Полная инструкция: L2TP/IPsec VPN на MikroTik (офисы + администраторы)

Цель проекта

Настроить VPN-сервер на базе MikroTik, к которому подключаются:

Удалённые офисы (каждый со своей локальной сетью)
Администраторы (ноутбуки/ПК)

Результат после настройки:

✅ Администратор (ноутбук) имеет доступ ко ВСЕМ офисам по их локальным IP.
❌ Офисы НЕ видят друг друга (полная изоляция).
🌐 Интернет в каждом офисе идёт через своего местного провайдера (VPN не используется для выхода в интернет).
🔐 Все подключения зашифрованы через IPsec.

1. Планирование и данные для настройки

Схема сети:

VPN-сеть: 10.255.255.0/24
VPN-шлюз (сервер): 10.255.255.1

Данные для офисов (пример):

Офис	Локальная сеть	Логин	Пароль	Фиксированный VPN IP
Офис 1	192.168.1.0/24	office1	pass1	10.255.255.10
Офис 2	192.168.2.0/24	office2	pass2	10.255.255.11
Офис 3	192.168.3.0/24	office3	pass3	10.255.255.12

Данные для администраторов:

Администратор	Логин	Пароль	Remote Address
Главный	admin	admin123	(авто)
Иванов	ivanov	ivanov123	(авто)

2. Настройка центрального сервера (MikroTik) — делается 1 раз

2.1 Создание Bridge и IP-адреса

1. **Bridge**: Winbox → ''Bridge'' → ''+'' → Name: ''bridge-vpn'' → OK
2. **IP-адрес для Bridge**: Winbox → ''IP'' → ''Addresses'' → ''+'' → Address: ''10.255.255.1/24'', Interface: ''bridge-vpn'' → OK

2.2 Создание пула адресов и PPP профиля

1. **IP Pool**: Winbox → ''IP'' → ''Pool'' → ''+'' → Name: ''pool-l2tp'', Addresses: ''10.255.255.2-10.255.255.254'' → OK
2. **PPP Profile**: Winbox → ''PPP'' → ''Profiles'' → ''+''
  * **General**: Name: ''profile-l2tp'', Local Address: ''10.255.255.1'', Remote Address: ''pool-l2tp'', DNS Server: ''(оставить пустым)'', Only One: ''yes''
  * **Protocols**: Use Encryption: ''required'', оставить только ''mschap2'' → OK

2.3 Включение L2TP/IPsec сервера

Winbox → PPP → Interface → L2TP Server
Enabled: ✅
Default Profile: profile-l2tp
Max Sessions: 100
Use IPSec: required
IPSec Secret: MySecretKey123 (запомните этот ключ!)
Authentication: оставить только mschap2 → OK

2.4 Добавление пользователей

Офисы (с фиксированным VPN IP):

Winbox → PPP → Secrets → +

Для Офиса 1: Name: office1, Password: pass1, Service: l2tp, Profile: profile-l2tp, Remote Address: 10.255.255.10 → OK Для Офиса 2: Name: office2, Password: pass2, Service: l2tp, Profile: profile-l2tp, Remote Address: 10.255.255.11 → OK Для Офиса 3: Name: office3, Password: pass3, Service: l2tp, Profile: profile-l2tp, Remote Address: 10.255.255.12 → OK

Администраторы (без фиксации IP):

Winbox → PPP → Secrets → +
Name: admin, Password: admin123, Service: l2tp, Profile: profile-l2tp, Remote Address: (оставить пустым) → OK

2.5 Добавление статических маршрутов до локальных сетей офисов

Winbox → IP → Route → +

Dst. Address	Gateway	Comment
192.168.1.0/24	10.255.255.10	office1
192.168.2.0/24	10.255.255.11	office2
192.168.3.0/24	10.255.255.12	office3

2.6 Настройка Firewall

Winbox → IP → Firewall → Filter Rules

Правило 1 (разрешить трафик внутри VPN-сети):

Chain: forward, Src. Address: 10.255.255.0/24, Dst. Address: 10.255.255.0/24, Action: accept, Comment: VPN to VPN

Правило 2 (разрешить доступ из центральной локалки в VPN, опционально):

Chain: forward, Src. Address: 10.0.0.0/24, Dst. Address: 10.255.255.0/24, Action: accept, Comment: Local to VPN

Правило 3 (запретить всё остальное):

Chain: forward, Action: drop, Comment: Drop all else

> ⚠️ **Проверьте**: во вкладке ''NAT'' не должно быть правил с ''out-interface=bridge-vpn'' или ''src-address=10.255.255.0/24''.

3. Настройка удалённого офиса (MikroTik)

3.1 L2TP клиент

Winbox → Interfaces → + → L2TP Client
Вкладка General: Name: l2tp-central
Вкладка Dial Out:
- Connect To: (публичный IP центрального MikroTik)
- User: office1
- Password: pass1
- Allow: только mschap2
- Use IPSec: yes
- IPSec Secret: MySecretKey123
- Add Default Route: no ⚠️ ОЧЕНЬ ВАЖНО!
- OK

3.2 Назначение IP на туннеле

Winbox → IP → Addresses → +
Address: 10.255.255.10/24
Interface: l2tp-central → OK

3.3 Маршруты

До центральной сети (если нужна): Winbox → IP → Route → + → Dst. Address: 10.0.0.0/24, Gateway: 10.255.255.1 → OK
> ⚠️ Никаких маршрутов до других офисов не добавлять!

3.4 Firewall на удалённом роутере

Winbox → IP → Firewall → Filter Rules
Разрешить из VPN в локальную сеть: Chain: forward, Src. Address: 10.255.255.0/24, Dst. Address: 192.168.1.0/24, Action: accept
Разрешить из локалки в VPN: Chain: forward, Src. Address: 192.168.1.0/24, Dst. Address: 10.255.255.0/24, Action: accept

4. Настройка ноутбука администратора (Windows 10/11)

4.1 Создание VPN-подключения

1. **Пуск** → **Параметры** → **Сеть и Интернет** → **VPN**
2. **Добавить VPN-подключение**:
  * Поставщик VPN: ''Windows (встроенное)''
  * Имя подключения: ''VPN Центр''
  * Адрес сервера: ''(публичный IP MikroTik)''
  * Тип VPN: ''L2TP/IPsec с предварительным ключом''
  * Предварительный ключ: ''MySecretKey123''
  * Имя пользователя: ''admin''
  * Пароль: ''admin123''
  * **Сохранить**

4.2 Отключение шлюза по умолчанию (⚠️ ОЧЕНЬ ВАЖНО!)

1. **Панель управления** → **Центр управления сетями и общим доступом** → **Изменение параметров адаптера**
2. Правой кнопкой мыши по **VPN Центр** → **Свойства**
3. Вкладка **Сеть** → выберите **IP версии 4 (TCP/IPv4)** → **Свойства**
4. Нажмите **Дополнительно** → **СНИМИТЕ** галочку «Использовать основной шлюз в удалённой сети»
5. Нажмите **OK** → **OK** → **OK**

4.3 Подключение и проверка

1. Нажмите на значок сети в трее → выберите **VPN Центр** → **Подключиться**
2. Откройте **Командную строку** (cmd) и выполните:
<code>
ping 192.168.1.1   # Роутер Офиса 1 — должен отвечать
ping 192.168.2.1   # Роутер Офиса 2 — должен отвечать
ping 192.168.3.1   # Роутер Офиса 3 — должен отвечать
ping google.com    # Интернет — должен работать
</code>

5. Добавление нового администратора

Делается на центральном сервере за 30 секунд:

1. Winbox → ''PPP'' → вкладка **Secrets**
2. Нажмите **''+''**
3. Заполните поля:
  * **Name**: ''petrov'' (придумайте логин)
  * **Password**: ''petrov321'' (придумайте пароль)
  * **Service**: ''l2tp''
  * **Profile**: ''profile-l2tp'' (выберите из списка)
  * **Remote Address**: **оставьте это поле пустым** (это важно!)
4. Нажмите **OK**

Всё! Новый администратор готов.

Теперь пользователь petrov может настроить VPN на своём ноутбуке, используя:

Логин: petrov
Пароль: petrov321
Адрес сервера: (публичный IP центрального MikroTik)
Предварительный ключ: MySecretKey123

После подключения он автоматически получит доступ ко всем офисам.

Почему Remote Address пустой?

Тип пользователя	Remote Address	Почему
Офис (роутер)	✅ Указываем фиксированный	Чтобы маршрут на сервере (192.168.1.0/24 → 10.255.255.10) всегда работал.
Администратор (ноутбук)	❌ Оставляем пустым	Ему не нужен фиксированный IP. IP выдаётся из пула автоматически.

Удаление администратора

Когда сотрудник уволился или больше не нуждается в доступе:

1. Winbox → ''PPP'' → **Secrets**
2. Найдите пользователя (например ''petrov'')
3. Нажмите красный минусик **''-''** (удалить) или кнопку **Disable** (отключить)

6. Добавление нового офиса

6.1 На центральном сервере

1. **Добавить пользователя** (как в п. 2.4): Name: ''office4'', Password: ''pass4'', Remote Address: ''10.255.255.13''
2. **Добавить маршрут** (как в п. 2.5): Dst. Address: ''192.168.4.0/24'', Gateway: ''10.255.255.13'', Comment: ''office4''

6.2 На роутере нового офиса

Выполнить настройку по инструкции из **Раздела 3**, используя:
* Логин: ''office4''
* Пароль: ''pass4''
* VPN IP: ''10.255.255.13''
* Локальная сеть: ''192.168.4.0/24''

7. Удаление пользователя (офиса или администратора)

Winbox → PPP → Secrets
Найти пользователя → нажать - (удалить) или Disable (отключить)

После этого пользователь теряет доступ к VPN. Если это был офис — не забудьте также удалить маршрут до его локальной сети (IP → Route).

8. Шпаргалка: что и где настраивать

Где	Что делаем	Remote Address	Маршруты до других офисов
Центр	Пользователи офисов	✅ Фиксируем	❌ Не нужно (они на сервере)
Центр	Пользователи-админы	❌ Пусто (авто)	❌ Не нужно
Центр	Маршруты до сетей офисов	—	✅ Добавляем
Офис	L2TP клиент	Фиксированный IP с сервера	❌ НЕ добавлять
Офис	Firewall	—	Разрешить forward VPN↔локалка
Ноутбук	VPN подключение	—	Отключить шлюз по умолчанию

9. Диагностика и частые проблемы

Полезные команды

На центральном сервере (терминал Winbox):

# Кто подключен?
/ppp active print
 
# Маршруты до офисов
/ip route print where dst-address~"192.168"
 
# Посмотреть логи подключений
/log print where topics~"ppp"

На удалённом офисе (MikroTik):

# Статус туннеля
/interface l2tp-client print status
 
# Пинг до сервера
/ping 10.255.255.1

На ноутбуке (cmd):

# Какой IP получили в VPN?
ipconfig | findstr "10.255"
 
# Посмотреть маршруты
route print -4 | findstr "192.168"

Типовые проблемы и решения

Проблема	Вероятная причина	Решение
Ноутбук не подключается к VPN	Неправильный IPSec Secret или IP сервера	Проверьте предварительный ключ `MySecretKey123` и IP-адрес сервера.
Подключение есть, но пинг до офисов не идёт	Нет маршрутов на сервере или блокирует Firewall	Проверьте п. 2.5 (маршруты) и п. 2.6 (Firewall).
На ноутбуке после подключения пропал интернет	Не отключен шлюз по умолчанию	Выполните инструкцию из п. 4.2.
Офисы видят друг друга (а не должны)	На роутерах офисов добавлены маршруты до других офисов	Удалите на роутерах офисов маршруты до сетей других офисов.
Туннель падает через минуту	Проблема с keepalive	В PPP профиле на сервере установите `Keepalive Timeout: 30`.
Медленная работа	Проблема MTU	На L2TP интерфейсах установите MTU/MRU 1450.

10. Итог: что вы получили

✅ Центральный сервер (MikroTik): раздаёт IP, маршрутизирует трафик между администраторами и офисами.
✅ Офисы: подключаются к серверу, имеют доступ только в свою локальную сеть и (опционально) в центральную. Интернет — через своего провайдера.
✅ Администраторы: подключаются с ноутбуков, получают доступ ко ВСЕМ офисам по их локальным IP, интернет ноутбука не зависит от VPN.
✅ Масштабирование:
- Новый офис = новый пользователь (с фиксацией IP) + маршрут на сервере.
- Новый администратор = просто новый пользователь (с пустым Remote Address).

Antistatus 30.05.2026 19:53