l2tp ipsec vpn между 2 mikrotik настройка

l2tp ipsec vpn между 2 mikrotik настройка

Настройка L2TP/IPsec между двумя MikroTik: пошагово

Подробный гайд: l2tp ipsec vpn между 2 mikrotik настройка. Без воды, с проверкой утечек и советами от инженера. Настрой за 15 минут — и забудь про перехват трафика.

l2tp ipsec vpn между 2 mikrotik настройка — задача, с которой сталкиваются системные администраторы, владельцы малого бизнеса и даже продвинутые домашние пользователи в России. Это не просто «поднять туннель». Это создание защищённого канала связи между двумя точками, который выдержит попытки анализа трафика (DPI) от провайдеров вроде Ростелекома или МТС, не даст утечек через DNS или WebRTC и останется стабильным при перезагрузках оборудования. В этом материале — не просто список команд из официальной документации, а живой, проверенный на практике гайд с акцентом на реальные риски и скрытые подводные камни.

Почему именно L2TP/IPsec, а не WireGuard или OpenVPN?

Выбор протокола — это компромисс между совместимостью, безопасностью и сложностью. WireGuard — новый, быстрый, но требует установки стороннего ПО на большинстве клиентов. OpenVPN — гибкий и надёжный, но его настройка на чистом RouterOS без дополнительных пакетов невозможна. А вот L2TP/IPsec — это стандарт де-факто для межсетевого взаимодействия на оборудовании уровня SOHO и SMB.

L2TP (Layer 2 Tunneling Protocol) сам по себе не шифрует трафик. Он лишь инкапсулирует PPP-пакеты. Поэтому его всегда используют в паре с IPsec (Internet Protocol Security), который берёт на себя шифрование и аутентификацию. Эта связка поддерживается «из коробки» практически всеми MikroTik, начиная с самых старых моделей hAP lite и заканчивая мощными CCR. Это критически важно для тех, кто не хочет возиться с обновлениями пакетов или покупкой лицензий Level 6.

Но есть ложка дёгтя: L2TP/IPsec использует порты UDP 500 (IKE), 4500 (NAT-T) и протокол ESP (IP-протокол 50). Эти порты часто блокируются в корпоративных сетях или на некоторых провайдерских фильтрах. Если ваш туннель не поднимается, первым делом проверьте, не режет ли ваш провайдер ESP-трафик. Увы, в России такие случаи не редкость.

Пошаговая настройка: от нуля до рабочего туннеля

Представим типичную сцену: у вас есть офис в Москве и удалённый склад в Казани. Нужно объединить их сети так, чтобы компьютеры в одной локальной сети видели ресурсы другой. Сети: 192.168.10.0/24 (Москва) и 192.168.20.0/24 (Казань).

Шаг 1: Подготовка на сервере (Москва)

Зайдите в WinBox или через терминал на ваш первый MikroTik (сервер).

1. Создаём пул IP-адресов для клиентов VPN
/ip pool
add name=vpn-pool ranges=192.168.99.2-192.168.99.254

2. Настраиваем L2TP-сервер
/interface l2tp-server server
set enabled=yes default-profile=vpn-profile authentication=mschap2

3. Создаём профиль для подключающихся клиентов
/ppp profile
add name=vpn-profile local-address=192.168.99.1 remote-address=vpn-pool \
    use-encryption=required dns-server=8.8.8.8,8.8.4.4

4. Добавляем учётную запись пользователя
/ppp secret
add name=site2 password=SuperSecretPass profile=vpn-profile service=l2tp

5. Настраиваем IPsec: пропускаем всё для L2TP
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp passive=yes

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc

/ip ipsec policy
add src-address=192.168.99.0/24 dst-address=192.168.20.0/24 \
    protocol=all action=encrypt level=require tunnel=yes

Обратите внимание на passive=yes у пира IPsec. Это ключевой момент: сервер будет ждать подключения, а не инициировать его сам.

Шаг 2: Настройка клиента (Казань)

Теперь на втором MikroTik (клиенте) создаём интерфейс и настраиваем маршрут.

1. Создаём L2TP-клиентский интерфейс
/interface l2tp-client
add connect-to=IP_АДРЕС_МОСКВЫ user=site2 password=SuperSecretPass \
    profile=default-encryption disabled=no

2. Добавляем статический маршрут до сети Москвы через туннель
/ip route
add dst-address=192.168.10.0/24 gateway=l2tp-out1

3. Настраиваем IPsec на клиенте (для согласования)
/ip ipsec peer
add address=IP_АДРЕС_МОСКВЫ exchange-mode=main-l2tp

/ip ipsec policy
add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
    protocol=all action=encrypt level=require tunnel=yes

Замените IP_АДРЕС_МОСКВЫ на реальный публичный IP-адрес вашего первого роутера. Если он за NAT (например, у провайдера CGNAT), вам понадобится проброс портов UDP 500 и 4500 на сервер.

Шаг 3: Проверка и диагностика

Не спешите праздновать. Проверьте работоспособность:

1. Интерфейс: /interface print — должен быть активен l2tp-out1.
2. Маршрут: /ip route print — маршрут до 192.168.10.0/24 должен быть активен.
3. Пинг: ping 192.168.10.1 с роутера в Казани. Если пинг есть — туннель работает.
4. Трафик: Зайдите на любой сайт с компьютера в Казани и откройте ipleak.net. Ваш публичный IP должен остаться казанским. Если вместо этого вы видите московский IP — вы случайно настроили full tunnel, а не site-to-site. Это частая ошибка.

Если туннель не поднимается, смотрите логи:

/log print follow

Ищите строки с l2tp, ipsec, phase1, phase2. Они подскажут, на каком этапе handshake происходит сбой.

Чего вам НЕ говорят в других гайдах

Большинство инструкций в интернете заканчиваются на «всё работает!». Но реальность куда сложнее. Вот что умалчивают:

1. L2TP/IPsec не даёт Perfect Forward Secrecy (PFS) по умолчанию.
   PFS — это свойство, при котором компрометация долгосрочного ключа не позволяет расшифровать прошлый трафик. В базовой конфигурации MikroTik PFS отключён. Чтобы включить его, нужно явно указать группу Диффи-Хеллмана в предложении IPsec:

/ip ipsec proposal
add name=pfs-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

И использовать это предложение в политике. Без этого ваш трафик теоретически можно расшифровать, если злоумышленник запишет его сейчас и получит ваш пароль позже.

1. Утечки через DNS — главная беда site-to-site.
   Даже если туннель шифрует весь трафик между сетями, DNS-запросы от клиентов могут уходить напрямую к провайдеру. Это особенно актуально, если в профиле PPP вы прописали dns-server=8.8.8.8. Компьютеры будут использовать этот DNS, но запросы к нему пойдут не через туннель, а напрямую. Решение — настроить на одном из роутеров локальный DNS-резолвер (например, Unbound) и форсировать его использование через DHCP.

   🛡️Безопасный интернет

2. Бесплатные «аналоги» для тестирования — это ловушка.
   Многие советуют «попробовать сначала на бесплатном VPN». Это опасно. Бесплатные сервисы в 99% случаев являются сборщиками данных. Они могут:

3. Логировать ваш трафик и продавать его рекламным сетям.
4. Подменять ваш трафик, внедряя JavaScript-трекеры.

5. Иметь уязвимости, которые превращают ваше устройство в часть ботнета (как это было с Hola VPN).
   Используйте только свои собственные устройства или проверенные платные сервисы с политикой no-log, прошедшие независимый аудит.

6. «Kill Switch» на роутере — миф без правильной настройки firewall.
   Если туннель L2TP/IPsec оборвётся, ваши устройства автоматически вернутся к прямому подключению к интернету. Чтобы этого не произошло, нужно настроить строгие правила в ip firewall filter. Например, на клиентском роутере (Казань) запретить ВЕСЬ исходящий трафик, кроме трафика в туннель и трафика, необходимого для поднятия самого туннеля (DNS, NTP, IKE). Без этого ваша «защищённая» сеть мгновенно станет открытой.

   ⚙️Технология доступа

Сравнение подходов к межсетевому взаимодействию

Выбор решения зависит от ваших задач: скорость, безопасность, простота или масштабируемость. Вот как L2TP/IPsec на MikroTik соотносится с другими вариантами.

Как видите, L2TP/IPsec — это выбор в пользу максимальной совместимости и простоты, а не скорости или стойкости к цензуре.

Практические сценарии использования в российских реалиях

Сценарий 1: Защита от перехвата в публичных сетях.
Вы — IT-специалист и работаете из кофейни. Ваш ноутбук подключён к Wi-Fi, но весь трафик до офисного сервера идёт через L2TP/IPsec-туннель на ваш домашний MikroTik. Даже если кто-то в этой же сети запустит сниффер, он увидит только зашифрованный ESP-трафик.

Сценарий 2: Обход локальных блокировок провайдера.
Провайдер в вашем регионе (например, один из региональных операторов) временно недоступен для YouTube. Настроив туннель до MikroTik в другом городе, где блокировки нет, вы получаете доступ ко всем ресурсам. Важно: такой трафик всё равно идёт под вашим IP, поэтому это не обход государственной системы блокировок (РКН), а решение проблемы локального провайдера.

Сценарий 3: Корпоративная защита для филиалов.
Компания с несколькими офисами в РФ может использовать mesh из L2TP/IPsec-туннелей для создания единой защищённой сети. Это дешевле и надёжнее аренды MPLS-каналов от операторов связи, особенно для небольших филиалов.

Сценарий 4: Резервирование канала связи.
Если у вас два провайдера, можно настроить два независимых L2TP/IPsec-туннеля. При отвале основного канала трафик автоматически пойдёт по резервному. Для этого нужны правила в ip route с разными дистанциями.

Вывод

l2tp ipsec vpn между 2 mikrotik настройка — это мощный инструмент для создания защищённых и прозрачных для пользователей сетей. Он не решит проблему глобальной анонимности и не спрячет вас от спецслужб, если вы совершаете противоправные действия. Но он отлично справляется с задачами, для которых и был создан: безопасное соединение двух доверенных сетей через ненадёжную среду (публичный интернет). Главное — не останавливаться на базовой конфигурации. Обязательно включайте PFS, настраивайте firewall как kill switch и контролируйте DNS-трафик. Только так ваш туннель будет не просто «работающим», а действительно безопасным.

VPN замедляет интернет на сколько реально?

На MikroTik с CPU на архитектуре ARM (большинство бытовых моделей) L2TP/IPsec с AES-256 снижает пропускную способность примерно на 40-60%. Например, если ваш канал 500 Мбит/с, через туннель вы получите 200-300 Мбит/с. На более мощных устройствах (x86, Tile) потери минимальны.

Меня найдёт спецслужба при использовании такого VPN?

Этот туннель соединяет два ВАШИХ устройства. Ваш публичный IP-адрес остаётся прежним. Все действия в интернете всё так же привязаны к вашему реальному местоположению и договору с провайдером. Такой VPN не скрывает вашу личность от правоохранительных органов.

🛡️Безопасный интернет

WireGuard или OpenVPN — что безопаснее?

С точки зрения криптографии, оба протокола используют современные и проверенные алгоритмы (ChaCha20/Poly1305 для WireGuard, AES-GCM для OpenVPN). WireGuard имеет гораздо меньший код (меньше багов), а OpenVPN — более гибок и лучше маскируется под обычный HTTPS-трафик. Для большинства задач WireGuard предпочтительнее.

Что делать, если провайдер блокирует порт 500?

Попробуйте включить NAT Traversal (NAT-T). В настройках IPsec пира на обоих концах убедитесь, что стоит `nat-traversal=yes` (это значение по умолчанию). Тогда трафик будет идти через UDP 4500, который реже блокируют. Если и это не помогает, единственный выход — использовать другой протокол (WireGuard на нестандартном порту) или отказаться от идеи.

Нужно ли обновлять RouterOS для безопасности VPN?

Да, обязательно. В прошлом в реализации IPsec в RouterOS находили уязвимости, позволявшие выполнять код на устройстве удалённо (например, CVE-2019-3977). Регулярно обновляйте прошивку до последней стабильной версии через меню System -> Packages.

Открой мир без границ🌍

Можно ли использовать один и тот же пароль для нескольких клиентов?

Технически можно, но это плохая практика. Если один клиент будет скомпрометирован, злоумышленник получит доступ ко всей вашей туннельной сети. Лучше создавать уникальную учётную запись (`/ppp secret`) для каждого удалённого узла с уникальным паролем.