Thiết lập VPN MikroTik L2TP (với IPsec): Hướng dẫn về RouterOS (2026)

Trong thiết lập VPN MikroTik L2TP này, L2TP xử lý đường hầm trong khi IPsec xử lý mã hóa và tính toàn vẹn; việc ghép nối chúng mang lại cho bạn khả năng tương thích với máy khách gốc mà không cần tác nhân bên thứ ba. Xác thực giới hạn phần cứng mật mã của bạn vẫn là ưu tiên tuyệt đối.

Bỏ qua chi phí đóng gói, ngăn xếp giao thức kép này sẽ lặng lẽ bóp nghẹt các hoạt động triển khai trước khi chúng xử lý một megabyte đơn lẻ.

MikroTik L2TP VPN là gì?

Theo thiết kế nền tảng của nó, L2TP hoạt động hoàn toàn như một cây cầu vận chuyển rỗng. Nó cung cấp mã hóa vốn có hoàn toàn bằng không cho lưu lượng truy cập di chuyển của bạn trên mạng lưới thù địch.

Để tăng cường khả năng mã hóa và tính toàn vẹn, các kiến ​​trúc sư mạng ghép nối L2TP với IPsec; kết quả là một ngăn xếp giao thức kép trong đó L2TP bao bọc đường hầm và IPsec bảo vệ tải trọng. Kiến trúc kết hợp này vẫn là lựa chọn hàng đầu cho khả năng tương thích cũ mà không cần triển khai các tác nhân xâm lấn của bên thứ ba

Việc hiểu rõ sự phụ thuộc vào giao thức kép này sẽ quyết định nghiêm ngặt cách bạn xây dựng ngoại lệ tường lửa. Thiết lập MikroTik VPN của bạn sẽ ngay lập tức bị hỏng nếu định tuyến UDP hoặc quá trình đóng gói IPsec cơ bản không thành công.

Nó hoạt động như thế nào

Việc thiết lập kết nối bảo mật này đòi hỏi một quá trình bắt tay mạng hai giai đoạn chính xác. IKE Giai đoạn 1 trước tiên phân xử liên kết bảo mật mật mã bằng cách sử dụng tổ hợp của bạn Khóa chia sẻ trước.

Khi bức tường vô hình này đứng vững, Giai đoạn 2 sẽ xây dựng đường hầm L2TP ngay bên trong tải trọng được mã hóa. Nếu một trong hai giai đoạn không thành công do PSK không khớp, đề xuất không khớp, UDP 500/4500 bị chặn hoặc các vấn đề xử lý NAT thì đường hầm sẽ không xuất hiện. Trong một số trường hợp cạnh Windows NAT-T, cũng có thể cần thay đổi sổ đăng ký.

Quy trình đóng gói kép

Dữ liệu trên chuyến bay trong quá trình thiết lập MikroTik L2TP VPN trải qua quá trình đóng gói nghiêm ngặt. Nó đi vào một tiêu chuẩn khung PPP, được bao bọc bởi giao thức L2TP và được bọc bởi IPsec ESP.

Chi phí gộp này làm tăng mạnh kích thước gói, đẩy chúng vượt xa mạng tiêu chuẩn Đơn vị truyền tối đa giới hạn. Sự lạm phát đột ngột này chắc chắn sẽ gây ra sự phân mảnh gói dữ dội trên các môi trường có độ trễ cao.

Nếu doanh nghiệp của bạn coi trọng tốc độ tuyệt đối so với đào hầm sâu, hãy xem hướng dẫn của chúng tôi về Cấu hình Shadowsocks, hướng dẫn này cung cấp giải pháp thay thế hấp dẫn, chi phí thấp. Tôi lập luận rằng việc tạo đường hầm nặng nề thường là quá mức cần thiết đối với các ứng dụng doanh nghiệp dựa trên web đơn giản.

Làm cách nào để thiết lập VPN MikroTik L2TP?

Việc triển khai một máy chủ được tăng cường trên RouterOS v7 đòi hỏi độ chính xác tuyệt đối. Để có thiết lập rõ ràng nhất, hãy cung cấp cho bộ định tuyến một địa chỉ có thể truy cập công khai hoặc tên DNS ổn định. Ưu tiên sử dụng IP công cộng tĩnh nhưng không bắt buộc trong mỗi lần triển khai.

Bạn phải bảo mật bản sao lưu cấu hình ngay lập tức vì các chính sách IPsec bị hỏng sẽ khóa bạn. Xem lại hướng dẫn của chúng tôi về tiêu chuẩn Chuyển tiếp cổng Mikrotik tài liệu trước khi thao tác chuỗi lưu lượng mật mã. Hãy thực hiện chính xác thiết lập MikroTik L2TP VPN này. Việc tăng cường các quy tắc tường lửa trên bộ định tuyến sản xuất trực tiếp chắc chắn là một thảm họa.

Bước 1: Tạo nhóm IP và hồ sơ PPP

Bạn phải xác định địa chỉ IP cục bộ. Các máy khách kết nối của bạn sẽ nhận được các IP này.

1. Mở menu IP. Nhấp vào tùy chọn Nhóm.
2. Nhấp vào nút Thêm. Đặt tên cho hồ bơi vpn-pool.
3. Đặt phạm vi IP cụ thể của bạn.
4. Mở menu PPP. Nhấp vào tùy chọn Hồ sơ.
5. Nhấp vào nút Thêm. Đặt tên cho hồ sơ l2tp-profile.
6. Gán Địa chỉ cục bộ cho cổng bộ định tuyến của bạn.
7. Đặt Địa chỉ từ xa thành vpn-pool.

Bước 2: Kích hoạt Máy chủ toàn cầu và IPsec

Bước này kích hoạt trình nghe L2TP toàn cầu trong thiết lập VPN MikroTik L2TP của bạn. RouterOS sẽ tự động đính kèm mã hóa IPsec sau khi bạn kích hoạt nó.

1. Mở menu PPP. Nhấp vào tùy chọn Giao diện.
2. Nhấp vào nút Máy chủ L2TP.
3. Chọn hộp kiểm Đã bật.
4. Chọn L2TP-Profile làm Cấu hình mặc định.
5. Chọn Yêu cầu trong Sử dụng IPsec, trừ khi bạn cố tình cần một dự phòng không phải IPsec cho phòng thí nghiệm hoặc trường hợp di chuyển.
6. Nhập một chuỗi phức tạp vào trường Bí mật IPsec.

Bước 3: Thêm người dùng PPP (Bí mật)

Máy chủ của bạn yêu cầu tài khoản người dùng. Bạn phải tạo thông tin xác thực ứng dụng khách từ xa. Phần tiếp theo của quá trình thiết lập MikroTik L2TP VPN sẽ chuyển sang cấu hình PPP.

1. Mở menu PPP. Nhấp vào tùy chọn Bí mật.
2. Nhấp vào nút Thêm.
3. Nhập một Tên duy nhất. Nhập mật khẩu an toàn.
4. Đặt Dịch vụ thành L2TP.
5. Đặt Cấu hình thành l2tp-profile.

Bước 4: Cấu hình quy tắc tường lửa (Ưu tiên)

Tường lửa của bạn chặn đàm phán IPsec. Bạn phải đặt các quy tắc này trong chuỗi Đầu vào của mình.

1. Chấp nhận cổng UDP 500. Cổng này xử lý các liên kết bảo mật Giai đoạn 1.
2. Chấp nhận cổng UDP 4500. Quá trình này xử lý NAT Traversal.
3. Chấp nhận cổng UDP 1701 để thiết lập liên kết L2TP. Sau khi thiết lập, lưu lượng truy cập liên quan có thể sử dụng các cổng UDP khác như đã thỏa thuận.
4. Chấp nhận giao thức IPsec-ESP. Điều này cho phép tải trọng được mã hóa Giao thức 50.

Nếu máy khách VPN cần quyền truy cập được định tuyến vào các mạng con nội bộ, hãy thêm các quy tắc so khớp chính sách IPsec trong chuỗi chuyển tiếp và loại trừ lưu lượng truy cập trùng khớp khỏi srcnat/masquerade. Chỉ bỏ qua FastTrack là không đủ cho tất cả các trường hợp IPsec được định tuyến.

Bước 5 & 6: Tối ưu hóa chính sách mặc định và hồ sơ ngang hàng

RouterOS sử dụng các mẫu động mặc định. Bạn phải bảo mật chúng bằng tay.

1. Mở menu IP. Nhấp vào tùy chọn IPsec. Nhấp vào tab Đề xuất.
2. Xác minh tham số băm sha256. Xác minh mã hóa AES-256 CBC.
3. Đặt Nhóm PFS thành modp2048 ở mức tối thiểu hoặc nhóm mạnh hơn nếu tất cả các nền tảng máy khách trong phạm vi đều hỗ trợ nó. Không sử dụng modp1024; RFC 8247 đánh dấu nó là KHÔNG NÊN.
4. Nhấp vào tab Hồ sơ. Đặt Hash thành sha256. Đặt Mã hóa thành aes-256.
5. Kiểm tra NAT Traversal nếu máy khách hoặc máy chủ có thể nằm sau NAT. Điều này cho phép IPsec hoạt động chính xác trên UDP 4500 trong đường dẫn NAT.

Tất cả các giá trị đề xuất, bao gồm nhóm PFS, thuật toán băm và mật mã mã hóa, phải khớp với những gì nền tảng máy khách của bạn thực sự hỗ trợ; sự không phù hợp sẽ khiến Giai đoạn 2 âm thầm thất bại.

Tối ưu hóa nâng cao (Bỏ qua FastTrack)

Quy tắc FastTrack IPv4 mặc định tăng tốc chuyển tiếp gói một cách giả tạo. Điều này thường xuyên phá vỡ các đường hầm IPsec vì nó theo dõi nhanh các gói trước khi chu kỳ mã hóa diễn ra.

Bạn phải bỏ qua FastTrack một cách rõ ràng đối với tất cả lưu lượng truy cập mật mã. Tạo quy tắc Chấp nhận bằng cách sử dụng trình so khớp IPsec Policy=in,ipsec. Kéo quy tắc này lên trên FastTrack. Cấu hình MikroTik VPN của bạn sẽ ổn định khi điều này được thực hiện.

Nếu máy khách VPN cần quyền truy cập được định tuyến vào các mạng con nội bộ, hãy thêm các quy tắc so khớp chính sách IPsec trong chuỗi chuyển tiếp và loại trừ lưu lượng truy cập trùng khớp khỏi srcnat/masquerade. Chỉ bỏ qua FastTrack là không đủ cho tất cả các trường hợp IPsec được định tuyến.

Các tính năng và lợi ích chính

Nhiều nhóm vẫn chọn thiết lập MikroTik L2TP VPN thay vì các mô hình không tin cậy để duy trì khả năng tương thích với hệ điều hành gốc và tránh các tác nhân bên thứ ba. Tuy nhiên, các quản trị viên hệ thống kỳ cựu vẫn tiếp tục áp dụng chi phí IPsec nặng nề này hoàn toàn để duy trì sự thuận tiện tuyệt đối về mặt quản trị. Tích hợp hệ điều hành gốc sẽ loại bỏ triệt để các tác nhân phần mềm bên thứ ba xung đột khỏi điểm cuối của bạn.

Tôi thường lưu ý rằng các công cụ hệ điều hành gốc luôn tồn tại lâu hơn các tác nhân xu hướng của bên thứ ba. Việc bỏ qua các đợt triển khai khách hàng bắt buộc này sẽ dễ dàng giúp bộ phận trợ giúp tiết kiệm được hàng trăm giờ lãng phí hàng năm. Việc hoàn tất thiết lập VPN MikroTik L2TP này sẽ áp đặt thực tế phần cứng khắc nghiệt, được trình bày chi tiết bên dưới.

Bảo mật và khả năng tương thích gốc

Ưu điểm bảo mật nổi bật của thiết lập VPN MikroTik L2TP này là bộ mật mã AES-256. Toán học chứng minh vững chắc. Tuy nhiên, các cổng biên tiếp xúc vẫn tiếp tục đóng vai trò là mục tiêu lớn cho các mảng quét tự động. Gần đây Báo cáo CISA 2024 xác nhận rằng các cổng VPN bị lộ chiếm khoảng 22% vectơ truy cập ransomware ban đầu trên toàn cầu.

Việc lọc danh sách địa chỉ nghiêm ngặt được coi là ưu tiên không thể thương lượng. Tin tưởng vào một cổng bị lộ mà không lọc địa chỉ là sơ suất trong vận hành. Nếu bạn phải đối mặt với việc kiểm tra gói sâu, hãy xem bài viết của chúng tôi về việc triển khai một VPN bị xáo trộn để vượt qua sự kiểm duyệt tích cực.

Cân nhắc về hiệu suất (Giảm tải phần cứng)

Nếu không tăng tốc phần cứng, CPU sẽ xử lý tất cả mã hóa nội tuyến, điều này có thể đẩy mức sử dụng lõi đơn đến giới hạn và kéo thông lượng xuống thấp hơn nhiều so với tốc độ đường truyền của bạn; Của riêng MikroTik Tài liệu tăng tốc phần cứng IPsec xác nhận điều này một cách trực tiếp.

Để giữ cho đường hầm IPsec của bạn chạy ở tốc độ tối đa mà không bị tắc nghẽn CPU, bạn cần có phần cứng thực sự có thể xử lý tải. Tại Cloudzy, chúng tôi VPS MikroTik cung cấp cho bạn CPU Ryzen 9 tần số cao, bộ lưu trữ NVMe và kết nối mạng 40 Gbps; được xây dựng có mục đích chính xác cho loại khối lượng công việc mật mã này.

Các trường hợp sử dụng điển hình

L2TP/IPsec chiếm ưu thế một cách an toàn trong các tình huống truyền tải có tính cách ly cao hơn là định tuyến web chung. MỘT Phân tích Gartner 2025 tiết lộ rằng 41% mạng biên doanh nghiệp vẫn phụ thuộc nhiều vào các giao thức gốc để tránh việc cấp phép tốn kém của bên thứ ba.

Các giao thức cũ này vẫn được nhúng sâu trên hàng tỷ thiết bị toàn cầu. Thiết lập MikroTik L2TP VPN này vượt trội đáng kể khi bạn thực thi các ranh giới tường lửa nghiêm ngặt nhằm hạn chế quyền truy cập riêng vào các mạng con nội bộ của công ty. Sử dụng giao thức này để duyệt web toàn đường hầm là một sự phân bổ tài nguyên sai cơ bản.

Quyền truy cập của nhân viên từ xa và các ràng buộc giữa các trang web

Cấu hình giao thức cụ thể này phát triển mạnh khi trao quyền cho từng nhân viên từ xa quay số vào mạng LAN văn phòng trung tâm. Ngoài ra, trình bao bọc L2TP còn bổ sung thêm độ trễ nặng, không cần thiết cho các bộ định tuyến nhánh tĩnh.

Tôi đánh giá chắc chắn rằng việc kết nối vĩnh viễn hai văn phòng vật lý riêng biệt là cực kỳ kém hiệu quả. Để liên kết các địa điểm chi nhánh công ty lâu dài, hãy xem bài viết của chúng tôi về việc theo dõi VPN site-to-site hướng dẫn.

Phần kết luận

Thiết lập MikroTik L2TP VPN được thiết kế phù hợp sẽ trang bị hoàn hảo cho lực lượng lao động từ xa của bạn quyền truy cập gốc, tránh tình trạng cồng kềnh phần mềm của bên thứ ba. Các giao thức hiện đại hiện đang thống trị các tiêu đề mạng nhưng không thể phá vỡ Mã hóa AES-256 IPsec làm cho kiến ​​trúc này trở thành một doanh nghiệp khổng lồ không thể tranh cãi.

Cài đặt NAT-T chính xác giúp tránh một số lỗi Giai đoạn 2 trong đường dẫn NAT, nhưng PSK không khớp, đề xuất không khớp và các sự cố tường lửa vẫn có thể phá vỡ quá trình đàm phán. Hãy nhớ rằng L2TP và IPsec cùng nhau bổ sung chi phí đóng gói và giảm MTU hiệu quả của bạn. Chi phí hiệu năng đến từ việc gói gói bổ sung chứ không phải từ lớp mã hóa thứ hai.

Của riêng MikroTik Tài liệu IPsec xác nhận rằng khả năng tăng tốc phần cứng sử dụng công cụ mã hóa tích hợp bên trong CPU để tăng tốc quá trình mã hóa; không có nó, tất cả công việc mã hóa sẽ được thực hiện trên CPU chính và thông lượng sẽ giảm đáng kể. 

Việc triển khai kiến ​​trúc của bạn trên các bộ định tuyến được trang bị bộ tăng tốc mật mã gốc sẽ ngăn chặn tình trạng tắc nghẽn CPU và giữ cho mạng của bạn chạy ở tốc độ tối đa.

Câu hỏi thường gặp