50% korting alle abonnementen, tijdelijk aanbod. Vanaf $2.48/mo
9 min resterend
Beveiliging & Netwerken

MikroTik L2TP VPN instellen (met IPsec): RouterOS-handleiding (2026)

Rexa Cyrus By Rexa Cyrus 9 minuten lezen 23 dagen geleden bijgewerkt
Een Cloudzy-titelafbeelding voor een MikroTik L2TP VPN-handleiding, met een laptop die via een gloeiende blauw-gouden digitale tunnel met schildpictogrammen verbinding maakt met een serverrack.

In deze MikroTik L2TP VPN-configuratie verzorgt L2TP de tunneling en IPsec de versleuteling en integriteit. Deze combinatie geeft je native clientcompatibiliteit zonder third-party agents. Het valideren van de limieten van je cryptografische hardware blijft een absolute prioriteit.

De encapsulatie-overhead die dit dual-protocol stack introduceert negeren, wurgt deployments al voordat er één megabyte verwerkt is.

Wat is MikroTik L2TP VPN?

L2TP is van nature een puur transportprotocol zonder meer. Het biedt absoluut geen ingebouwde versleuteling voor je doorstromend verkeer. vijandige netwerken.

Voor encryptie en integriteit combineren netwerkarchitecten L2TP met IPsec. Het resultaat is een dubbel protocolstack waarbij L2TP de tunnel verzorgt en IPsec de payload beveiligt. Deze hybride architectuur blijft de voorkeurskeuze voor achterwaartse compatibiliteit zonder dat er opdringerige third-party agents geïnstalleerd hoeven te worden.

Deze afhankelijkheid van twee protocollen bepaalt direct hoe je bouwt firewallexcepties. Je MikroTik VPN-configuratie valt direct uit als de UDP-routing of de onderliggende IPsec-encapsulatie uitvalt.

Hoe het werkt

Het opzetten van deze beveiligde verbinding vereist een nauwkeurige handshake in twee fasen. IKE Phase 1 onderhandelt eerst de cryptografische beveiligingsassociatie op basis van jouw complexe Vooraf gedeelde sleutel.

Zodra deze beveiligde verbinding tot stand is gebracht, bouwt Phase 2 de L2TP-tunnel direct binnen de versleutelde payload op. Als een van beide fasen mislukt door een PSK-mismatch, een voorstel-mismatch, geblokkeerde UDP 500/4500-poorten, of problemen met NAT-afhandeling, komt de tunnel niet omhoog. In bepaalde Windows NAT-T-randgevallen kan ook een registerwijziging nodig zijn.

Het dubbele inkapselingsproces

Doorvliegend dataverkeer in een MikroTik L2TP VPN-configuratie ondergaat een intensief inkapselingsproces. Het komt binnen als standaard PPP-frame, wordt ingepakt door het L2TP-protocol en beveiligd door IPsec ESP.

Een gloeiende digitale datakubus is veilig ingesloten in een doorschijnende blauwe cilinder en een zware zilveren metalen ring, als illustratie van een meerlaags inkapselingsproces.

Deze opeenstapeling van overhead blaast pakketgroottes fors op, ruim buiten de standaard netwerknormen. Maximale transmissie-eenheid limieten. Deze plotselinge inflatie leidt onvermijdelijk tot hevige pakketfragmentatie in omgevingen met hoge latentie.

Als snelheid voor jouw organisatie zwaarder weegt dan uitgebreide tunneling, bekijk dan onze handleiding over Shadowsocks Configuration. Dat biedt een lichtgewicht alternatief met weinig overhead. Voor eenvoudige webapplicaties is zwaar tunnelen vaak meer dan nodig.

Hoe stel je MikroTik L2TP VPN in?

Het opzetten van een beveiligde server op RouterOS v7 vereist nauwkeurigheid. Voor de schoonste configuratie geef je de router een publiek bereikbaar adres of een stabiele DNS naam. Een statisch publiek IP heeft de voorkeur, maar is niet in elke omgeving verplicht.

Maak onmiddellijk een back-up van je configuratie. Gebroken IPsec-beleidsregels kunnen je buitensluiten. Raadpleeg onze handleiding over standaard Mikrotik Poort Doorschakeling documentatie door te nemen voordat je cryptografisch verkeersverkeer aanpast. Volg deze MikroTik L2TP VPN-installatie nauwkeurig. Firewallregels aanpassen op een actieve productieomgeving gaat gegarandeerd mis.

Stap 1: Maak de IP-pool en het PPP-profiel aan

Je moet lokale IP-adressen definiëren. Verbindende clients krijgen deze IP-adressen toegewezen.

  1. Open het IP-menu. Klik op de optie Pool.
  2. Klik op de knop Toevoegen. Geef de pool de naam vpn-pool.
  3. Stel je specifieke IP-bereik in.
  4. Open het PPP-menu. Klik op de optie Profielen.
  5. Klik op de knop Toevoegen. Geef het profiel de naam l2tp-profile.
  6. Stel het lokale adres in op de gateway van je router.
  7. Stel het externe adres in op vpn-pool.

Stap 2: Activeer de globale server en IPsec

Deze stap activeert de globale L2TP-listener in je MikroTik L2TP VPN-configuratie. RouterOS koppelt de IPsec-versleuteling dynamisch zodra je dit inschakelt.

  1. Open het PPP-menu. Klik op de optie Interface.
  2. Klik op de knop L2TP Server.
  3. Vink het selectievakje Ingeschakeld aan.
  4. Selecteer L2TP-Profile als het standaardprofiel.
  5. Selecteer Verplicht onder IPsec gebruiken, tenzij je bewust een fallback zonder IPsec nodig hebt voor een testomgeving of migratie.
  6. Voer een complexe string in het veld IPsec Secret in.

Stap 3: PPP-gebruikers toevoegen (Secrets)

Je server vereist gebruikersaccounts. Je moet authenticatiegegevens aanmaken voor externe clients. Het volgende deel van je MikroTik L2TP VPN-configuratie gaat verder met het PPP-profiel.

  1. Open het PPP-menu. Klik op de optie Secrets.
  2. Klik op de knop Toevoegen.
  3. Voer een unieke naam in. Voer een sterk wachtwoord in.
  4. Stel de service in op L2TP.
  5. Stel het profiel in op l2tp-profile.

Stap 4: Configureer de firewallregels (prioriteit)

Je firewall blokkeert IPsec-onderhandeling. Plaats deze regels in je Input-chain.

Een donkerblauwe en zilveren netwerkrouter met gloeiende optische kabels in de poorten, duidelijk gelabeld als "UDP 500", "UDP 4500" en "IPsec-ESP".

  1. Sta UDP poort 500 toe. Dit verwerkt Phase 1-beveiligingsassociaties.
  2. Sta UDP poort 4500 toe. Dit verwerkt NAT Traversal.
  3. Sta UDP poort 1701 toe voor L2TP-verbindingsopbouw. Na de instelling kan gerelateerd verkeer andere UDP-poorten gebruiken zoals onderhandeld.
  4. Sta het IPsec-ESP-protocol toe. Dit maakt versleutelde Protocol 50-payloads mogelijk.

Als VPN-clients gerouteerde toegang tot interne subnetten nodig hebben, voeg dan ook IPsec-policymatchregels toe in de forward-chain en sluit overeenkomend verkeer uit van srcnat/masquerade. FastTrack-bypass alleen is niet voldoende voor alle gerouteerde IPsec-gevallen.

Stap 5 & 6: Standaardbeleidsregels en peerprofielen optimaliseren

RouterOS gebruikt standaard dynamische templates. Je moet deze handmatig beveiligen.

  1. Open het IP-menu. Klik op de IPsec-optie. Klik op het tabblad Proposals.
  2. Controleer de sha256-hashparameter. Controleer AES-256 CBC-versleuteling.
  3. Stel de PFS-groep in op minimaal modp2048, of een sterkere groep als alle clientplatforms in scope dit ondersteunen. Gebruik modp1024 niet; RFC 8247 markeert dit als SHOULD NOT.
  4. Klik op het tabblad Profiles. Stel Hash in op sha256. Stel Encryption in op aes-256.
  5. Schakel NAT Traversal in als clients of de server zich achter NAT kunnen bevinden. Dit zorgt dat IPsec correct werkt via UDP 4500 in geNATte paden.

Alle proposal-waarden, inclusief de PFS-groep, het hashalgoritme en het versleutelingsalgoritme, moeten overeenkomen met wat je clientplatforms daadwerkelijk ondersteunen. Afwijkingen zorgen ervoor dat Phase 2 stil mislukt.

Geavanceerde optimalisatie (FastTrack omzeilen)

De standaard IPv4 FastTrack-regel versnelt pakketdoorschakeling kunstmatig. Dit verstoort IPsec-tunnels regelmatig, omdat pakketten worden versneld voordat de versleutelingscyclus plaatsvindt.

Een zwaar gepantserd zilverkleurig voertuig rijdt veilig over een verhoogde bypass-rijstrook met het opschrift "IPSec cryptographic traffic", waarbij het de turbulente blauwe digitale rivier eronder met het opschrift "FastTrack" vermijdt.

Je moet FastTrack expliciet omzeilen voor al het cryptografisch verkeer. Maak een Accept-regel aan met IPsec Policy=in,ipsec-matchers. Sleep deze regel boven FastTrack. Je MikroTik VPN-configuratie stabiliseert zodra dit op zijn plaats is.

Als VPN-clients gerouteerde toegang tot interne subnetten nodig hebben, voeg dan ook IPsec-policymatchregels toe in de forward-chain en sluit overeenkomend verkeer uit van srcnat/masquerade. FastTrack-bypass alleen is niet voldoende voor alle gerouteerde IPsec-gevallen.

Kernfuncties en voordelen

Veel teams kiezen nog steeds voor een MikroTik L2TP VPN-setup boven zero-trust-modellen, om native OS-compatibiliteit te behouden en third-party agents te vermijden. Toch blijven ervaren systeembeheerders deze zware IPsec-overhead accepteren, puur om volledige administratieve vrijheid te behouden. Native integratie met het besturingssysteem elimineert tegenstrijdige third-party softwareagents van je endpoints.

Native OS-tools overleven trending third-party agents consequent op de lange termijn. Door deze verplichte client-uitrolrondes over te slaan, besparen helpdeskafdelingen jaarlijks gemakkelijk honderden verspilde uren. Het afronden van deze MikroTik L2TP VPN-setup brengt wel concrete hardwarebeperkingen met zich mee, die hieronder worden toegelicht.

Functiegebied RouterOS-impact
Beveiligingsstandaard AES-256 IPsec-versleuteling beschermt tegen man-in-the-middle-aanvallen.
Compatibiliteit Brede ingebouwde ondersteuning op Windows- en Apple-platforms, met platform- en versiespecifieke ondersteuning op andere systemen.
CPU-overhead IPsec-doorvoer is afhankelijk van het routermodel, CPU, verkeerspatroon, cipher suite en offload-ondersteuning. Op ondersteunde hardware kan RouterOS gebruikmaken van IPsec-versnelling zoals AES-NI.
Firewall-complexiteit Firewallregels verschillen per topologie, maar L2TP/IPsec vereist doorgaans poort 500, poort 4500, L2TP-controleverkeer en IPsec-beleidsafhandeling.

Beveiliging en native compatibiliteit

Het belangrijkste beveiligingsvoordeel van deze MikroTik L2TP VPN-configuratie is het AES-256-cryptografisch protocol. De wiskunde klopt. Toch blijven blootgestelde edge-gateways grote doelwitten voor geautomatiseerde scantools. Een recent 2024 CISA Rapport bevestigde dat blootgestelde VPN-gateways wereldwijd verantwoordelijk zijn voor ongeveer 22% van de initiële ransomware-aanvalsvectoren.

Een centrale zilveren server met een schildicoon is verbonden met een Windows-laptop, een MacBook, een Linux-terminal, een iOS-apparaat en een Android-smartphone.

Strikte filtering op adreslijsten is ononderhandelbaar. Een blootgestelde poort zonder adresfiltering vertrouwen is operationele nalatigheid. Als je te maken hebt met deep-packet inspection, lees dan ons artikel over het inzetten van een Verborgen VPN om actieve censuur te omzeilen.

Prestatieoverwegingen (hardware-offloading)

Zonder hardwareversnelling verwerkt de CPU alle versleuteling inline, wat het gebruik van één core naar zijn maximum kan drijven en de doorvoer ver onder de lijnsnelheid kan brengen. MikroTik's eigen IPsec-documentatie voor hardwareversnelling bevestigt dit rechtstreeks.

Een zilveren serverrack staat beschermd onder een gloeiende blauwe energiekoepel. Flankerende metalen schilden weren vijandige rode laserstralen af, als symbool voor een sterke gatewaybeveiliging.

Om je IPsec-tunnels op volledige lijnsnelheid te houden zonder CPU-knelpunten, heb je hardware nodig die de belasting daadwerkelijk aankan. Bij Cloudzy biedt onze MikroTik VPS je high-frequency Ryzen 9 CPU-processors, NVMe-opslag en 40 Gbps-netwerken, speciaal gebouwd voor dit soort cryptografische workloads.

Een AMD Ryzen CPU gecentreerd op een donkerblauw printbord, met helderwitte gloeiende sporen die diagonaal uitstralen

Typische toepassingen

L2TP/IPsec domineert sterk in sterk geïsoleerde transportscenario's, niet in algemene webroutering. Een 2025 Gartner Analyse toonde aan dat 41% van de enterprise edge-netwerken nog steeds zwaar leunt op native protocollen om dure licenties van derden te vermijden.

Het silhouet van een professionele vrouw op een laptop maakt via een beveiligde, gloeiende zilveren tunnel verbinding door een digitale wereldkaart rechtstreeks naar een kantoorgebouw.

Deze legacy-protocollen zijn diep verankerd in miljarden apparaten wereldwijd. Deze MikroTik L2TP VPN-configuratie blinkt uit wanneer je strikte firewallgrenzen afdwingt die toegang beperken tot interne bedrijfssubnetten. Dit protocol gebruiken voor volledig-tunnel webbrowsing is een fundamenteel verkeerde inzet van resources.

Toegang voor externe medewerkers en site-to-site-beperkingen

Deze protocolconfiguratie werkt het best voor individuele externe medewerkers die inbellen op een centraal kantoor-LAN. De L2TP-wrapper voegt bovendien onnodige, zware latentie toe aan statische branchrouters.

Voor het permanent verbinden van twee afzonderlijke fysieke kantoren is het ronduit inefficiënt. Voor het koppelen van vaste vestigingen, lees ons artikel over het opzetten van een Site-to-Site VPN gids.

Conclusie

Een goed opgezette MikroTik L2TP VPN-configuratie geeft je externe medewerkers native toegang zonder afhankelijkheid van software van derden. Moderne protocollen domineren momenteel de netwerkdiscussie, maar onbreekbare AES-256 IPsec-encryptie maakt van deze architectuur een onbetwiste keuze voor enterprise-omgevingen.

Correcte NAT-T-instellingen helpen sommige Phase 2-fouten in geNATte paden te voorkomen, maar PSK-mismatches, proposal-mismatches en firewallproblemen kunnen de onderhandeling alsnog verstoren. Houd er rekening mee dat L2TP en IPsec samen encapsulatie-overhead toevoegen en je effectieve MTU verkleinen. De prestatievermindering komt door de extra pakketwrapping, niet door een tweede encryptielaag.

MikroTik's eigen IPsec-documentatie bevestigt dat hardwareversnelling gebruikmaakt van een ingebouwde encryptie-engine in de CPU om het encryptieproces te versnellen. Zonder die engine valt al het cryptografische werk op de hoofd-CPU terug en daalt de doorvoer aanzienlijk. 

Door je architectuur te draaien op routers met native cryptografische accelerators voorkom je dat de CPU een knelpunt wordt en blijft je netwerk op volledige lijnsnelheid draaien.

Veelgestelde vragen

Hoe los ik fouten bij Phase 1-onderhandeling op?

Probeer op Windows de AssumeUDPEncapsulationContextOnSendRule registerwijziging alleen voor NAT-T-randgevallen, met name als de VPN-server achter NAT staat of als zowel client als server achter NAT zitten.

Waarom valt mijn verbinding voortdurend weg?

In een MikroTik L2TP VPN-configuratie kunnen zware gegevensoverdrachten wegvallen door MTU-mismatches. Je moet een lagere MTU instellen om pakketfragmentatie te voorkomen. Bewerk je L2TP-profiel. Zet de waarde voor Change TCP MSS op yes. Deze actie stabiliseert je externe verbinding direct.

Welke hardware heb ik hiervoor nodig?

Je hebt RouterOS v7 nodig en een publiek bereikbaar adres of stabiele DNS-naam. Een statisch publiek IPv4 heeft de voorkeur, maar is niet verplicht in elke situatie. De IPsec-doorvoer hangt af van het routermodel, de CPU-architectuur, offload-ondersteuning, de gekozen cipher en het verkeerspatroon.

Werkt dit goed op RouterOS v7?

Ja, RouterOS v7 ondersteunt deze configuratie goed op compatibele hardware, maar het uiteindelijke gedrag hangt nog altijd af van clientcompatibiliteit, firewallregels en IPsec-instellingen. De onderliggende configuratielogica is vrijwel identiek aan v6, wat de overgang eenvoudig maakt voor ervaren netwerkbeheerders.

Wat is het verschil tussen PPTP en L2TP/IPsec?

PPTP is verouderd en kent goed gedocumenteerde kwetsbaarheden die het ongeschikt maken voor nieuwe implementaties. Een MikroTik L2TP VPN-configuratie is de veiligere keuze: IPsec verzorgt de encryptie en integriteit, terwijl L2TP de tunneling afhandelt. Gebruik PPTP nooit in een enterprise-netwerk.

Is deze configuratie veilig te gebruiken in 2026?

De MikroTik L2TP/IPsec-configuratie kan in 2026 nog steeds een geldige optie zijn voor native clientcompatibiliteit, maar de veiligheid en betrouwbaarheid hangen af van correcte IPsec-instellingen, firewallbeleid, patching en clientcompatibiliteit.

Delen

Meer van de blog

Verder lezen.

Terminalvenster met SSH-waarschuwing over een gewijzigde remote host-identificatie, met de titel Fix Guide en Cloudzy-branding op een donker tealachtergrond.
Beveiliging & Netwerken

Waarschuwing: Remote Host Identification Has Changed en hoe je dit oplost

SSH is een beveiligd netwerkprotocol dat een versleutelde tunnel tussen systemen opzet. Het is populair bij developers die externe toegang tot computers nodig hebben zonder een grafi

Rexa CyrusRexa Cyrus 10 minuten lezen
Illustratie van een DNS-server probleemoplossingshandleiding met waarschuwingssymbolen en een blauwe server op donkere achtergrond voor Linux-naamomzettingsfouten
Beveiliging & Netwerken

Tijdelijke fout bij naamomzetting: wat betekent het en hoe los je het op?

Bij het gebruik van Linux kun je een foutmelding over een tijdelijke naamomzettingsfout tegenkomen wanneer je websites probeert te bezoeken, pakketten wilt bijwerken of taken uitvoert waarvoor een internetverbinding vereist is

Rexa CyrusRexa Cyrus 12 minuten lezen
Hoe koppel je een domeinnaam aan een VPS: een beknopte gids
Beveiliging & Netwerken

Hoe koppel je een domeinnaam aan een VPS: een beknopte gids

Een domeinnaam koppelen aan een Virtual Private Server is noodzakelijk om websites en applicaties te hosten. Deze gids behandelt alles wat je moet weten over het verbinden van je domein met je

Rexa CyrusRexa Cyrus 16 minuten lezen

Klaar om in te zetten? Vanaf $2.48/mnd.

Onafhankelijke cloud, sinds 2008. AMD EPYC, NVMe, 40 Gbps. 14 dagen geld-terug-garantie.

Implementeer een VPS Bekijk alle abonnementen