50% korting alle plannen, beperkte tijd. Beginnend om $2.48/mo
Nog 9 minuten
Beveiliging en netwerken

MikroTik L2TP VPN-installatie (met IPsec): RouterOS-handleiding (2026)

Rex Cyrus By Rex Cyrus 9 minuten lezen 4d geleden bijgewerkt
Een Cloudzy-titelafbeelding voor een MikroTik L2TP VPN-gids, waarin een laptop wordt weergegeven die verbinding maakt met een serverrack via een gloeiende blauw-gouden digitale tunnel met schildpictogrammen.

In deze MikroTik L2TP VPN-installatie verzorgt L2TP de tunneling, terwijl IPsec de encryptie en integriteit afhandelt; Door ze te koppelen, krijgt u native clientcompatibiliteit zonder agenten van derden. Het valideren van uw cryptografische hardwarelimieten blijft een absolute prioriteit.

Door de inkapselingsoverhead te negeren introduceert deze dubbele protocolstack stilletjes implementaties voordat ze ook maar één megabyte verwerken.

Wat is MikroTik L2TP VPN?

Door zijn fundamentele ontwerp functioneert L2TP puur als een holle transportbrug. Het biedt absoluut geen inherente encryptie voor uw verkeer vijandige netwerken.

Om encryptie en integriteit toe te voegen, koppelen netwerkarchitecten L2TP aan IPsec; het resultaat is een dubbele protocolstack waarbij L2TP de tunnel omhult en IPsec de payload beveiligt. Deze hybride architectuur blijft de beste keuze voor oudere compatibiliteit zonder de inzet van invasieve agenten van derden

Het begrijpen van deze afhankelijkheid van twee protocollen bepaalt strikt hoe u bouwt firewall-uitzonderingen. Uw MikroTik VPN-installatie zal onmiddellijk uiteenvallen als de UDP-routering of het onderliggende IPsec-inkapselingsproces mislukt.

Hoe het werkt

Het tot stand brengen van deze beveiligde verbinding vereist een nauwkeurige, tweefasige netwerkhandshake. IKE Phase 1 arbitreert eerst de cryptografische beveiligingsassociatie met behulp van uw complex Vooraf gedeelde sleutel.

Zodra deze onzichtbare muur staat, bouwt Fase 2 de L2TP-tunnel direct in de gecodeerde lading. Als een van beide fasen mislukt vanwege een PSK-mismatch, voorstel-mismatch, geblokkeerde UDP 500/4500 of NAT-verwerkingsproblemen, zal de tunnel niet verschijnen. In sommige Windows NAT-T edge-gevallen kan ook een registerwijziging nodig zijn.

Het dubbele inkapselingsproces

Gegevens tijdens de vlucht in een MikroTik L2TP VPN-opstelling ondergaan een streng verpakkingsproces. Het komt in een standaard terecht PPP-frame, wordt omhuld door het L2TP-protocol en wordt gepantserd door IPsec ESP.

Een gloeiende digitale datakubus is veilig ingekapseld in een doorschijnende blauwe cilinder en een zware zilvermetalen ring, wat een meerlaags inkapselingsproces illustreert.

Deze samengestelde overhead vergroot de pakketafmetingen agressief, waardoor ze ver buiten het standaardnetwerk komen Maximale transmissie-eenheid grenzen. Deze plotselinge inflatie veroorzaakt onvermijdelijk gewelddadige pakketfragmentatie in omgevingen met hoge latentie.

Als uw onderneming pure snelheid belangrijker vindt dan diepe tunneling, bekijk dan onze gids over Shadowsocks-configuratie, die een aantrekkelijk alternatief met weinig overhead biedt. Ik betoog dat zware tunneling vaak overdreven is voor eenvoudige webgebaseerde bedrijfsapplicaties.

Hoe MikroTik L2TP VPN instellen?

Het implementeren van een versterkte server op RouterOS v7 vereist absolute precisie. Voor de schoonste installatie geeft u de router een openbaar bereikbaar adres of een stabiele DNS-naam. Een statisch openbaar IP-adres heeft de voorkeur, maar is niet verplicht in elke implementatie.

U moet onmiddellijk een configuratieback-up beveiligen, omdat een gebroken IPsec-beleid u buitensluit. Bekijk onze gids over standaard Mikrotik-poortdoorschakeling documentatie voordat cryptografische verkeersketens worden gemanipuleerd. Volg deze MikroTik L2TP VPN-installatie nauwkeurig. Het haasten van firewallregels op een live productierouter is een gegarandeerde ramp.

Stap 1: Maak de IP-pool en het PPP-profiel aan

U moet lokale IP-adressen definiëren. Uw verbindende clients ontvangen deze IP's.

  1. Open het IP-menu. Klik op de optie Pool.
  2. Klik op de knop Toevoegen. Geef de pool een naam vpn-pool.
  3. Stel uw specifieke IP-bereik in.
  4. Open het PPP-menu. Klik op de optie Profielen.
  5. Klik op de knop Toevoegen. Noem het profiel l2tp-profiel.
  6. Wijs het lokale adres toe aan uw routergateway.
  7. Stel het externe adres in op vpn-pool.

Stap 2: Schakel de Global Server en IPsec in

Deze stap activeert de globale L2TP-listener in uw MikroTik L2TP VPN-installatie. RouterOS koppelt de IPsec-codering dynamisch zodra u deze inschakelt.

  1. Open het PPP-menu. Klik op de optie Interface.
  2. Klik op de knop L2TP-server.
  3. Schakel het selectievakje Ingeschakeld in.
  4. Selecteer het L2TP-profiel als standaardprofiel.
  5. Selecteer Vereisen onder IPsec gebruiken, tenzij u opzettelijk een niet-IPsec-reserve nodig hebt voor een lab- of migratiegeval.
  6. Typ een complexe tekenreeks in het veld IPsec Secret.

Stap 3: PPP-gebruikers toevoegen (geheimen)

Uw server heeft gebruikersaccounts nodig. U moet inloggegevens voor externe clientverificatie aanmaken. Het volgende deel van uw MikroTik L2TP VPN-installatie gaat naar het PPP-profiel.

  1. Open het PPP-menu. Klik op de optie Geheimen.
  2. Klik op de knop Toevoegen.
  3. Typ een unieke naam. Typ een veilig wachtwoord.
  4. Stel de service in op L2TP.
  5. Stel het profiel in op l2tp-profile.

Stap 4: Configureer de firewallregels (prioriteit)

Uw firewall blokkeert IPsec-onderhandeling. U moet deze regels in uw invoerketen plaatsen.

Een donkerblauwe en zilveren netwerkrouter heeft gloeiende optische kabels die zijn aangesloten op de poorten, expliciet gelabeld met 'UDP 500', 'UDP 4500' en 'IPsec-ESP'.

  1. Accepteer UDP-poort 500. Dit verwerkt Fase 1-beveiligingsassociaties.
  2. Accepteer UDP-poort 4500. Hiermee wordt NAT Traversal verwerkt.
  3. Accepteer UDP-poort 1701 voor het tot stand brengen van een L2TP-link. Na de installatie kan gerelateerd verkeer andere UDP-poorten gebruiken, zoals overeengekomen.
  4. Accepteer het IPsec-ESP-protocol. Hierdoor zijn Protocol 50-versleutelde payloads mogelijk.

Als VPN-clients gerouteerde toegang tot interne subnetten nodig hebben, voeg dan ook IPsec-beleidsovereenkomstregels toe in de voorwaartse keten en stel overeenkomend verkeer uit van srcnat/masquerade. FastTrack-bypass alleen is niet voldoende voor alle gerouteerde IPsec-gevallen.

Stap 5 en 6: Optimaliseer standaardbeleid en peerprofielen

RouterOS gebruikt standaard dynamische sjablonen. U moet ze handmatig beveiligen.

  1. Open het IP-menu. Klik op de IPsec-optie. Klik op het tabblad Voorstellen.
  2. Controleer de sha256-hashparameter. Controleer AES-256 CBC-codering.
  3. Stel de PFS-groep in op minimaal modp2048, of een sterkere groep als alle clientplatforms binnen het bereik dit ondersteunen. Gebruik modp1024 niet; RFC 8247 markeert dit als NIET MOGELIJK.
  4. Klik op het tabblad Profielen. Stel Hash in op sha256. Stel de codering in op aes-256.
  5. Controleer NAT Traversal als clients of de server achter NAT mogen zitten. Hierdoor werkt IPsec correct via UDP 4500 in NATed-paden.

Alle voorstelwaarden, inclusief de PFS-groep, het hash-algoritme en het encryptiecijfer, moeten overeenkomen met wat uw clientplatforms daadwerkelijk ondersteunen; mismatches zullen ervoor zorgen dat fase 2 stilzwijgend mislukt.

Geavanceerde optimalisatie (FastTrack omzeilen)

De standaard IPv4 FastTrack-regel versnelt het doorsturen van pakketten kunstmatig. Dit vernietigt routinematig IPsec-tunnels omdat pakketten snel worden gevolgd voordat de coderingscyclus plaatsvindt.

Een zwaar zilverkleurig gepantserd voertuig rijdt veilig over een verhoogde rondweg met het opschrift 'IPSec cryptografisch verkeer' en vermijdt de turbulente blauwe digitale rivier eronder met het opschrift 'FastTrack'.

U moet FastTrack expliciet omzeilen voor al het cryptografische verkeer. Maak een acceptatieregel met behulp van IPsec Policy=in,ipsec-matchers. Sleep deze regel boven FastTrack. Uw MikroTik VPN-configuratie zal stabiliseren zodra deze is geïnstalleerd.

Als VPN-clients gerouteerde toegang tot interne subnetten nodig hebben, voeg dan ook IPsec-beleidsovereenkomstregels toe in de voorwaartse keten en stel overeenkomend verkeer uit van srcnat/masquerade. FastTrack-bypass alleen is niet voldoende voor alle gerouteerde IPsec-gevallen.

Belangrijkste kenmerken en voordelen

Veel teams kiezen nog steeds voor een MikroTik L2TP VPN-installatie boven zero-trust-modellen om de native OS-compatibiliteit te behouden en agenten van derden te vermijden. Toch blijven ervaren systeembeheerders deze zware IPsec-overhead overnemen, puur en alleen om absoluut administratief gemak te behouden. Native besturingssysteemintegratie elimineert conflicterende softwareagenten van derden operatief van uw eindpunten.

Ik merk vaak dat native OS-tools elke keer beter meegaan dan populaire agenten van derden. Het overslaan van deze verplichte klantimplementaties bespaart helpdeskafdelingen gemakkelijk honderden verspilde uren per jaar. Het voltooien van deze MikroTik L2TP VPN-installatie brengt harde hardware-realiteit met zich mee, die hieronder wordt beschreven.

Functiegebied RouterOS-impact
Beveiligingsstandaard AES-256 IPsec-codering verdedigt tegen Man-in-the-Middle-aanvallen.
Verenigbaarheid Brede ingebouwde ondersteuning op Windows- en Apple-platforms, met platform- en versiespecifieke ondersteuning op andere systemen.
CPU-overhead De IPsec-doorvoer is afhankelijk van het routermodel, de CPU, het verkeerspatroon, de coderingssuite en offload-ondersteuning. Op ondersteunde hardware kan RouterOS IPsec-versnelling gebruiken, zoals AES-NI.
Firewall-complexiteit Firewallregels variëren per topologie, maar L2TP/IPsec omvat doorgaans UDP 500, UDP 4500, L2TP-controleverkeer en IPsec-beleidsafhandeling.

Beveiliging en native compatibiliteit

Het bepalende beveiligingsvoordeel van deze MikroTik L2TP VPN-installatie is de cryptografische suite AES-256. De wiskunde blijkt solide. Toch blijven blootgestelde edge-gateways fungeren als enorme doelwitten voor geautomatiseerde scanarrays. Een recente CISA-rapport 2024 bevestigde dat blootgestelde VPN-gateways wereldwijd ongeveer 22% van de initiële ransomware-toegangsvectoren aansturen.

Een centrale zilveren server met een schildpictogram maakt naadloos verbinding met een Windows-laptop, een MacBook, een Linux-terminal, een iOS-apparaat en een Android-smartphone.

Het rigoureus filteren van adreslijsten is een prioriteit waar niet over onderhandeld kan worden. Het vertrouwen op een blootgestelde poort zonder adresfiltering is operationele nalatigheid. Als u te maken krijgt met deep-packet inspection, bekijk dan ons artikel over het implementeren van een Verduisterde VPN actieve censuur te omzeilen.

Prestatieoverwegingen (hardware-offloading)

Zonder hardwareversnelling verwerkt de CPU alle encryptie inline, waardoor het gebruik van single-cores tot het uiterste kan worden gedreven en de doorvoer ver onder uw lijnsnelheid kan komen; Van MikroTik Documenten over IPsec-hardwareversnelling bevestig dit direct.

Een zilveren serverrack staat beschermd onder een gloeiende blauwe energiekoepel. Flankerende metalen schilden buigen vijandige rode laserstralen af, wat een robuuste toegangspoortverdediging symboliseert.

Om uw IPsec-tunnels op volle lijnsnelheid te laten draaien zonder CPU-knelpunten, heeft u hardware nodig die de belasting daadwerkelijk aankan. Bij Cloudzy, onze MikroTik VPS geeft je hoogfrequente Ryzen 9 CPU's, NVMe-opslag en 40 Gbps-netwerken; speciaal gebouwd voor precies dit soort cryptografische werklast.

Een AMD Ryzen CPU gecentreerd op een donkerblauwe printplaat, met helderwit gloeiende sporen die diagonaal uitstralen

Typische gebruiksscenario's

L2TP/IPsec domineert veilig sterk geïsoleerde transportscenario's in plaats van algemene webroutering. A Gartner-analyse uit 2025 onthulde dat 41% van de enterprise edge-netwerken nog steeds sterk afhankelijk is van native protocollen om dure licenties van derden te vermijden.

Het silhouet van een professionele vrouw op een laptop komt via een veilige, gloeiende zilveren tunnel via een digitale wereldkaart rechtstreeks in een bedrijfskantoor terecht.

Deze verouderde protocollen blijven diep ingebed in miljarden apparaten wereldwijd. Deze MikroTik L2TP VPN-installatie blinkt opmerkelijk uit wanneer u strenge firewallgrenzen afdwingt die de toegang uitsluitend tot interne bedrijfssubnetten beperken. Het gebruik van dit protocol voor surfen in de volledige tunnel is een fundamentele verkeerde toewijzing van bronnen.

Toegang voor externe medewerkers en beperkingen van locatie tot locatie

Deze specifieke protocolconfiguratie komt goed tot zijn recht wanneer individuele medewerkers op afstand kunnen inbellen op een centraal kantoor-LAN. Bovendien voegt de L2TP-wrapper onnodige, zware latentie toe aan statische branch-routers.

Ik ben ervan overtuigd dat het verschrikkelijk inefficiënt is om twee verschillende fysieke kantoren permanent te overbruggen. Voor het koppelen van vaste bedrijfsvestigingen kunt u ons artikel lezen over het volgen van a Site-naar-site-VPN gids.

Conclusie

Een goed ontworpen MikroTik L2TP VPN-installatie voorziet uw externe medewerkers feilloos van native toegang, waardoor softwareproblemen van derden worden vermeden. Moderne protocollen domineren momenteel de krantenkoppen op het gebied van netwerken, maar zijn toch onbreekbaar AES-256 IPsec-codering maakt deze architectuur tot een onbetwiste ondernemingstitan.

Correcte NAT-T-instellingen helpen sommige Fase 2-fouten in NATed-paden te voorkomen, maar PSK-mismatches, voorstel-mismatches en firewall-problemen kunnen de onderhandelingen nog steeds verbreken. Houd er rekening mee dat L2TP en IPsec samen inkapselingsoverhead toevoegen en uw effectieve MTU verminderen. De prestatiekosten zijn afkomstig van extra pakketverpakking, niet van een tweede encryptielaag.

Van MikroTik IPsec-documentatie bevestigt dat hardwareversnelling gebruik maakt van een ingebouwde encryptie-engine in de CPU om het encryptieproces te versnellen; zonder dit valt al het cryptografische werk op de hoofd-CPU en daalt de doorvoer aanzienlijk. 

Door uw architectuur te implementeren op routers die zijn uitgerust met native cryptografische versnellers voorkomt u CPU-knelpunten en blijft uw netwerk op volle lijnsnelheid draaien.

Veelgestelde vragen

Hoe los ik Fase 1-onderhandelingsfouten op?

Probeer in Windows de Stel datUDPEncapsulationContextOnSendRule registerwijziging alleen voor NAT-T edge-gevallen, vooral als de VPN-server zich achter NAT bevindt of als zowel de client als de server zich achter NAT bevinden.

Waarom valt mijn verbinding voortdurend weg?

In een MikroTik L2TP VPN-opstelling kunnen zware gegevensoverdrachten wegvallen als gevolg van MTU-mismatches. U moet een lagere MTU-grootte forceren om pakketfragmentatie te voorkomen. Bewerk uw L2TP-profiel. Stel de TCP MSS-waarde wijzigen in op Ja. Deze actie stabiliseert uw externe verbinding onmiddellijk.

Welke hardware heb ik hiervoor nodig?

U hebt RouterOS v7 en een openbaar bereikbaar adres of een stabiele DNS-naam nodig. Een statisch openbaar IPv4 heeft de voorkeur, maar is niet verplicht bij elke implementatie. De IPsec-doorvoer is afhankelijk van het routermodel, de CPU-architectuur, de offload-ondersteuning, de coderingskeuze en het verkeerspatroon.

Werkt dit goed op RouterOS v7?

Ja, RouterOS v7 ondersteunt deze configuratie goed op ondersteunde hardware, maar het uiteindelijke gedrag hangt nog steeds af van clientcompatibiliteit, firewallregels en IPsec-instellingen. De onderliggende configuratielogica weerspiegelt rechtstreeks v6, wat de overgang eenvoudig maakt voor ervaren netwerkingenieurs.

Wat is het verschil tussen PPTP en L2TP/IPsec?

PPTP is verouderd en bevat goed gedocumenteerde kwetsbaarheden die het ongeschikt maken voor nieuwe implementaties. Een MikroTik L2TP VPN-installatie is de veiligere keuze; IPsec zorgt voor de encryptie- en integriteitslaag, terwijl L2TP de tunneling verzorgt. Implementeer PPTP nooit binnen een bedrijfsnetwerk.

Is deze opstelling veilig te gebruiken in 2026?

De MikroTik L2TP/IPsec-installatie kan in 2026 nog steeds een geldige optie zijn voor native-clientcompatibiliteit, maar de veiligheid en betrouwbaarheid ervan zijn afhankelijk van de juiste IPsec-instellingen, firewallbeleid, patching en clientcompatibiliteit.

Deel

Meer van de blog

Blijf lezen.

Terminalvenster met SSH-waarschuwingsbericht over wijziging van hostidentificatie op afstand, met Fix Guide-titel en Cloudzy-branding op een donkerblauwgroene achtergrond.
Beveiliging en netwerken

Waarschuwing: de externe hostidentificatie is gewijzigd en hoe u dit kunt oplossen

SSH is een beveiligd netwerkprotocol dat een gecodeerde tunnel tussen systemen creëert. Het blijft populair bij ontwikkelaars die externe toegang tot computers nodig hebben zonder dat daarvoor een grafische kaart nodig is

Rex CyrusRex Cyrus 10 minuten lezen
Gids voor probleemoplossing voor DNS-servers met waarschuwingssymbolen en blauwe server op donkere achtergrond voor Linux-naamomzettingsfouten
Beveiliging en netwerken

Tijdelijke fout in naamresolutie: wat betekent dit en hoe kunt u dit oplossen?

Wanneer u Linux gebruikt, kunt u een tijdelijke fout in de naamresolutie tegenkomen wanneer u probeert toegang te krijgen tot websites, pakketten bij te werken of taken uit te voeren waarvoor een internetverbinding nodig is.

Rex CyrusRex Cyrus 12 minuten lezen
Hoe u een domein naar een VPS kunt verwijzen: een korte handleiding
Beveiliging en netwerken

Hoe u een domein naar een VPS kunt verwijzen: een korte handleiding

Het verwijzen van een domein naar een Virtual Private Server is noodzakelijk voor het hosten van websites en applicaties. In deze handleiding vindt u alles wat u moet weten over het koppelen van uw domein aan uw

Rex CyrusRex Cyrus 16 minuten lezen

Klaar om te implementeren? Vanaf $ 2,48/maand.

Onafhankelijke cloud, sinds 2008. AMD EPYC, NVMe, 40 Gbps. 14 dagen geld-terug-garantie.

Implementeer een VPS Bekijk alle abonnementen