Настройка L2TP/IPsec VPN на MikroTik

1. Планирование и данные для настройки

Схема сети

VPN-сеть: 10.255.255.0/24
VPN-шлюз (сервер): 10.255.255.1

Данные для офисов (пример)

Офис	Локальная сеть	Логин	Пароль	Фиксированный VPN IP
Офис 1	192.168.1.0/24	office1	pass1	10.255.255.10
Офис 2	192.168.2.0/24	office2	pass2	10.255.255.11
Офис 3	192.168.3.0/24	office3	pass3	10.255.255.12

Данные для администраторов

Администратор	Логин	Пароль	Remote Address
Главный	admin	admin123	(авто)
Иванов	ivanov	ivanov123	(авто)

2. Настройка центрального сервера (MikroTik) — делается 1 раз

2.1 Создание Bridge и IP-адреса

Bridge:
- Winbox → Bridge → + → Name: bridge-vpn → OK
IP-адрес для Bridge:
- Winbox → IP → Addresses → + → Address: 10.255.255.1/24, Interface: bridge-vpn → OK

2.2 Создание пула адресов и PPP профиля

IP Pool:
- Winbox → IP → Pool → + → Name: pool-l2tp, Addresses: 10.255.255.2-10.255.255.254 → OK
PPP Profile:
- Winbox → PPP → Profiles → +
- General: Name: profile-l2tp, Local Address: 10.255.255.1, Remote Address: pool-l2tp, DNS Server: (оставить пустым), Only One: yes
- Protocols: Use Encryption: required, оставить только mschap2 → OK

2.3 Включение L2TP/IPsec сервера

Winbox → PPP → Interface → L2TP Server
Enabled: ✅
Default Profile: profile-l2tp
Max Sessions: 100
Use IPSec: required
IPSec Secret: MySecretKey123 (запомните этот ключ!)
Authentication: оставить только mschap2 → OK

2.4 Добавление пользователей

Офисы (с фиксированным VPN IP)

Winbox → PPP → Secrets → +

Для Офиса 1:

Name: office1, Password: pass1, Service: l2tp, Profile: profile-l2tp, Remote Address: 10.255.255.10 → OK

Для Офиса 2:

Name: office2, Password: pass2, Service: l2tp, Profile: profile-l2tp, Remote Address: 10.255.255.11 → OK

Для Офиса 3:

Name: office3, Password: pass3, Service: l2tp, Profile: profile-l2tp, Remote Address: 10.255.255.12 → OK

Администраторы (без фиксации IP)

Для администратора admin:

Name: admin, Password: admin123, Service: l2tp, Profile: profile-l2tp, Remote Address: (оставить пустым) → OK

2.5 Добавление статических маршрутов до локальных сетей офисов

Winbox → IP → Route → +

Dst. Address	Gateway	Comment
192.168.1.0/24	10.255.255.10	office1
192.168.2.0/24	10.255.255.11	office2
192.168.3.0/24	10.255.255.12	office3

2.6 Настройка Firewall

Winbox → IP → Firewall → Filter Rules

Правило 1 (разрешить трафик внутри VPN-сети):

Chain: forward
Src. Address: 10.255.255.0/24
Dst. Address: 10.255.255.0/24
Action: accept
Comment: VPN to VPN

Правило 2 (разрешить доступ из центральной локалки в VPN, опционально):

Chain: forward
Src. Address: 10.0.0.0/24 (ваша центральная сеть)
Dst. Address: 10.255.255.0/24
Action: accept
Comment: Local to VPN

Правило 3 (запретить всё остальное):

Chain: forward
Action: drop
Comment: Drop all else

>⚠️ Проверьте: во вкладке NAT не должно быть правил с out-interface=bridge-vpn или src-address=10.255.255.0/24.

3. Настройка удалённого офиса (MikroTik)

3.1 L2TP клиент

Winbox → Interfaces → + → L2TP Client

Вкладка General:

Name: l2tp-central

Вкладка Dial Out:

Connect To: (публичный IP центрального MikroTik)
User: office1
Password: pass1
Allow: только mschap2
Use IPSec: yes
IPSec Secret: MySecretKey123
Add Default Route: no ⚠️ ОЧЕНЬ ВАЖНО!
OK

3.2 Назначение IP на туннеле

Winbox → IP → Addresses → +
Address: 10.255.255.10/24
Interface: l2tp-central → OK

3.3 Маршруты

До центральной сети (если нужна):

Winbox → IP → Route → +
Dst. Address: 10.0.0.0/24
Gateway: 10.255.255.1 → OK

>⚠️ Никаких маршрутов до других офисов не добавлять!

3.4 Firewall на удалённом роутере

Winbox → IP → Firewall → Filter Rules

Разрешить из VPN в локальную сеть:

Chain: forward
Src. Address: 10.255.255.0/24
Dst. Address: 192.168.1.0/24
Action: accept

Разрешить из локалки в VPN:

Chain: forward
Src. Address: 192.168.1.0/24
Dst. Address: 10.255.255.0/24
Action: accept

4. Настройка ноутбука администратора (Windows 10/11)

4.1 Создание VPN-подключения

Пуск → Параметры → Сеть и Интернет → VPN
Добавить VPN-подключение:
- Поставщик VPN: Windows (встроенное)
- Имя подключения: VPN Центр
- Адрес сервера: (публичный IP MikroTik)
- Тип VPN: L2TP/IPsec с предварительным ключом
- Предварительный ключ: MySecretKey123
- Имя пользователя: admin
- Пароль: admin123
- Сохранить

4.2 Отключение шлюза по умолчанию (⚠️ ОЧЕНЬ ВАЖНО!)

Панель управления → Центр управления сетями и общим доступом → Изменение параметров адаптера
Правой кнопкой мыши по VPN Центр → Свойства
Вкладка Сеть → выберите IP версии 4 (TCP/IPv4) → Свойства
Нажмите Дополнительно → СНИМИТЕ галочку ✅ «Использовать основной шлюз в удалённой сети»
Нажмите OK → OK → OK

4.3 Подключение и проверка

Нажмите на значок сети в трее → выберите VPN Центр → Подключиться
Откройте Командную строку (cmd) и выполните:

ping 192.168.1.1   # Роутер Офиса 1 — должен отвечать
ping 192.168.2.1   # Роутер Офиса 2 — должен отвечать
ping 192.168.3.1   # Роутер Офиса 3 — должен отвечать
ping google.com    # Интернет — должен работать

Администрирование, добавление офисов и администраторов (разделы 5–10)

5. Добавление нового администратора

Делается на центральном сервере за 30 секунд:

Winbox → PPP → вкладка Secrets
Нажмите +
Заполните поля:
- Name: petrov (придумайте логин)
- Password: petrov321 (придумайте пароль)
- Service: l2tp
- Profile: profile-l2tp (выберите из списка)
- Remote Address: оставьте это поле пустым (это важно!)
Нажмите OK

Всё! Новый администратор готов.

Теперь пользователь petrov может настроить VPN на своём ноутбуке, используя:

Логин: petrov
Пароль: petrov321
Адрес сервера: (публичный IP центрального MikroTik)
Предварительный ключ: MySecretKey123

После подключения он автоматически получит доступ ко всем офисам.

Почему Remote Address пустой?

Тип пользователя	Remote Address	Почему
Офис (роутер)	✅ Указываем фиксированный	Чтобы маршрут на сервере (`192.168.1.0/24 → 10.255.255.10`) всегда работал
Администратор (ноутбук)	❌ Оставляем пустым	Ему не нужен фиксированный IP. IP выдаётся из пула автоматически

Удаление администратора

Когда сотрудник уволился или больше не нуждается в доступе:

Winbox → PPP → Secrets
Найдите пользователя (например petrov)
Нажмите красный минусик - (удалить) или кнопку Disable (отключить)

6. Добавление нового офиса

6.1 На центральном сервере

Добавить пользователя (как в п. 2.4):
- Name: office4
- Password: pass4
- Remote Address: 10.255.255.13 (следующий свободный IP)
Добавить маршрут (как в п. 2.5):
- Dst. Address: 192.168.4.0/24
- Gateway: 10.255.255.13
- Comment: office4

6.2 На роутере нового офиса

Выполнить настройку по инструкции из Раздела 3, используя:

Логин: office4
Пароль: pass4
VPN IP: 10.255.255.13
Локальная сеть: 192.168.4.0/24

7. Удаление пользователя (офиса или администратора)

Winbox → PPP → Secrets
Найти пользователя → нажать - (удалить) или Disable (отключить)

После этого пользователь теряет доступ к VPN. Если это был офис — не забудьте также удалить маршрут до его локальной сети (IP → Route).

8. Шпаргалка: что и где настраивать

Где	Что делаем	Remote Address	Маршруты до других офисов
Центр	Пользователи офисов	✅ Фиксируем	❌ Не нужно (они на сервере)
Центр	Пользователи-админы	❌ Пусто (авто)	❌ Не нужно
Центр	Маршруты до сетей офисов	—	✅ Добавляем
Офис	L2TP клиент	Фиксированный IP с сервера	❌ НЕ добавлять
Офис	Firewall	—	Разрешить forward VPN↔локалка
Ноутбук	VPN подключение	—	Отключить шлюз по умолчанию

9. Диагностика и частые проблемы

Полезные команды

На центральном сервере (терминал Winbox):

# Кто подключен?
/ppp active print
 
# Маршруты до офисов
/ip route print where dst-address~"192.168"
 
# Посмотреть логи подключений
/log print where topics~"ppp"

На удалённом офисе (MikroTik):

# Статус туннеля
/interface l2tp-client print status
 
# Пинг до сервера
/ping 10.255.255.1

На ноутбуке (cmd):

# Какой IP получили в VPN?
ipconfig | findstr "10.255"
 
# Посмотреть маршруты
route print -4 | findstr "192.168"

Типовые проблемы и решения

Проблема	Вероятная причина	Решение
Ноутбук не подключается к VPN	Неправильный IPSec Secret или IP сервера	Проверьте предварительный ключ `MySecretKey123` и IP-адрес сервера
Подключение есть, но пинг до офисов не идёт	Нет маршрутов на сервере или блокирует Firewall	Проверьте п. 2.5 (маршруты) и п. 2.6 (Firewall)
На ноутбуке после подключения пропал интернет	Не отключен шлюз по умолчанию	Выполните инструкцию из п. 4.2
Офисы видят друг друга (а не должны)	На роутерах офисов добавлены маршруты до других офисов	Удалите на роутерах офисов маршруты до сетей других офисов
Туннель падает через минуту	Проблема с Keepalive	В PPP-профиле на сервере установите `Keepalive Timeout: 30`
Медленная работа	Проблема MTU	На L2TP-интерфейсах установите `MTU/MRU 1450`

10. Итог: что вы получили

✅ Центральный сервер (MikroTik) — раздаёт IP и маршрутизирует трафик между администраторами и офисами.
✅ Офисы — подключаются к серверу, имеют доступ только в свою локальную сеть и (опционально) в центральную. Интернет работает через своего провайдера.
✅ Администраторы — подключаются с ноутбуков и получают доступ ко всем офисам по их локальным IP-адресам.
✅ Масштабирование:
- Новый офис = новый пользователь (с фиксацией IP) + маршрут на сервере.
- Новый администратор = новый пользователь с пустым Remote Address.

Antistatus 30.05.2026 20:10