%50 indirim tüm planlar, sınırlı süre. Başlangıç ​​tarihi: $2.48/mo
9 dakika kaldı
Güvenlik ve Ağ İletişimi

MikroTik L2TP VPN Kurulumu (IPsec ile): RouterOS Kılavuzu (2026)

Rexa Cyrus By Rexa Cyrus 9 dakikalık okuma 4 gün önce güncellendi
MikroTik L2TP VPN kılavuzu için Cloudzy başlık görüntüsü, bir dizüstü bilgisayarın, kalkan simgelerine sahip parlak mavi ve altın renkli bir dijital tünel aracılığıyla sunucu rafına bağlanmasını gösteriyor.

Bu MikroTik L2TP VPN kurulumunda L2TP tünellemeyi, IPsec ise şifrelemeyi ve bütünlüğü yönetir; bunları eşleştirmek, üçüncü taraf aracılara gerek kalmadan yerel istemci uyumluluğu sağlar. Kriptografik donanım sınırlarınızı doğrulamak mutlak bir öncelik olmaya devam ediyor.

Kapsülleme yükünü göz ardı eden bu çift protokol yığını, dağıtımları tek bir megabaytı bile işlemeden sessizce boğar.

MikroTik L2TP VPN nedir?

L2TP, temel tasarımı gereği tamamen içi boş bir taşıma köprüsü işlevi görür. Hareketli trafiğiniz için kesinlikle sıfır doğal şifreleme sağlar düşman ağları.

Ağ mimarları, şifreleme ve bütünlük eklemek için L2TP'yi IPsec ile eşleştirir; sonuç, L2TP'nin tüneli sardığı ve IPsec'in yükü güvence altına aldığı çift protokollü bir yığındır. Bu hibrit mimari, istilacı üçüncü taraf aracıları dağıtmadan eski uyumluluk açısından en iyi seçenek olmaya devam ediyor

Bu ikili protokol bağımlılığını anlamak, nasıl oluşturacağınızı kesin olarak belirler güvenlik duvarı istisnaları. UDP yönlendirmesi veya temeldeki IPsec kapsülleme işlemi başarısız olursa MikroTik VPN kurulumunuz anında bozulur.

Nasıl Çalışır?

Bu güvenli bağlantının kurulması hassas, iki aşamalı bir ağ anlaşması gerektirir. IKE Aşama 1 ilk olarak kompleksinizi kullanarak kriptografik güvenlik ilişkisini hakemleştirir Ön Paylaşımlı Anahtar.

Bu görünmez duvar ayakta durduğunda Aşama 2, L2TP tünelini doğrudan şifrelenmiş yükün içinde oluşturur. PSK uyumsuzluğu, teklif uyumsuzluğu, engellenen UDP 500/4500 veya NAT işleme sorunları nedeniyle aşamalardan herhangi biri başarısız olursa tünel açılmayacaktır. Bazı Windows NAT-T uç durumlarında kayıt defteri değişikliği de gerekebilir.

Çift Kapsülleme Süreci

MikroTik L2TP VPN kurulumundaki uçuş sırasındaki veriler ciddi bir paketleme sürecinden geçer. Bir standarda giriyor PPP çerçevesi, L2TP protokolü tarafından sarılır ve IPsec ESP tarafından korunur.

Parlayan bir dijital veri küpü, çok katmanlı bir kapsülleme sürecini gösteren, yarı saydam mavi bir silindir ve ağır gümüş metalik bir halkanın içine güvenli bir şekilde yerleştirilmiştir.

Bu birleşik ek yük, paket boyutlarını agresif bir şekilde şişirerek onları standart ağın çok ötesine iter Maksimum İletim Birimi sınırlar. Bu ani enflasyon kaçınılmaz olarak yüksek gecikmeli ortamlarda şiddetli paket parçalanmasını tetikler.

Kuruluşunuz derin tünelleme yerine saf hıza değer veriyorsa, ilgi çekici, düşük maliyetli bir alternatif sunan Shadowsocks Yapılandırması kılavuzumuza göz atın. Basit web tabanlı kurumsal uygulamalar için ağır tünellemenin genellikle aşırıya kaçıldığını savunuyorum.

MikroTik L2TP VPN Nasıl Kurulur?

RouterOS v7'de güçlendirilmiş bir sunucunun konuşlandırılması mutlak hassasiyet gerektirir. En temiz kurulum için yönlendiriciye herkesin erişebileceği bir adres veya sabit bir DNS adı verin. Statik genel IP tercih edilir ancak her dağıtımda zorunlu değildir.

Bozuk IPsec politikaları sizi kilitleyeceğinden, derhal bir yapılandırma yedeğini güvence altına almanız gerekir. Standartlarla ilgili kılavuzumuzu inceleyin Mikrotik Port Yönlendirme Kriptografik trafik zincirlerini değiştirmeden önce belgeler. Bu MikroTik L2TP VPN kurulumunu tam olarak takip edin. Canlı bir üretim yönlendiricisinde güvenlik duvarı kurallarının aceleye getirilmesi, garantili bir felakettir.

Adım 1: IP Havuzu ve PPP Profilini Oluşturun

Yerel IP adreslerini tanımlamanız gerekir. Bağlanan istemcileriniz bu IP'leri alır.

  1. IP menüsünü açın. Havuz seçeneğine tıklayın.
  2. Ekle düğmesini tıklayın. Havuza vpn-pool adını verin.
  3. Özel IP aralığınızı ayarlayın.
  4. PPP menüsünü açın. Profiller seçeneğini tıklayın.
  5. Ekle düğmesini tıklayın. Profile l2tp-profil adını verin.
  6. Yerel Adresi yönlendirici ağ geçidinize atayın.
  7. Uzak Adresi vpn-pool olarak ayarlayın.

Adım 2: Global Sunucuyu ve IPsec'i etkinleştirin

Bu adım, MikroTik L2TP VPN kurulumunuzda global L2TP dinleyicisini etkinleştirir. RouterOS, etkinleştirdikten sonra IPsec şifrelemesini dinamik olarak ekler.

  1. PPP menüsünü açın. Arayüz seçeneğini tıklayın.
  2. L2TP Sunucusu düğmesine tıklayın.
  3. Etkin onay kutusunu işaretleyin.
  4. Varsayılan Profil olarak L2TP Profilini seçin.
  5. Bir laboratuvar veya geçiş vakası için kasıtlı olarak IPsec olmayan bir geri dönüşe ihtiyaç duymadığınız sürece, IPsec Kullan altında Gerektir'i seçin.
  6. IPsec Gizli Alanı alanına karmaşık bir dize yazın.

Adım 3: PPP Kullanıcılarını Ekleyin (Sırlar)

Sunucunuz kullanıcı hesapları gerektiriyor. Uzak istemci kimlik doğrulama bilgileri oluşturmalısınız. MikroTik L2TP VPN kurulumunuzun bir sonraki kısmı PPP profiline geçer.

  1. PPP menüsünü açın. Sırlar seçeneğini tıklayın.
  2. Ekle düğmesini tıklayın.
  3. Benzersiz bir Ad yazın. Güvenli bir Parola yazın.
  4. Hizmeti L2TP olarak ayarlayın.
  5. Profili l2tp-profile olarak ayarlayın.

Adım 4: Güvenlik Duvarı Kurallarını Yapılandırma (Öncelik)

Güvenlik duvarınız IPsec anlaşmasını engelliyor. Bu kuralları Giriş zincirinize yerleştirmelisiniz.

Koyu mavi ve gümüş renkli bir ağ yönlendiricisi, bağlantı noktalarına takılı, "UDP 500", "UDP 4500" ve "IPsec-ESP" ile açıkça etiketlenmiş parlak optik kablolara sahiptir.

  1. UDP bağlantı noktası 500'ü kabul edin. Bu, Aşama 1 güvenlik ilişkilerini yönetir.
  2. UDP bağlantı noktası 4500'ü kabul edin. Bu, NAT Geçişini işler.
  3. L2TP bağlantısı kurulumu için UDP bağlantı noktası 1701'i kabul edin. Kurulumdan sonra ilgili trafik, anlaşıldığı şekilde diğer UDP bağlantı noktalarını kullanabilir.
  4. IPsec-ESP protokolünü kabul edin. Bu, Protokol 50'nin şifrelenmiş yüklerine izin verir.

VPN istemcilerinin dahili alt ağlara yönlendirilmiş erişime ihtiyacı varsa ileri zincire IPsec ilkesi eşleşme kuralları da ekleyin ve eşleşen trafiği srcnat/masquerade'den hariç tutun. FastTrack bypass'ı, yönlendirilen tüm IPsec durumları için tek başına yeterli değildir.

Adım 5 ve 6: Varsayılan Politikaları ve Eş Profillerini Optimize Edin

RouterOS varsayılan dinamik şablonları kullanır. Bunları manuel olarak güvenceye almanız gerekir.

  1. IP menüsünü açın. IPsec seçeneğini tıklayın. Teklifler sekmesine tıklayın.
  2. sha256 hash parametresini doğrulayın. AES-256 CBC şifrelemesini doğrulayın.
  3. PFS Grubunu en azından modp2048'e veya kapsamdaki tüm istemci platformları destekliyorsa daha güçlü bir gruba ayarlayın. Modp1024'ü kullanmayın; RFC 8247 bunu OLMAMALIDIR olarak işaretler.
  4. Profiller sekmesini tıklayın. Hash'i sha256'ya ayarlayın. Şifrelemeyi aes-256 olarak ayarlayın.
  5. İstemcilerin veya sunucunun NAT'ın arkasında yer alması durumunda NAT Geçişini kontrol edin. Bu, IPsec'in NAT'lı yollarda UDP 4500 üzerinden doğru şekilde çalışmasını sağlar.

PFS grubu, karma algoritması ve şifreleme şifresi de dahil olmak üzere tüm teklif değerleri, istemci platformlarınızın gerçekte desteklediği değerlerle eşleşmelidir; uyumsuzluklar Aşama 2'nin sessizce başarısız olmasına neden olur.

Gelişmiş Optimizasyon (FastTrack'i Atlamak)

Varsayılan IPv4 FastTrack kuralı, paket iletmeyi yapay olarak hızlandırır. Bu, şifreleme döngüsü gerçekleşmeden önce paketleri hızlı bir şekilde takip ettiği için IPsec tünellerini rutin olarak parçalamaktadır.

Ağır gümüş zırhlı bir araç, "IPSec kriptografik trafiği" etiketli yükseltilmiş bir geçiş şeridinde güvenli bir şekilde seyahat ederek, aşağıdaki "FastTrack" etiketli çalkantılı mavi dijital nehirden kaçınır.

Tüm şifreleme trafiği için FastTrack'i açıkça atlamanız gerekir. IPsec Policy=in,ipsec eşleştiricilerini kullanarak bir Kabul Et kuralı oluşturun. Bu kuralı FastTrack'in üzerine sürükleyin. MikroTik VPN yapılandırmanız, bu gerçekleştiğinde stabil hale gelecektir.

VPN istemcilerinin dahili alt ağlara yönlendirilmiş erişime ihtiyacı varsa ileri zincire IPsec ilkesi eşleşme kuralları da ekleyin ve eşleşen trafiği srcnat/masquerade'den hariç tutun. FastTrack bypass'ı, yönlendirilen tüm IPsec durumları için tek başına yeterli değildir.

Temel Özellikler ve Faydalar

Pek çok ekip, yerel işletim sistemi uyumluluğunu korumak ve üçüncü taraf aracılardan kaçınmak için sıfır güven modelleri yerine hâlâ MikroTik L2TP VPN kurulumunu seçiyor. Ancak deneyimli sistem yöneticileri, bu ağır IPsec yükünü yalnızca mutlak yönetim rahatlığını korumak için benimsemeye devam ediyor. Yerel işletim sistemi entegrasyonu, çakışan üçüncü taraf yazılım aracılarını uç noktalarınızdan cerrahi olarak ortadan kaldırır.

Yerel işletim sistemi araçlarının her seferinde trend olan üçüncü taraf aracılardan daha uzun süre dayandığını sıklıkla belirtiyorum. Bu zorunlu müşteri sunumlarını atlamak, yardım masası departmanlarının her yıl boşa giden yüzlerce saatten kolayca tasarruf etmesini sağlar. Bu MikroTik L2TP VPN kurulumunun sonlandırılması, aşağıda ayrıntıları verilen zorlu donanım gerçeklerini beraberinde getirir.

Özellik Alanı RouterOS Etkisi
Güvenlik Standardı AES-256 IPsec şifrelemesi, Ortadaki Adam saldırılarına karşı koruma sağlar.
Uyumluluk Windows ve Apple platformlarında geniş yerleşik destek, diğer sistemlerde ise platform ve sürüme özel destek.
CPU Ek Yükü IPsec verimi, yönlendirici modeline, CPU'ya, trafik düzenine, şifre paketine ve yük boşaltma desteğine bağlıdır. Desteklenen donanımlarda RouterOS, AES-NI gibi IPsec hızlandırmasını kullanabilir.
Güvenlik Duvarı Karmaşıklığı Güvenlik duvarı kuralları topolojiye göre değişir ancak L2TP/IPsec genellikle UDP 500, UDP 4500, L2TP kontrol trafiğini ve IPsec ilkesi işlemeyi içerir.

Güvenlik ve Yerel Uyumluluk

Bu MikroTik L2TP VPN kurulumunun belirleyici güvenlik avantajı AES-256 şifreleme paketidir. Matematik sağlam olduğunu kanıtlıyor. Yine de açığa çıkan uç ağ geçitleri, otomatik tarama dizileri için büyük hedefler olarak hareket etmeye devam ediyor. Yakın zamanda 2024 CISA Raporu açığa çıkan VPN ağ geçitlerinin dünya çapındaki ilk fidye yazılımı erişim vektörlerinin yaklaşık %22'sini yönlendirdiğini doğruladı.

Kalkan simgesine sahip merkezi gümüş sunucu, Windows dizüstü bilgisayara, MacBook'a, Linux terminaline, iOS cihazına ve Android akıllı telefona sorunsuz bir şekilde bağlanır.

Titiz adres listesi filtrelemesi tartışılamaz bir önceliktir. Adres filtrelemesi olmayan açık bir bağlantı noktasına güvenmek operasyonel ihmaldir. Derin paket incelemesiyle karşı karşıya kalırsanız, bir dağıtıma ilişkin makalemize göz atın. Gizlenmiş VPN Aktif sansürü aşmak için.

Performans Konuları (Donanım Boşaltma)

Donanım hızlandırması olmadan, CPU tüm şifrelemeyi satır içi olarak yönetir; bu da tek çekirdek kullanımını sınırına kadar zorlayabilir ve verimi hat hızınızın çok altına sürükleyebilir; MikroTik'in kendi IPsec donanım hızlandırma belgeleri bunu doğrudan doğrulayın.

Gümüş bir sunucu rafı, parlak mavi bir enerji kubbesinin altında korunmaktadır. Yan taraftaki metalik kalkanlar, düşman kırmızı lazer ışınlarını saptırarak, sağlam ağ geçidi savunmasını simgeliyor.

IPsec tünellerinizin CPU darboğazları olmadan tam hat hızında çalışmasını sağlamak için yükü gerçekten kaldırabilecek donanıma ihtiyacınız vardır. Cloudzy'de bizim MikroTik VPS size yüksek frekanslı Ryzen 9 CPU'lar, NVMe depolama ve 40 Gbps ağ bağlantısı sunar; tam olarak bu tür kriptografik iş yükü için özel olarak tasarlandı.

Çapraz olarak yayılan parlak beyaz parlayan izlere sahip, lacivert bir devre kartı üzerinde ortalanmış bir AMD Ryzen CPU

Tipik Kullanım Durumları

L2TP/IPsec, genel web yönlendirmesi yerine yüksek düzeyde yalıtılmış aktarım senaryolarına güvenli bir şekilde hakim olur. A 2025 Gartner Analizi kurumsal uç ağların %41'inin pahalı üçüncü taraf lisanslamalarından kaçınmak için hâlâ büyük ölçüde yerel protokollere güvendiğini ortaya çıkardı.

Dizüstü bilgisayar kullanan profesyonel bir kadının silueti, güvenli, parlak gümüş bir tünel aracılığıyla dijital dünya haritası üzerinden doğrudan kurumsal ofis binasına bağlanıyor.

Bu eski protokoller milyarlarca küresel cihazda derin bir şekilde yerleşik durumda. Bu MikroTik L2TP VPN kurulumu, erişimi yalnızca şirket içi alt ağlara kısıtlayan katı güvenlik duvarı sınırları uyguladığınızda dikkat çekici derecede başarılı olur. Tam tünel web taraması için bu protokolün kullanılması, kaynakların temelden yanlış tahsis edilmesidir.

Uzaktan Çalışan Erişimi ve Sahadan Sahaya Kısıtlamalar

Bu özel protokol yapılandırması, bireysel uzak çalışanların merkezi bir ofis LAN'ına bağlanmasına olanak sağladığında başarılı olur. Ayrıca L2TP sarmalayıcısı, statik şube yönlendiricilerine gereksiz, ağır gecikme süresi ekler.

İki ayrı fiziksel ofis arasında kalıcı köprü kurmanın son derece verimsiz olduğunu kesinlikle düşünüyorum. Kalıcı kurumsal şube konumlarını bağlamak için aşağıdaki makalemize göz atın: Siteden Siteye VPN rehber.

Çözüm

Düzgün tasarlanmış bir MikroTik L2TP VPN kurulumu, uzaktan iş gücünüzü kusursuz bir şekilde yerel erişimle donatarak üçüncü taraf yazılım şişmesini önler. Modern protokoller şu anda ağ manşetlerine hakim durumda ama yine de kırılmaz AES-256 IPsec şifrelemesi bu mimariyi tartışmasız bir kurumsal dev haline getiriyor.

Doğru NAT-T ayarları, NAT yollarındaki bazı Aşama 2 hatalarından kaçınmaya yardımcı olur, ancak PSK uyumsuzlukları, teklif uyumsuzlukları ve güvenlik duvarı sorunları yine de müzakereyi bozabilir. L2TP ve IPsec'in birlikte kapsülleme yükünü artırdığını ve etkili MTU'nuzu azalttığını unutmayın. Performans maliyeti, ikinci bir şifreleme katmanından değil, eklenen paket sarmasından kaynaklanır.

MikroTik'in kendi IPsec belgeleri donanım hızlandırmanın, şifreleme sürecini hızlandırmak için CPU içindeki yerleşik bir şifreleme motorunu kullandığını doğrular; bu olmadan, tüm şifreleme işleri ana CPU'ya düşer ve verim önemli ölçüde düşer. 

Mimarinizi yerel şifreleme hızlandırıcılarıyla donatılmış yönlendiricilere dağıtmak, CPU darboğazını önler ve ağınızın tam hat hızında çalışmasını sağlar.

SSS

Aşama 1 Görüşmesi Başarısız hatalarını nasıl düzeltirim?

Windows'ta şunu deneyin: VarsayalımUDPEcapsulationContextOnSendRule kayıt defteri değişikliği yalnızca NAT-T uç durumları için, özellikle de VPN sunucusu NAT'ın arkasındaysa veya hem istemci hem de sunucu NAT'ın arkasındaysa.

Bağlantım neden sürekli kesiliyor?

MikroTik L2TP VPN kurulumunda, MTU uyumsuzlukları nedeniyle yoğun veri aktarımları düşebilir. Paket parçalanmasını ortadan kaldırmak için daha düşük bir MTU boyutuna zorlamalısınız. L2TP profilinizi düzenleyin. TCP MSS değerini değiştir değerini evet olarak ayarlayın. Bu eylem, uzaktan bağlantınızı anında dengeler.

Bunun için hangi donanıma ihtiyacım var?

RouterOS v7'ye ve herkese açık bir adrese veya sabit bir DNS adına ihtiyacınız var. Statik genel IPv4 tercih edilir ancak her dağıtımda zorunlu değildir. IPsec verimi, yönlendirici modeline, CPU mimarisine, yük boşaltma desteğine, şifre seçimine ve trafik düzenine bağlıdır.

Bu RouterOS v7'de iyi çalışıyor mu?

Evet, RouterOS v7, desteklenen donanımlarda bu kurulumu iyi bir şekilde destekler, ancak son davranış yine de istemci uyumluluğuna, güvenlik duvarı kurallarına ve IPsec ayarlarına bağlıdır. Temel yapılandırma mantığı v6'yı doğrudan yansıtır, bu da deneyimli ağ mühendisleri için geçişi kolaylaştırır.

PPTP ile L2TP/IPsec arasındaki fark nedir?

PPTP güncelliğini kaybetmiştir ve onu yeni dağıtımlar için uygunsuz hale getiren, iyi belgelenmiş güvenlik açıkları taşır. MikroTik L2TP VPN kurulumu daha güvenli bir seçimdir; IPsec şifreleme ve bütünlük katmanını sağlarken, L2TP tünellemeyi yönetir. PPTP'yi asla bir kurumsal ağ içinde dağıtmayın.

Bu kurulumun 2026'da kullanılması güvenli mi?

MikroTik L2TP/IPsec kurulumu, yerel istemci uyumluluğu açısından 2026'da hala geçerli bir seçenek olabilir, ancak güvenliği ve güvenilirliği, doğru IPsec ayarlarına, güvenlik duvarı politikasına, düzeltme ekine ve istemci uyumluluğuna bağlıdır.

Paylaşmak

Blogdan daha fazlası

Okumaya devam edin.

Koyu deniz mavisi arka plan üzerinde Fix Guide başlığı ve Cloudzy markasıyla uzak ana bilgisayar kimlik değişikliği hakkında SSH uyarı mesajını görüntüleyen terminal penceresi.
Güvenlik ve Ağ İletişimi

Uyarı: Uzak Ana Bilgisayar Kimliği Değişti ve Nasıl Düzeltilir

SSH, sistemler arasında şifreli bir tünel oluşturan güvenli bir ağ protokolüdür. Grafik gerektirmeden bilgisayarlara uzaktan erişime ihtiyaç duyan geliştiriciler arasında popüler olmaya devam ediyor

Rexa CyrusRexa Cyrus 10 dakika okuma
Linux ad çözümleme hataları için uyarı simgeleri ve koyu arka planda mavi sunucu içeren DNS sunucusu sorun giderme kılavuzu çizimi
Güvenlik ve Ağ İletişimi

Ad Çözümlemesinde Geçici Hata: Bu Ne Anlama Geliyor ve Nasıl Düzeltilir?

Linux kullanırken web sitelerine erişmeye, paketleri güncellemeye veya internet bağlantısı gerektiren görevleri yürütmeye çalışırken ad çözümleme hatasında geçici bir hatayla karşılaşabilirsiniz.

Rexa CyrusRexa Cyrus 12 dakikalık okuma
Bir Alan Adı VPS'ye Nasıl Yönlendirilir: Hızlı Kılavuz
Güvenlik ve Ağ İletişimi

Bir Alan Adı VPS'ye Nasıl Yönlendirilir: Hızlı Kılavuz

Web sitelerini ve uygulamaları barındırmak için bir etki alanını Sanal Özel Sunucuya yönlendirmek gerekir. Bu kılavuz, alan adınızı sunucunuza bağlama hakkında bilmeniz gereken her şeyi kapsar.

Rexa CyrusRexa Cyrus 16 dakikalık okuma

Dağıtıma hazır mısınız? Aylık 2,48dan başlayan fiyatlarla.

Bağımsız bulut, 2008'den beri. AMD EPYC, NVMe, 40 Gbps. 14 gün içinde para iadesi.

Bir VPS dağıtın Tüm planları görün