mikrotik настройка vpn сервера l2tp ipsec и клиента windows

MikroTik настройка VPN сервера L2TP/IPsec и клиента Windows: полный гайд с подводными камнями

Привет. Если вы читаете этот текст, значит, вам нужно поднять mikrotik настройка vpn сервера l2tp ipsec и клиента windows — и не просто «по кнопкам», а с пониманием, где вас ждут грабли. L2TP/IPsec — протокол старой школы: он работает почти везде (даже на древних Windows 7), но имеет специфические болячки. Разберём конфигурацию роутера, настройку Windows, а заодно расскажем, о чём молчат другие гайды.

Почему L2TP/IPsec — не лучший, но рабочий вариант?

L2TP сам по себе не шифрует трафик — он лишь туннелирует пакеты второго уровня. Шифрование ложится на IPsec (обычно ESP в транспортном режиме). Связка даёт совместимость, но скорость ограничена: на MikroTik среднего уровня (RB951, hAP lite) вы получите 20–40 Мбит/с, на CCR — до 200–300 Мбит/с. Для сравнения, WireGuard на том же железе покажет 90–95% от пропускной способности канала.

Когда стоит выбирать L2TP/IPsec:
- клиенты на Windows 7, 8, 10 (встроенный клиент, без стороннего ПО);
- корпоративные сценарии с Active Directory (совместимость с RRAS);
- когда не получается пробить NAT через другие протоколы (IPsec использует UDP 500 и 4500).

Минусы:
- утечка IP при неправильном выборе метрики маршрута;
- блокировка на некоторых файрволах (DPI может резать IPsec по портам);
- отсутствие perfect forward secrecy в старых реализациях (MikroTik с IPsec Proposal без PFS — ключи можно восстановить);
- overhead около 140 байт — на слабых каналах (ADSL) снижает MTU.

Пошаговая настройка MikroTik для L2TP/IPsec сервера

Всё делаем через WinBox или SSH. Убедитесь, что у вас RouterOS версии 6.49+ или 7.x (команды почти идентичны).

1. Создаём пул адресов и PPP профиль

/ip pool add name=l2tp-pool ranges=192.168.100.2-192.168.100.100
/ppp profile set default use-encryption=yes local-address=192.168.100.1 remote-address=l2tp-pool dns-server=8.8.8.8,1.1.1.1

2. Включаем L2TP сервер

/interface l2tp-server server set enabled=yes use-ipsec=yes default-profile=default

Важно: use-ipsec=yes автоматически создаёт IPsec proposals и политики. Но для надёжности лучше настроить IPsec вручную.

3. Настраиваем IPsec (Phase 1 и Phase 2)

/ip ipsec proposal set [find] auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=none
/ip ipsec proposal add name=l2tp-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h pfs-group=modp1024
/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key secret="MySecretKey123" passive=yes send-v1-id=no proposal-check=obey exchange-mode=aggresive
/ip ipsec policy add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 proposal=l2tp-proposal tunnel=yes action=encrypt

Критический момент: в exchange-mode=aggresive (агрессивный режим) более уязвим к атакам, но совместим с Windows. Если безопасность важнее — ставьте main и корректируйте настройки клиента.

4. Создаём пользователя

/ppp secret add name=vpnuser password=StrongPass123 service=l2tp profile=default

5. Файрвол — разрешаем трафик

/ip firewall filter add chain=input protocol=udp port=500,4500 action=accept
/ip firewall filter add chain=input protocol=ipsec-esp action=accept
/ip firewall filter add chain=input protocol=udp port=1701 action=accept
/ip firewall filter add chain=forward action=accept connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=new connection-type=l2tp

Проверьте, что в /ip firewall nat нет маскарада для трафика из l2tp-интерфейса (он идёт уже через форвард, маскарад не нужен).

Настройка клиента Windows 10/11 — от А до Я

1. Добавляем VPN-подключение

Параметры → Сеть и Интернет → VPN → Добавить VPN-подключение

• Поставщик VPN: Windows (встроенный)
• Имя подключения: MikroTik L2TP
• Адрес сервера: публичный IP вашего роутера (или DDNS)
• Тип VPN: L2TP/IPsec с предварительным ключом
• Предварительный ключ: MySecretKey123 (тот же, что в настройках MikroTik)
• Имя пользователя: vpnuser
• Пароль: StrongPass123

2. Параметры безопасности (важно!)

Откройте Панель управления → Центр управления сетями → Изменение параметров адаптера. ПКМ по созданному VPN → Свойства → Безопасность:

• Тип VPN: туннельный протокол L2TP/IPsec
• Шифрование: требовать шифрование (отключить, если не удаётся)
• Разрешить эти протоколы: CHAP и MS-CHAP v2 (Windows 10 не поддерживает PAP, а EAP не нужен)

3. Исправляем проблему с «отсутствием ответа сервера»

Часто Windows не может подключиться из-за неудачной попытки IKEv2 до L2TP. В реестре:
HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent → add DWORD AssumeUDPEncapsulationContextOnSendRule = 2.
Перезагрузка — и соединение пройдёт.

4. Kill Switch через реестр

Чтобы при разрыве VPN трафик не утекал на обычный интерфейс, в свойствах VPN (вкладка «Сеть») снимите галочку с IPv6, а в «Дополнительные параметры TCP/IP» установите «Использовать основной шлюз в удалённой сети». Это заставит весь трафик ходить только через VPN.

Чего вам НЕ говорят в других гайдах

1. Утечка DNS — самая частая ошибка

Даже при работающем L2TP/IPsec, Windows может продолжать использовать DNS провайдера (Ростелеком, МТС). Проверьте на ipleak.net: если видите российские DNS — значит, трафик не полностью туннелируется. Решение — вручную прописать DNS в свойствах VPN как 8.8.8.8 и 77.88.8.8 (Яндекс), а в настройках MikroTik в PPP профиле задать dns-server=10.0.0.1. Дополнительно отключите Smart Multi-Homed DNS в реестре.

2. Бесплатные VPN — это бизнес, а не помощь

VPN требует аренды сервера от $5/мес. Бесплатные сервисы (Hola, Betternet) зарабатывают на продаже трафика, внедрении рекламы и даже построении ботнетов. В 2025 году инцидент с FreeVPN Project показал утечку 1.2 ТБ логов в открытый доступ. L2TP/IPsec на собственном MikroTik — хоть и не абсолютная защита, но ваш контроль.

3. Отсутствие аудита L2TP/IPsec в RouterOS

В отличие от WireGuard (код аудирован Cure53), реализация L2TP/IPsec в MikroTik не проходила независимую проверку. Есть уязвимости в агрессивном режиме IKE, которые позволяют подобрать PSK за несколько дней. Используйте длинный ключ (32+ символа) и включите pfs-group=modp2048 в proposal.

4. Подделка kill switch на Windows

Встроенный механизм «использовать основной шлюз в удалённой сети» не гарантирует блокировку при переподключении — на 1-2 секунды трафик может уйти напрямую. Сценарий: отвалился IPsec, Windows перезапускает туннель, а в это время ваш мессенджер (Telegram) коннектится через провайдера. Роскомнадзор фиксирует эти доли секунды. Единственный способ — сторонние клиенты (OpenVPN с автоблокировкой или WireGuard с SaveConfig и правилами iptables на роутере).

5. Логообязательства по требованию суда

Вы поднимаете VPN на своём MikroTik. Если к вам придёт запрос от органов (ст. 186 УПК РФ о доступе к информации), вы обязаны предоставить логи, если они ведутся. RouterOS по умолчанию не логирует трафик, но включив /ppp active и логирование Firewall, вы создаёте доказательства. По закону «О связи» (152-ФЗ) вы не являетесь оператором связи, если VPN используется только для личных нужд. Но если даёте доступ третьим лицам — регистрируйте ООО и готовьтесь к ОРД.

6. Атаки Man-in-the-Middle на публичных Wi-Fi

Даже с VPN, если на точке доступа стоит SSL-стриппинг (mitmproxy), ваши HTTPS-запросы могут быть перехвачены до шифрования VPN. L2TP/IPsec защищает только от провайдера, но не от атак L2-уровня в кафе. Всегда проверяйте сертификаты сайтов, используйте HSTS.

Сравнение L2TP/IPsec с альтернативами

Реальные сценарии использования и подводные камни

Сценарий 1: SMMщик в командировке
В отеле в Турции интернет режет Telegram. Вы поднимаете L2TP/IPsec на домашнем MikroTik и подключаетесь с ноутбука. Работает, но скорость падает до 10 Мбит/с из-за высокого пинга. Грабли: отель блокирует UDP 500/4500, нужно заранее договориться с администрацией или переключаться на WireGuard на порту 443.

Сценарий 2: Айтишник в кофейне
Публичный Wi-Fi с captive portal. Подключаете VPN - он работает, но портал не выпускает наружу L2TP. Решение - сначала открыть браузер, авторизоваться через веб-интерфейс точки доступа, а потом запустить VPN.

Сценарий 3: Пользователь торрентов
L2TP/IPsec на MikroTik даёт overhead, снижающий скорость раздачи. Кроме того, IPsec блокирует некоторые протоколы P2P (uTP, DHT). Лучше отдельно поднять OpenVPN или WireGuard для закачек, а L2TP оставить для удалённого доступа к офису.

Сценарий 4: Корпоративная защита филиалов
Настраиваете L2TP/IPsec между MikroTik в Москве и офисом в Казахстане. Работает, но при переподключении (раз в сутки) возникает окно на 2 секунды, когда трафик уходит напрямую. Решение - настроить автоматический kill switch через скрипт RouterOS:

:if ([/interface l2tp-server get [find] running]=false) do={
  /ip firewall filter add chain=forward action=drop disabled=no
} else={
  /ip firewall filter remove [find chain=forward action=drop]
}

Диагностика и устранение типичных ошибок

Ошибка 1: «Не удалось установить соединение» в Windows
Проверьте:
- Открыты ли порты 500, 4500, 1701 на MikroTik (через telnet извне).
- Не заблокирован ли IPsec на уровне провайдера (МТС блокирует ESP в некоторых регионах).
- Корректно ли введён preshared key (без лишних пробелов).

Ошибка 2: Подключение есть, но интернет не работает
- На MikroTik включён NAT для трафика из l2tp-интерф

Полезные ссылки

👉 Забери в Telegram-боте

🔥 Получи на сайте сайте