biaya kinerja berasal dari tambahan pembungkusan paket, bukan dari lapisan enkripsi kedua.

MikroTik sendiri Dokumentasi IPsec mengonfirmasi bahwa akselerasi perangkat keras menggunakan mesin enkripsi bawaan di dalam CPU untuk mempercepat proses enkripsi; tanpanya, semua pekerjaan kriptografi jatuh pada CPU utama dan throughput turun drastis. 

Menerapkan arsitektur Anda pada router yang dilengkapi dengan akselerator kriptografi asli mencegah kemacetan CPU dan menjaga jaringan Anda tetap berjalan pada kecepatan penuh.

Pertanyaan Umum

Bagaimana cara memperbaiki kesalahan Gagal Negosiasi Fase 1?

Di Windows, coba AsumsikanUDPEncapsulationContextOnSendRule perubahan registri hanya untuk kasus tepi NAT-T, terutama jika server VPN berada di belakang NAT atau klien dan server berada di belakang NAT.

Mengapa koneksi saya terputus terus-menerus?

Dalam pengaturan VPN MikroTik L2TP, transfer data yang besar dapat terhenti karena ketidakcocokan MTU. Anda harus memaksakan ukuran MTU yang lebih rendah untuk menghilangkan fragmentasi paket. Edit profil L2TP Anda. Tetapkan nilai Ubah TCP MSS ke ya. Tindakan ini menstabilkan koneksi jarak jauh Anda secara instan.

Perangkat keras apa yang saya perlukan untuk ini?

Anda memerlukan RouterOS v7 dan alamat yang dapat dijangkau publik atau nama DNS yang stabil. IPv4 publik statis lebih disukai, namun tidak wajib dalam setiap penerapan. Throughput IPsec bergantung pada model router, arsitektur CPU, dukungan offload, pilihan sandi, dan pola lalu lintas.

Apakah ini berfungsi dengan baik di RouterOS v7?

Ya, RouterOS v7 mendukung pengaturan ini dengan baik pada perangkat keras yang didukung, namun perilaku akhir masih bergantung pada kompatibilitas klien, aturan firewall, dan pengaturan IPsec. Logika konfigurasi yang mendasarinya secara langsung mencerminkan v6, yang membuat transisi menjadi mudah bagi teknisi jaringan veteran.

Apa perbedaan antara PPTP dan L2TP/IPsec?

PPTP sudah usang dan memiliki kerentanan yang terdokumentasi dengan baik sehingga tidak cocok untuk penerapan baru. Pengaturan MikroTik L2TP VPN adalah pilihan yang lebih aman; IPsec menyediakan lapisan enkripsi dan integritas, sementara L2TP menangani tunneling. Jangan pernah menerapkan PPTP dalam jaringan perusahaan.

Apakah pengaturan ini aman digunakan pada tahun 2026?

Pengaturan MikroTik L2TP/IPsec masih bisa menjadi opsi yang valid pada tahun 2026 untuk kompatibilitas klien asli, namun keamanan dan keandalannya bergantung pada pengaturan IPsec yang benar, kebijakan firewall, patching, dan kompatibilitas klien.

Membagikan

Selengkapnya dari blog

Teruslah membaca.

Jendela terminal menampilkan pesan peringatan SSH tentang perubahan identifikasi host jarak jauh, dengan judul Panduan Perbaikan dan merek Cloudzy dengan latar belakang biru kehijauan.
Keamanan & Jaringan

Peringatan: Identifikasi Host Jarak Jauh Telah Berubah & Cara Memperbaikinya

SSH adalah protokol jaringan aman yang menciptakan terowongan terenkripsi antar sistem. Ini tetap populer di kalangan pengembang yang membutuhkan akses jarak jauh ke komputer tanpa memerlukan grafik

Rexa CyrusRexa Cyrus 10 menit membaca
Ilustrasi panduan pemecahan masalah server DNS dengan simbol peringatan dan server biru dengan latar belakang gelap untuk kesalahan resolusi nama Linux
Keamanan & Jaringan

Kegagalan Sementara dalam Resolusi Nama: Apa Artinya & Bagaimana Cara Memperbaikinya?

Saat menggunakan Linux, Anda mungkin mengalami kegagalan sementara dalam kesalahan resolusi nama saat mencoba mengakses situs web, memperbarui paket, atau menjalankan tugas yang memerlukan koneksi internet.

Rexa CyrusRexa Cyrus 12 menit membaca
Cara Mengarahkan Domain ke VPS: Panduan Singkat
Keamanan & Jaringan

Cara Mengarahkan Domain ke VPS: Panduan Singkat

Mengarahkan domain ke Server Pribadi Virtual diperlukan untuk menghosting situs web dan aplikasi. Panduan ini mencakup semua yang perlu Anda ketahui tentang menghubungkan domain ke domain Anda

Rexa CyrusRexa Cyrus 16 menit membaca

Siap untuk diterapkan? Mulai dari $2,48/bln.

Cloud independen, sejak 2008. AMD EPYC, NVMe, 40 Gbps. Uang kembali 14 hari.

Terapkan VPS Lihat semua rencana