Sconto del 50%. tutti i piani, tempo limitato. A partire da $2.48/mo
9 minuti rimasti
Sicurezza e reti

Configurazione VPN L2TP MikroTik (con IPsec): Guida RouterOS (2026)

Rexa Ciro By Rexa Ciro 9 minuti di lettura Aggiornato 4 giorni fa
Un'immagine del titolo Cloudzy per una guida VPN L2TP MikroTik, che mostra un laptop che si connette a un server rack tramite un tunnel digitale blu e oro luminoso con icone di scudi.

In questa configurazione VPN L2TP MikroTik, L2TP gestisce il tunneling mentre IPsec gestisce la crittografia e l'integrità; abbinarli ti dà la compatibilità del client nativo senza agenti di terze parti. La convalida dei limiti hardware crittografici rimane una priorità assoluta.

Ignorando il sovraccarico di incapsulamento, questo stack a doppio protocollo soffoca silenziosamente le distribuzioni prima che elaborino un singolo megabyte.

Cos’è la VPN L2TP MikroTik?

Per la sua progettazione fondamentale, L2TP funziona esclusivamente come un ponte di trasporto cavo. Fornisce una crittografia intrinseca assolutamente nulla per il traffico in movimento reti ostili.

Per aggiungere crittografia e integrità, gli architetti di rete accoppiano L2TP con IPsec; il risultato è uno stack a doppio protocollo in cui L2TP avvolge il tunnel e IPsec protegge il carico utile. Questa architettura ibrida rimane la scelta migliore per la compatibilità legacy senza l'implementazione di agenti di terze parti invasivi

La comprensione di questa dipendenza dal doppio protocollo determina rigorosamente il modo in cui si costruisce eccezioni del firewall. La configurazione della tua VPN MikroTik andrà in frantumi all'istante se il routing UDP o il processo di incapsulamento IPsec sottostante falliscono.

Come funziona

Stabilire questa connessione protetta richiede un preciso handshake di rete in due fasi. IKE Fase 1 arbitra innanzitutto l'associazione di sicurezza crittografica utilizzando il tuo complesso Chiave precondivisa.

Una volta che questo muro invisibile è in piedi, la Fase 2 costruisce il tunnel L2TP direttamente all'interno del payload crittografato. Se una delle fasi fallisce a causa di una mancata corrispondenza PSK, mancata corrispondenza della proposta, UDP 500/4500 bloccato o problemi di gestione NAT, il tunnel non verrà attivato. In alcuni casi limite NAT-T di Windows, potrebbe essere necessaria anche una modifica del registro.

Il processo di doppio incapsulamento

I dati in volo in una configurazione VPN MikroTik L2TP sono sottoposti a un severo processo di confezionamento. Entra in uno standard Quadro PPP, viene avvolto dal protocollo L2TP ed è blindato da IPsec ESP.

Un cubo di dati digitali luminoso è racchiuso in modo sicuro all'interno di un cilindro blu traslucido e di un pesante anello metallico argentato, che illustra un processo di incapsulamento multistrato.

Questo sovraccarico aumenta in modo aggressivo le dimensioni dei pacchetti, spingendoli ben oltre la rete standard Unità di trasmissione massima limiti. Questa improvvisa inflazione innesca inevitabilmente una violenta frammentazione dei pacchetti in ambienti ad alta latenza.

Se la tua azienda apprezza la velocità pura rispetto al tunneling profondo, consulta la nostra guida sulla configurazione di Shadowsocks, che fornisce un'alternativa convincente e a basso costo. Io sostengo che il tunneling pesante sia spesso eccessivo per semplici applicazioni aziendali basate sul web.

Come impostare la VPN MikroTik L2TP?

L'implementazione di un server fortificato su RouterOS v7 richiede precisione assoluta. Per una configurazione più pulita, fornisci al router un indirizzo raggiungibile pubblicamente o un nome DNS stabile. Un IP pubblico statico è preferibile, ma non obbligatorio in ogni distribuzione.

È necessario proteggere immediatamente un backup della configurazione, poiché i criteri IPsec non funzionanti ti bloccheranno. Consulta la nostra guida sullo standard Mikrotik Port Forwarding documentazione prima di manipolare le catene di traffico crittografico. Segui con precisione questa configurazione della VPN MikroTik L2TP. L'applicazione frettolosa delle regole del firewall su un router di produzione live è un disastro garantito.

Passaggio 1: creare il pool IP e il profilo PPP

È necessario definire gli indirizzi IP locali. I tuoi client che si connettono ricevono questi IP.

  1. Apri il menu IP. Fare clic sull'opzione Piscina.
  2. Fare clic sul pulsante Aggiungi. Assegna un nome al pool vpn-pool.
  3. Imposta il tuo intervallo IP specifico.
  4. Apri il menu PPP. Fare clic sull'opzione Profili.
  5. Fare clic sul pulsante Aggiungi. Assegna un nome al profilo l2tp-profile.
  6. Assegna l'indirizzo locale al gateway del router.
  7. Imposta l'indirizzo remoto su VPN-pool.

Passaggio 2: abilitare il server globale e IPsec

Questo passaggio attiva il listener L2TP globale nella configurazione della VPN L2TP MikroTik. RouterOS allega dinamicamente la crittografia IPsec una volta abilitata.

  1. Apri il menu PPP. Fare clic sull'opzione Interfaccia.
  2. Fare clic sul pulsante Server L2TP.
  3. Seleziona la casella di controllo Abilitato.
  4. Selezionare il profilo L2TP come profilo predefinito.
  5. Seleziona Richiedi in Usa IPsec, a meno che tu non abbia intenzionalmente bisogno di un fallback non IPsec per un caso di laboratorio o di migrazione.
  6. Digita una stringa complessa nel campo Segreto IPsec.

Passaggio 3: aggiungere utenti PPP (segreti)

Il tuo server richiede account utente. È necessario creare credenziali di autenticazione del client remoto. La parte successiva della configurazione della VPN L2TP MikroTik si sposta nel profilo PPP.

  1. Apri il menu PPP. Fare clic sull'opzione Segreti.
  2. Fare clic sul pulsante Aggiungi.
  3. Digita un nome univoco. Digita una password sicura.
  4. Imposta il servizio su L2TP.
  5. Imposta il profilo su l2tp-profile.

Passaggio 4: configurare le regole del firewall (priorità)

Il tuo firewall blocca la negoziazione IPsec. È necessario inserire queste regole nella catena di input.

Un router di rete blu scuro e argento è dotato di cavi ottici luminosi collegati alle porte, etichettati esplicitamente con "UDP 500", "UDP 4500" e "IPsec-ESP".

  1. Accetta la porta UDP 500. Gestisce le associazioni di sicurezza della Fase 1.
  2. Accetta la porta UDP 4500. Questo elabora NAT Traversal.
  3. Accetta la porta UDP 1701 per la creazione del collegamento L2TP. Dopo la configurazione, il traffico correlato potrebbe utilizzare altre porte UDP negoziate.
  4. Accettare il protocollo IPsec-ESP. Ciò consente payload crittografati con il protocollo 50.

Se i client VPN necessitano di accesso instradato alle sottoreti interne, aggiungi anche le regole di corrispondenza dei criteri IPsec nella catena di inoltro ed esenta il traffico corrispondente da srcnat/masquerade. Il solo bypass FastTrack non è sufficiente per tutti i casi IPsec instradati.

Passaggio 5 e 6: ottimizzare le policy predefinite e i profili dei peer

RouterOS utilizza modelli dinamici predefiniti. È necessario proteggerli manualmente.

  1. Apri il menu IP. Fare clic sull'opzione IPsec. Fare clic sulla scheda Proposte.
  2. Verificare il parametro hash sha256. Verifica la crittografia AES-256 CBC.
  3. Imposta il gruppo PFS su modp2048 al minimo o su un gruppo più potente se tutte le piattaforme client nell'ambito lo supportano. Non utilizzare modp1024; RFC 8247 lo contrassegna come NON DOVREBBE.
  4. Fare clic sulla scheda Profili. Imposta Hash su sha256. Imposta la crittografia su aes-256.
  5. Controlla NAT Traversal se i client o il server potrebbero trovarsi dietro NAT. Ciò consente a IPsec di funzionare correttamente su UDP 4500 nei percorsi NAT.

Tutti i valori della proposta, inclusi il gruppo PFS, l'algoritmo hash e il codice di crittografia, devono corrispondere a ciò che le piattaforme client effettivamente supportano; le mancate corrispondenze causeranno il fallimento silenzioso della Fase 2.

Ottimizzazione avanzata (ignorando FastTrack)

La regola FastTrack IPv4 predefinita accelera artificialmente l'inoltro dei pacchetti. Questo distrugge regolarmente i tunnel IPsec perché traccia rapidamente i pacchetti prima che avvenga il ciclo di crittografia.

Un pesante veicolo blindato argentato viaggia in sicurezza su una corsia di bypass sopraelevata etichettata "traffico crittografico IPSec", evitando il turbolento fiume digitale blu sottostante etichettato "FastTrack".

È necessario ignorare esplicitamente FastTrack per tutto il traffico crittografico. Crea una regola Accetta utilizzando i corrispondenti IPsec Policy=in,ipsec. Trascina questa regola sopra FastTrack. La configurazione della tua VPN MikroTik si stabilizzerà una volta completata questa operazione.

Se i client VPN necessitano di accesso instradato alle sottoreti interne, aggiungi anche le regole di corrispondenza dei criteri IPsec nella catena di inoltro ed esenta il traffico corrispondente da srcnat/masquerade. Il solo bypass FastTrack non è sufficiente per tutti i casi IPsec instradati.

Caratteristiche e vantaggi principali

Molti team scelgono ancora una configurazione VPN L2TP MikroTik rispetto a modelli zero-trust per mantenere la compatibilità del sistema operativo nativo ed evitare agenti di terze parti. Tuttavia, gli amministratori di sistema veterani continuano ad adottare questo pesante sovraccarico di IPsec esclusivamente per mantenere l'assoluta comodità amministrativa. L'integrazione nativa del sistema operativo elimina chirurgicamente gli agenti software di terze parti in conflitto dai tuoi endpoint.

Noto spesso che gli strumenti del sistema operativo nativo superano ogni volta gli agenti di terze parti di tendenza. Evitando queste implementazioni obbligatorie dei client, i dipartimenti dell'helpdesk risparmiano facilmente centinaia di ore sprecate ogni anno. La finalizzazione di questa configurazione VPN L2TP MikroTik impone dure realtà hardware, che sono descritte in dettaglio di seguito.

Area delle funzionalità Impatto di RouterOS
Norma di sicurezza La crittografia AES-256 IPsec difende dagli attacchi Man-in-the-Middle.
Compatibilità Ampio supporto integrato su piattaforme Windows e Apple, con supporto specifico per piattaforma e versione su altri sistemi.
Sovraccarico della CPU La velocità effettiva IPsec dipende dal modello di router, dalla CPU, dal modello di traffico, dal pacchetto di crittografia e dal supporto dell'offload. Sull'hardware supportato, RouterOS può utilizzare l'accelerazione IPsec come AES-NI.
Complessità del firewall Le regole del firewall variano in base alla topologia, ma L2TP/IPsec implica comunemente UDP 500, UDP 4500, traffico di controllo L2TP e gestione dei criteri IPsec.

Sicurezza e compatibilità nativa

Il vantaggio di sicurezza che definisce questa configurazione VPN L2TP MikroTik è la suite crittografica AES-256. I conti si rivelano solidi. Tuttavia, i gateway edge esposti continuano a fungere da bersagli enormi per gli array di scansione automatizzata. Un recente Rapporto CISA 2024 hanno confermato che i gateway VPN esposti guidano circa il 22% dei vettori di accesso ransomware iniziali a livello globale.

Un server centrale color argento con l'icona di uno scudo si collega perfettamente a un laptop Windows, un MacBook, un terminale Linux, un dispositivo iOS e uno smartphone Android.

Il filtraggio rigoroso dell'elenco di indirizzi costituisce una priorità non negoziabile. Affidarsi a una porta esposta senza filtraggio degli indirizzi è una negligenza operativa. Se devi affrontare un'ispezione approfondita dei pacchetti, consulta il nostro articolo sulla distribuzione di un file VPN offuscata per superare la censura attiva.

Considerazioni sulle prestazioni (scaricamento dell'hardware)

Senza accelerazione hardware, la CPU gestisce tutta la crittografia in linea, il che può spingere l'utilizzo del single-core al limite e trascinare il throughput ben al di sotto della velocità della linea; Quello di MikroTik Documenti sull'accelerazione hardware IPsec confermalo direttamente.

Un server rack argentato è protetto da una cupola di energia blu brillante. Gli scudi metallici fiancheggianti deviano i raggi laser rossi ostili, simboleggiando una robusta difesa del passaggio.

Per mantenere i tunnel IPsec in esecuzione alla massima velocità di linea senza colli di bottiglia della CPU, è necessario un hardware in grado di gestire effettivamente il carico. A Cloudzy, il nostro MikroTik VPS ti offre CPU Ryzen 9 ad alta frequenza, storage NVMe e rete a 40 Gbps; creato appositamente per questo tipo di carico di lavoro crittografico.

Una CPU AMD Ryzen centrata su un circuito stampato blu scuro, con tracce luminose bianche che si irradiano in diagonale

Casi d'uso tipici

L2TP/IPsec domina in modo sicuro scenari di trasporto altamente isolati piuttosto che il routing web generale. UN Analisi Gartner 2025 ha rivelato che il 41% delle reti edge aziendali fa ancora molto affidamento su protocolli nativi per evitare costose licenze di terze parti.

La silhouette di una donna professionista su un laptop si collega tramite un tunnel argentato sicuro e luminoso attraverso una mappa del mondo digitale direttamente in un edificio per uffici aziendale.

Questi protocolli legacy rimangono profondamente radicati in miliardi di dispositivi globali. Questa configurazione VPN L2TP MikroTik eccelle notevolmente quando si applicano rigorosi confini del firewall che limitano l'accesso esclusivamente alle sottoreti aziendali interne. L'utilizzo di questo protocollo per la navigazione Web a tunnel completo rappresenta un'allocazione errata delle risorse.

Accesso dei lavoratori remoti e vincoli da sito a sito

Questa specifica configurazione del protocollo prospera quando si consente ai singoli dipendenti remoti di connettersi a una LAN dell'ufficio centrale. Inoltre, il wrapper L2TP aggiunge una latenza elevata e non necessaria ai router di filiali statici.

Sono fermamente convinto che sia terribilmente inefficiente collegare permanentemente due uffici fisici distinti. Per collegare le filiali aziendali permanenti, consulta il nostro articolo su come seguire a VPN da sito a sito guida.

Conclusione

Una configurazione VPN MikroTik L2TP adeguatamente progettata fornisce in modo impeccabile la tua forza lavoro remota con accesso nativo, evitando il sovraccarico di software di terze parti. I protocolli moderni attualmente dominano i titoli dei giornali di rete, ma sono indistruttibili Crittografia AES-256 IPsec rende questa architettura un titano aziendale indiscusso.

Le impostazioni NAT-T corrette aiutano a evitare alcuni errori della Fase 2 nei percorsi NAT, ma le mancate corrispondenze PSK, le mancate corrispondenze delle proposte e i problemi del firewall possono comunque interrompere la negoziazione. Ricorda che L2TP e IPsec insieme aggiungono un sovraccarico di incapsulamento e riducono la MTU effettiva. Il costo in termini di prestazioni deriva dall'ulteriore avvolgimento dei pacchetti, non da un secondo livello di crittografia.

Quello di MikroTik Documentazione IPsec conferma che l'accelerazione hardware utilizza un motore di crittografia integrato nella CPU per accelerare il processo di crittografia; senza di essa, tutto il lavoro crittografico ricade sulla CPU principale e la velocità effettiva diminuisce notevolmente. 

L'implementazione della tua architettura su router dotati di acceleratori crittografici nativi previene i colli di bottiglia della CPU e mantiene la rete funzionante alla massima velocità della linea.

Domande frequenti

Come posso correggere gli errori di negoziazione non riuscita della Fase 1?

Su Windows, prova il AssumeUDPEncapsulationContextOnSendRule modifica del registro solo per casi limite NAT-T, soprattutto se il server VPN è dietro NAT o sia il client che il server sono dietro NAT.

Perché la mia connessione si interrompe costantemente?

In una configurazione VPN L2TP MikroTik, i trasferimenti di dati pesanti possono interrompersi a causa di discrepanze MTU. È necessario forzare una dimensione MTU inferiore per eliminare la frammentazione dei pacchetti. Modifica il tuo profilo L2TP. Impostare il valore Modifica TCP MSS su sì. Questa azione stabilizza istantaneamente la connessione remota.

Di quale hardware ho bisogno per questo?

Sono necessari RouterOS v7 e un indirizzo raggiungibile pubblicamente o un nome DNS stabile. Un IPv4 pubblico statico è preferibile, ma non obbligatorio in ogni distribuzione. La velocità effettiva IPsec dipende dal modello di router, dall'architettura della CPU, dal supporto dell'offload, dalla scelta della crittografia e dal modello di traffico.

Funziona bene su RouterOS v7?

Sì, RouterOS v7 supporta bene questa configurazione sull'hardware supportato, ma il comportamento finale dipende ancora dalla compatibilità del client, dalle regole del firewall e dalle impostazioni IPsec. La logica di configurazione sottostante rispecchia direttamente la v6, il che rende la transizione semplice per gli ingegneri di rete veterani.

Qual è la differenza tra PPTP e L2TP/IPsec?

PPTP è obsoleto e presenta vulnerabilità ben documentate che lo rendono inadatto a nuove distribuzioni. Una configurazione VPN MikroTik L2TP è la scelta più sicura; IPsec fornisce il livello di crittografia e integrità, mentre L2TP gestisce il tunneling. Non distribuire mai PPTP all'interno di una rete aziendale.

Questa configurazione è sicura da usare nel 2026?

La configurazione MikroTik L2TP/IPsec può ancora essere un'opzione valida nel 2026 per la compatibilità con il client nativo, ma la sua sicurezza e affidabilità dipendono dalle corrette impostazioni IPsec, dalla policy del firewall, dalle patch e dalla compatibilità del client.

Condividere

Altro dal blog

Continua a leggere.

Finestra del terminale che mostra un messaggio di avviso SSH relativo alla modifica dell'identificazione dell'host remoto, con il titolo della Guida alla correzione e il marchio Cloudzy su sfondo verde acqua scuro.
Sicurezza e reti

Avviso: l'identificazione dell'host remoto è cambiata e come risolverlo

SSH è un protocollo di rete sicuro che crea un tunnel crittografato tra i sistemi. Rimane popolare tra gli sviluppatori che necessitano di accesso remoto ai computer senza richiedere una scheda grafica

Rexa CiroRexa Ciro 10 minuti di lettura
Illustrazione della guida alla risoluzione dei problemi del server DNS con simboli di avviso e server blu su sfondo scuro per errori di risoluzione dei nomi Linux
Sicurezza e reti

Errore temporaneo nella risoluzione dei nomi: cosa significa e come risolverlo?

Durante l'utilizzo di Linux, potresti riscontrare un errore temporaneo nell'errore di risoluzione dei nomi quando tenti di accedere a siti Web, aggiornare pacchetti o eseguire attività che richiedono una connessione Internet.

Rexa CiroRexa Ciro 12 minuti di lettura
Come puntare un dominio su VPS: una guida rapida
Sicurezza e reti

Come puntare un dominio su VPS: una guida rapida

Puntare un dominio su un server privato virtuale è necessario per ospitare siti Web e applicazioni. Questa guida copre tutto ciò che devi sapere sulla connessione del tuo dominio al tuo

Rexa CiroRexa Ciro 16 minuti di lettura

Pronti per la distribuzione? A partire da $ 2,48 al mese.

Cloud indipendente, dal 2008. AMD EPYC, NVMe, 40 Gbps. Rimborso entro 14 giorni.

Distribuisci un VPS Vedi tutti i piani