50% zniżki wszystkie plany, ograniczony czas. Rozpoczęcie o godz $2.48/mo
Pozostało 9 minut
Bezpieczeństwo i sieć

Konfiguracja MikroTik L2TP VPN (z IPsec): Przewodnik po RouterOS (2026)

Rexa Cyrus By Rexa Cyrus 9 minut czytania Zaktualizowano 4 dni temu
Obraz tytułowy Cloudzy do przewodnika MikroTik L2TP VPN, przedstawiający laptopa łączącego się z szafą serwerową poprzez świecący niebiesko-złoty cyfrowy tunel z ikonami tarcz.

W tej konfiguracji MikroTik L2TP VPN, L2TP obsługuje tunelowanie, podczas gdy IPsec obsługuje szyfrowanie i integralność; ich sparowanie zapewnia zgodność z klientem natywnym bez agentów innych firm. Sprawdzanie limitów sprzętu kryptograficznego pozostaje absolutnym priorytetem.

Ignorując narzut związany z enkapsulacją, ten dwuprotokołowy stos wprowadza cicho dławiąc wdrożenia, zanim przetworzą one pojedynczy megabajt.

Co to jest MikroTik L2TP VPN?

Dzięki swojej podstawowej konstrukcji L2TP działa wyłącznie jako pusty most transportowy. Zapewnia absolutnie zerowe wewnętrzne szyfrowanie ruchu w sieci wrogie sieci.

Aby dodać szyfrowanie i integralność, architekci sieci łączą L2TP z IPsec; w rezultacie powstaje stos z dwoma protokołami, w którym L2TP otacza tunel, a protokół IPsec zabezpiecza ładunek. Ta architektura hybrydowa pozostaje najlepszym wyborem ze względu na kompatybilność ze starszymi rozwiązaniami bez konieczności wdrażania inwazyjnych agentów innych firm

Zrozumienie tej zależności od dwóch protokołów ściśle określa sposób budowania wyjątki zapory ogniowej. Twoja konfiguracja MikroTik VPN zostanie natychmiast zniszczona, jeśli zawiedzie routing UDP lub podstawowy proces enkapsulacji IPsec.

Jak to działa

Nawiązanie bezpiecznego połączenia wymaga precyzyjnego, dwuetapowego uzgadniania sieci. IKE Faza 1 najpierw rozstrzyga skojarzenie zabezpieczeń kryptograficznych przy użyciu Twojego kompleksu Wstępnie udostępniony klucz.

Kiedy ta niewidzialna ściana stanie, faza 2 buduje tunel L2TP bezpośrednio wewnątrz zaszyfrowanego ładunku. Jeśli którakolwiek faza nie powiedzie się z powodu niedopasowania PSK, niedopasowania propozycji, zablokowania UDP 500/4500 lub problemów z obsługą NAT, tunel nie zostanie uruchomiony. W niektórych przypadkach NAT-T Edge w systemie Windows może być również konieczna zmiana rejestru.

Proces podwójnej enkapsulacji

Dane w locie w konfiguracji MikroTik L2TP VPN przechodzą rygorystyczny proces pakowania. Wchodzi w standard Rama PPP, zostaje otoczony protokołem L2TP i jest chroniony przez IPsec ESP.

Świecąca cyfrowa kostka danych jest bezpiecznie zamknięta w przezroczystym niebieskim cylindrze i ciężkim srebrnym metalowym pierścieniu, co ilustruje wielowarstwowy proces kapsułkowania.

Ten złożony narzut agresywnie zwiększa wymiary pakietów, wypychając je daleko poza standardową sieć Maksymalna jednostka transmisyjna limity. Ta nagła inflacja nieuchronnie powoduje gwałtowną fragmentację pakietów w środowiskach o dużych opóźnieniach.

Jeśli Twoje przedsiębiorstwo ceni sobie większą szybkość niż głębokie tunelowanie, zapoznaj się z naszym przewodnikiem dotyczącym konfiguracji Shadowsocks, który stanowi atrakcyjną, niedrogą alternatywę. Twierdzę, że intensywne tunelowanie jest często przesadą w przypadku prostych aplikacji internetowych dla przedsiębiorstw.

Jak skonfigurować MikroTik L2TP VPN?

Wdrożenie wzmocnionego serwera na RouterOS v7 wymaga absolutnej precyzji. Aby uzyskać najczystszą konfigurację, nadaj routerowi publicznie dostępny adres lub stabilną nazwę DNS. Preferowany jest statyczny publiczny adres IP, ale nie jest on obowiązkowy w każdym wdrożeniu.

Musisz natychmiast zabezpieczyć kopię zapasową konfiguracji, ponieważ złamanie zasad IPsec spowoduje zablokowanie dostępu. Przejrzyj nasz przewodnik po standardzie Przekierowanie portów Mikrotika dokumentację przed manipulowaniem łańcuchami ruchu kryptograficznego. Postępuj dokładnie według tej konfiguracji MikroTik L2TP VPN. Przyspieszanie reguł zapory sieciowej na działającym routerze produkcyjnym to gwarantowana katastrofa.

Krok 1: Utwórz pulę adresów IP i profil PPP

Należy zdefiniować lokalne adresy IP. Twoi łączący się klienci otrzymują te adresy IP.

  1. Otwórz menu IP. Kliknij opcję Basen.
  2. Kliknij przycisk Dodaj. Nazwij pulę VPN-pool.
  3. Ustaw konkretny zakres adresów IP.
  4. Otwórz menu PPP. Kliknij opcję Profile.
  5. Kliknij przycisk Dodaj. Nazwij profil l2tp-profil.
  6. Przypisz adres lokalny do bramy routera.
  7. Ustaw adres zdalny na VPN-pool.

Krok 2: Włącz serwer globalny i IPsec

Ten krok aktywuje globalny odbiornik L2TP w konfiguracji MikroTik L2TP VPN. RouterOS dynamicznie dołącza szyfrowanie IPsec po jego włączeniu.

  1. Otwórz menu PPP. Kliknij opcję Interfejs.
  2. Kliknij przycisk Serwer L2TP.
  3. Zaznacz pole wyboru Włączone.
  4. Wybierz profil L2TP jako profil domyślny.
  5. Wybierz pozycję Wymagaj w obszarze Użyj protokołu IPsec, chyba że celowo potrzebujesz rezerwy innej niż IPsec na potrzeby laboratorium lub migracji.
  6. Wpisz złożony ciąg znaków w polu Sekret protokołu IPsec.

Krok 3: Dodaj użytkowników PPP (sekrety)

Twój serwer wymaga kont użytkowników. Musisz utworzyć dane uwierzytelniające zdalnego klienta. Następna część konfiguracji MikroTik L2TP VPN zostanie przeniesiona do profilu PPP.

  1. Otwórz menu PPP. Kliknij opcję Sekrety.
  2. Kliknij przycisk Dodaj.
  3. Wpisz unikalną nazwę. Wpisz bezpieczne hasło.
  4. Ustaw usługę na L2TP.
  5. Ustaw profil na profil l2tp.

Krok 4: Skonfiguruj reguły zapory sieciowej (priorytet)

Twoja zapora blokuje negocjację protokołu IPsec. Musisz umieścić te reguły w swoim łańcuchu wejściowym.

Ciemnoniebieski i srebrny router sieciowy ma świecące kable optyczne podłączone do portów, wyraźnie oznaczone „UDP 500”, „UDP 4500” i „IPsec-ESP”.

  1. Zaakceptuj port UDP 500. Obsługuje on skojarzenia zabezpieczeń fazy 1.
  2. Zaakceptuj port UDP 4500. To przetwarza translację NAT.
  3. Zaakceptuj port UDP 1701 w celu ustanowienia łącza L2TP. Po konfiguracji powiązany ruch może korzystać z innych portów UDP zgodnie z ustaleniami.
  4. Zaakceptuj protokół IPsec-ESP. Umożliwia to przesyłanie ładunków zaszyfrowanych protokołem 50.

Jeśli klienci VPN potrzebują routowanego dostępu do wewnętrznych podsieci, dodaj także reguły dopasowania zasad IPsec w łańcuchu przesyłania i wyklucz pasujący ruch z srcnat/masquerade. Samo obejście FastTrack nie wystarczy we wszystkich przypadkach routingu IPsec.

Kroki 5 i 6: Zoptymalizuj domyślne zasady i profile równorzędne

RouterOS używa domyślnych szablonów dynamicznych. Należy je zabezpieczyć ręcznie.

  1. Otwórz menu IP. Kliknij opcję IPsec. Kliknij kartę Propozycje.
  2. Sprawdź parametr mieszający sha256. Sprawdź szyfrowanie AES-256 CBC.
  3. Ustaw grupę PFS na co najmniej modp2048 lub silniejszą grupę, jeśli obsługują ją wszystkie platformy klienckie w zakresie. Nie używaj modp1024; RFC 8247 oznacza to jako NIE POWINNO.
  4. Kliknij kartę Profile. Ustaw Hash na sha256. Ustaw szyfrowanie na aes-256.
  5. Sprawdź opcję NAT Traversal, jeśli klienci lub serwer mogą znajdować się za NAT. Dzięki temu protokół IPsec może działać poprawnie na UDP 4500 w ścieżkach NAT.

Wszystkie wartości propozycji, w tym grupa PFS, algorytm mieszający i szyfr szyfrujący, muszą odpowiadać temu, co faktycznie obsługuje Twoja platforma kliencka; niedopasowania spowodują ciche niepowodzenie fazy 2.

Zaawansowana optymalizacja (z pominięciem FastTrack)

Domyślna reguła FastTrack protokołu IPv4 sztucznie przyspiesza przekazywanie pakietów. To rutynowo niszczy tunele IPsec, ponieważ przyspiesza pakiety przed wystąpieniem cyklu szyfrowania.

Ciężki, opancerzony pojazd w kolorze srebrnym porusza się bezpiecznie po podwyższonej obwodnicy oznaczonej „Ruch kryptograficzny IPSec”, omijając wzburzoną niebieską cyfrową rzekę poniżej oznaczoną jako „FastTrack”.

Należy jawnie ominąć usługę FastTrack dla całego ruchu kryptograficznego. Utwórz regułę Akceptuj, używając elementów dopasowujących IPsec Policy=in,ipsec. Przeciągnij tę regułę nad FastTrack. Kiedy już to zrobisz, Twoja konfiguracja MikroTik VPN ustabilizuje się.

Jeśli klienci VPN potrzebują routowanego dostępu do wewnętrznych podsieci, dodaj także reguły dopasowania zasad IPsec w łańcuchu przesyłania i wyklucz pasujący ruch z srcnat/masquerade. Samo obejście FastTrack nie wystarczy we wszystkich przypadkach routingu IPsec.

Kluczowe funkcje i zalety

Wiele zespołów nadal wybiera konfigurację MikroTik L2TP VPN zamiast modeli o zerowym zaufaniu, aby zachować zgodność z natywnym systemem operacyjnym i uniknąć agentów stron trzecich. Jednak doświadczeni administratorzy systemu nadal korzystają z tak dużego obciążenia protokołu IPsec wyłącznie po to, aby zachować całkowitą wygodę administracyjną. Integracja natywnego systemu operacyjnego chirurgicznie eliminuje konfliktujące agenty oprogramowania innych firm z punktów końcowych.

Często zauważam, że natywne narzędzia systemu operacyjnego za każdym razem przewyższają popularne agenty innych firm. Pominięcie tych obowiązkowych wdrożeń klientów z łatwością pozwala działom pomocy technicznej zaoszczędzić setki straconych godzin rocznie. Finalizowanie konfiguracji MikroTik L2TP VPN narzuca trudne warunki sprzętowe, które opisano szczegółowo poniżej.

Obszar funkcji Wpływ na routerOS
Standard bezpieczeństwa Szyfrowanie AES-256 IPsec chroni przed atakami typu Man-in-the-Middle.
Zgodność Szeroka wbudowana obsługa platform Windows i Apple oraz obsługa specyficzna dla platformy i wersji w innych systemach.
Narzut procesora Przepustowość IPsec zależy od modelu routera, procesora, wzorca ruchu, zestawu szyfrów i obsługi odciążania. Na obsługiwanym sprzęcie RouterOS może używać akceleracji IPsec, takiej jak AES-NI.
Złożoność zapory ogniowej Reguły zapory różnią się w zależności od topologii, ale protokół L2TP/IPsec zwykle obejmuje protokoły UDP 500, UDP 4500, ruch kontrolny L2TP i obsługę zasad IPsec.

Bezpieczeństwo i natywna zgodność

Definiującą zaletą bezpieczeństwa tej konfiguracji MikroTik L2TP VPN jest pakiet kryptograficzny AES-256. Matematyka okazuje się solidna. Mimo to odsłonięte bramy brzegowe w dalszym ciągu działają jak ogromne cele dla zautomatyzowanych tablic skanujących. Niedawne Raport CISA z 2024 r potwierdziło, że odsłonięte bramy VPN stanowią około 22% początkowych wektorów dostępu oprogramowania ransomware na całym świecie.

Centralny srebrny serwer z ikoną tarczy bezproblemowo łączy się z laptopem z systemem Windows, MacBookiem, terminalem Linux, urządzeniem iOS i smartfonem z Androidem.

Rygorystyczne filtrowanie listy adresów jest priorytetem niepodlegającym negocjacjom. Zaufanie odsłoniętemu portowi bez filtrowania adresów jest zaniedbaniem operacyjnym. Jeśli spotkasz się z głęboką inspekcją pakietów, zapoznaj się z naszym artykułem na temat wdrażania pakietu Zaciemniona sieć VPN aby przechytrzyć aktywną cenzurę.

Względy wydajności (odciążanie sprzętu)

Bez akceleracji sprzętowej procesor obsługuje całe szyfrowanie inline, co może zwiększyć wykorzystanie jednego rdzenia do granic możliwości i przeciągnąć przepustowość znacznie poniżej szybkości łącza; Własność MikroTika Dokumentacja akceleracji sprzętowej IPsec potwierdź to bezpośrednio.

Srebrna szafa serwerowa jest chroniona pod świecącą niebieską kopułą energetyczną. Flankujące metalowe tarcze odbijają wrogie czerwone promienie lasera, symbolizując solidną obronę bramy.

Aby tunele IPsec działały z pełną szybkością łącza bez wąskich gardeł procesora, potrzebujesz sprzętu, który faktycznie wytrzyma obciążenie. W Cloudzy, nasz MikroTik VPS zapewnia procesory Ryzen 9 o wysokiej częstotliwości, pamięć masową NVMe i sieć 40 Gb/s; zaprojektowany specjalnie dla dokładnie tego rodzaju obciążenia kryptograficznego.

Procesor AMD Ryzen umieszczony centralnie na ciemnoniebieskiej płytce drukowanej z jasnobiałymi, świecącymi ścieżkami promieniującymi ukośnie

Typowe przypadki użycia

L2TP/IPsec bezpiecznie dominuje w wysoce izolowanych scenariuszach transportu, a nie w ogólnym routingu sieciowym. A Analiza Gartnera 2025 ujawniło, że 41% sieci brzegowych przedsiębiorstw w dalszym ciągu w dużym stopniu opiera się na protokołach natywnych, aby uniknąć kosztownych licencji stron trzecich.

Sylwetka profesjonalnej kobiety na laptopie łączy się bezpiecznym, świecącym srebrnym tunelem przez cyfrową mapę świata bezpośrednio z biurowcem firmy.

Te starsze protokoły są głęboko zakorzenione w miliardach urządzeń na całym świecie. Ta konfiguracja MikroTik L2TP VPN wyróżnia się wyjątkowo, gdy wymuszasz rygorystyczne granice zapory ogniowej, które ograniczają dostęp wyłącznie do wewnętrznych podsieci firmy. Używanie tego protokołu do przeglądania stron internetowych w pełnym tunelu jest zasadniczym błędem w alokacji zasobów.

Ograniczenia dostępu pracowników zdalnych i lokalizacji między lokalizacjami

Ta specyficzna konfiguracja protokołu sprawdza się, gdy umożliwia indywidualnym pracownikom zdalnym łączenie się z siecią LAN w biurze centralnym. Ponadto opakowanie L2TP dodaje niepotrzebne, duże opóźnienia do routerów statycznych.

Stanowczo oceniam, że trwałe łączenie dwóch odrębnych biur fizycznych jest strasznie nieefektywne. Aby połączyć stałe lokalizacje oddziałów korporacyjnych, zapoznaj się z naszym artykułem na temat: VPN typu lokacja-lokacja przewodnik.

Wniosek

Prawidłowo zaprojektowana konfiguracja MikroTik L2TP VPN bezbłędnie wyposaża Twoich zdalnych pracowników w natywny dostęp, unikając nadmiernego oprogramowania innych firm. Nowoczesne protokoły dominują obecnie na pierwszych stronach gazet, a mimo to są nie do złamania Szyfrowanie AES-256 IPsec czyni tę architekturę niekwestionowanym tytanem przedsiębiorczości.

Prawidłowe ustawienia NAT-T pomagają uniknąć niektórych błędów fazy 2 w ścieżkach NAT, ale niedopasowania PSK, niedopasowania propozycji i problemy z zaporą ogniową mogą w dalszym ciągu przerwać negocjacje. Pamiętaj, że L2TP i IPsec razem zwiększają narzut enkapsulacji i zmniejszają efektywną wartość MTU. Koszt wydajności wynika z dodatkowego zawijania pakietów, a nie z drugiej warstwy szyfrowania.

Własność MikroTika Dokumentacja IPsec potwierdza, że ​​akceleracja sprzętowa wykorzystuje wbudowany silnik szyfrujący w procesorze w celu przyspieszenia procesu szyfrowania; bez niego cała praca kryptograficzna spada na główny procesor, a przepustowość znacznie spada. 

Wdrożenie architektury na routerach wyposażonych w natywne akceleratory kryptograficzne zapobiega wąskim gardłom procesora i pozwala utrzymać pełną prędkość sieci.

Często zadawane pytania

Jak naprawić błędy związane z niepowodzeniem negocjacji w fazie 1?

W systemie Windows wypróbuj Załóżmy, że UUDPEncapsulationContextOnSendRule zmiana rejestru tylko w przypadkach brzegowych NAT-T, szczególnie jeśli serwer VPN znajduje się za NAT lub zarówno klient, jak i serwer znajdują się za NAT.

Dlaczego moje połączenie ciągle się zrywa?

W konfiguracji MikroTik L2TP VPN duże transfery danych mogą spaść z powodu niedopasowania MTU. Aby wyeliminować fragmentację pakietów, należy wymusić niższy rozmiar MTU. Edytuj swój profil L2TP. Ustaw wartość Zmień TCP MSS na tak. Ta czynność natychmiast stabilizuje Twoje zdalne połączenie.

Jakiego sprzętu potrzebuję do tego?

Potrzebujesz RouterOS v7 i publicznie osiągalnego adresu lub stabilnej nazwy DNS. Preferowany jest statyczny publiczny adres IPv4, ale nie jest on obowiązkowy w każdym wdrożeniu. Przepustowość IPsec zależy od modelu routera, architektury procesora, obsługi odciążania, wyboru szyfru i wzorca ruchu.

Czy to działa dobrze na RouterOS v7?

Tak, RouterOS v7 dobrze obsługuje tę konfigurację na obsługiwanym sprzęcie, ale ostateczne zachowanie nadal zależy od zgodności klienta, reguł zapory ogniowej i ustawień IPsec. Podstawowa logika konfiguracji bezpośrednio odzwierciedla wersję 6, co sprawia, że ​​przejście jest proste dla doświadczonych inżynierów sieciowych.

Jaka jest różnica między PPTP a L2TP/IPsec?

PPTP jest przestarzały i zawiera dobrze udokumentowane luki, które sprawiają, że nie nadaje się do nowych wdrożeń. Konfiguracja MikroTik L2TP VPN jest bezpieczniejszym wyborem; IPsec zapewnia warstwę szyfrowania i integralności, podczas gdy L2TP obsługuje tunelowanie. Nigdy nie wdrażaj protokołu PPTP w sieci firmowej.

Czy korzystanie z tej konfiguracji jest bezpieczne w 2026 r.?

Konfiguracja MikroTik L2TP/IPsec może być nadal ważną opcją w 2026 roku pod względem kompatybilności z klientem natywnym, ale jej bezpieczeństwo i niezawodność zależą od prawidłowych ustawień IPsec, zasad zapory ogniowej, łatania i kompatybilności klientów.

Udział

Więcej z bloga

Czytaj dalej.

Okno terminala wyświetlające komunikat ostrzegawczy SSH o zmianie identyfikacji zdalnego hosta, z tytułem Fix Guide i logo Cloudzy na ciemnoturkusowym tle.
Bezpieczeństwo i sieć

Ostrzeżenie: identyfikacja hosta zdalnego uległa zmianie i jak to naprawić

SSH to bezpieczny protokół sieciowy, który tworzy szyfrowany tunel pomiędzy systemami. Pozostaje popularny wśród programistów, którzy potrzebują zdalnego dostępu do komputerów bez konieczności posiadania grafiki

Rexa CyrusRexa Cyrus 10 minut czytania
Ilustracja przewodnika rozwiązywania problemów z serwerem DNS z symbolami ostrzegawczymi i niebieskim serwerem na ciemnym tle w przypadku błędów rozpoznawania nazw w systemie Linux
Bezpieczeństwo i sieć

Tymczasowa awaria rozpoznawania nazw: co to oznacza i jak to naprawić?

Podczas korzystania z Linuksa możesz napotkać tymczasowy błąd rozpoznawania nazw podczas próby uzyskania dostępu do stron internetowych, aktualizacji pakietów lub wykonywania zadań wymagających połączenia internetowego

Rexa CyrusRexa Cyrus 12 minut czytania
Jak wskazać domenę na VPS: krótki przewodnik
Bezpieczeństwo i sieć

Jak wskazać domenę na VPS: krótki przewodnik

Skierowanie domeny na Wirtualny Serwer Prywatny jest niezbędne do hostowania stron internetowych i aplikacji. W tym przewodniku znajdziesz wszystko, co musisz wiedzieć o łączeniu domeny z domeną

Rexa CyrusRexa Cyrus 16 minut czytania

Gotowy do wdrożenia? Od 2,48 USD/mies.

Niezależna chmura, od 2008. AMD EPYC, NVMe, 40 Gbps. 14-dniowy zwrot pieniędzy.

Wdróż VPS Zobacz wszystkie plany