Инструменты пользователя
services:mikrotik_l2tp
Настройка L2TP/IPsec VPN на MikroTik
1. Планирование и данные для настройки
Схема сети
- VPN-сеть:
10.255.255.0/24 - VPN-шлюз (сервер):
10.255.255.1
Данные для офисов (пример)
| Офис | Локальная сеть | Логин | Пароль | Фиксированный VPN IP |
|---|---|---|---|---|
| Офис 1 | 192.168.1.0/24 | office1 | pass1 | 10.255.255.10 |
| Офис 2 | 192.168.2.0/24 | office2 | pass2 | 10.255.255.11 |
| Офис 3 | 192.168.3.0/24 | office3 | pass3 | 10.255.255.12 |
Данные для администраторов
| Администратор | Логин | Пароль | Remote Address |
|---|---|---|---|
| Главный | admin | admin123 | (авто) |
| Иванов | ivanov | ivanov123 | (авто) |
2. Настройка центрального сервера (MikroTik) — делается 1 раз
2.1 Создание Bridge и IP-адреса
- Bridge:
- Winbox →
Bridge→+→ Name:bridge-vpn→ OK
- IP-адрес для Bridge:
- Winbox →
IP→Addresses→+→ Address:10.255.255.1/24, Interface:bridge-vpn→ OK
2.2 Создание пула адресов и PPP профиля
- IP Pool:
- Winbox →
IP→Pool→+→ Name:pool-l2tp, Addresses:10.255.255.2-10.255.255.254→ OK
- PPP Profile:
- Winbox →
PPP→Profiles→+ - General: Name:
profile-l2tp, Local Address:10.255.255.1, Remote Address:pool-l2tp, DNS Server:(оставить пустым), Only One:yes - Protocols: Use Encryption:
required, оставить толькоmschap2→ OK
2.3 Включение L2TP/IPsec сервера
- Winbox →
PPP→Interface→L2TP Server - Enabled: ✅
- Default Profile:
profile-l2tp - Max Sessions:
100 - Use IPSec:
required - IPSec Secret:
MySecretKey123(запомните этот ключ!) - Authentication: оставить только
mschap2→ OK
2.4 Добавление пользователей
Офисы (с фиксированным VPN IP)
- Winbox →
PPP→Secrets→+
Для Офиса 1:
- Name:
office1, Password:pass1, Service:l2tp, Profile:profile-l2tp, Remote Address:10.255.255.10→ OK
Для Офиса 2:
- Name:
office2, Password:pass2, Service:l2tp, Profile:profile-l2tp, Remote Address:10.255.255.11→ OK
Для Офиса 3:
- Name:
office3, Password:pass3, Service:l2tp, Profile:profile-l2tp, Remote Address:10.255.255.12→ OK
Администраторы (без фиксации IP)
Для администратора admin:
- Name:
admin, Password:admin123, Service:l2tp, Profile:profile-l2tp, Remote Address: (оставить пустым) → OK
2.5 Добавление статических маршрутов до локальных сетей офисов
- Winbox →
IP→Route→+
| Dst. Address | Gateway | Comment |
|---|---|---|
| 192.168.1.0/24 | 10.255.255.10 | office1 |
| 192.168.2.0/24 | 10.255.255.11 | office2 |
| 192.168.3.0/24 | 10.255.255.12 | office3 |
2.6 Настройка Firewall
- Winbox →
IP→Firewall→Filter Rules
Правило 1 (разрешить трафик внутри VPN-сети):
- Chain:
forward - Src. Address:
10.255.255.0/24 - Dst. Address:
10.255.255.0/24 - Action:
accept - Comment:
VPN to VPN
Правило 2 (разрешить доступ из центральной локалки в VPN, опционально):
- Chain:
forward - Src. Address:
10.0.0.0/24(ваша центральная сеть) - Dst. Address:
10.255.255.0/24 - Action:
accept - Comment:
Local to VPN
Правило 3 (запретить всё остальное):
- Chain:
forward - Action:
drop - Comment:
Drop all else
>⚠️ Проверьте: во вкладке NAT не должно быть правил с out-interface=bridge-vpn или src-address=10.255.255.0/24.
3. Настройка удалённого офиса (MikroTik)
3.1 L2TP клиент
- Winbox →
Interfaces→+→L2TP Client
Вкладка General:
- Name:
l2tp-central
Вкладка Dial Out:
- Connect To:
(публичный IP центрального MikroTik) - User:
office1 - Password:
pass1 - Allow: только
mschap2 - Use IPSec:
yes - IPSec Secret:
MySecretKey123 - Add Default Route:
no⚠️ ОЧЕНЬ ВАЖНО! - OK
3.2 Назначение IP на туннеле
- Winbox →
IP→Addresses→+ - Address:
10.255.255.10/24 - Interface:
l2tp-central→ OK
3.3 Маршруты
До центральной сети (если нужна):
- Winbox →
IP→Route→+ - Dst. Address:
10.0.0.0/24 - Gateway:
10.255.255.1→ OK
>⚠️ Никаких маршрутов до других офисов не добавлять!
3.4 Firewall на удалённом роутере
- Winbox →
IP→Firewall→Filter Rules
Разрешить из VPN в локальную сеть:
- Chain:
forward - Src. Address:
10.255.255.0/24 - Dst. Address:
192.168.1.0/24 - Action:
accept
Разрешить из локалки в VPN:
- Chain:
forward - Src. Address:
192.168.1.0/24 - Dst. Address:
10.255.255.0/24 - Action:
accept
4. Настройка ноутбука администратора (Windows 10/11)
4.1 Создание VPN-подключения
- Пуск → Параметры → Сеть и Интернет → VPN
- Добавить VPN-подключение:
- Поставщик VPN:
Windows (встроенное) - Имя подключения:
VPN Центр - Адрес сервера:
(публичный IP MikroTik) - Тип VPN:
L2TP/IPsec с предварительным ключом - Предварительный ключ:
MySecretKey123 - Имя пользователя:
admin - Пароль:
admin123 - Сохранить
4.2 Отключение шлюза по умолчанию (⚠️ ОЧЕНЬ ВАЖНО!)
- Панель управления → Центр управления сетями и общим доступом → Изменение параметров адаптера
- Правой кнопкой мыши по VPN Центр → Свойства
- Вкладка Сеть → выберите IP версии 4 (TCP/IPv4) → Свойства
- Нажмите Дополнительно → СНИМИТЕ галочку ✅ «Использовать основной шлюз в удалённой сети»
- Нажмите OK → OK → OK
4.3 Подключение и проверка
- Нажмите на значок сети в трее → выберите VPN Центр → Подключиться
- Откройте Командную строку (cmd) и выполните:
ping 192.168.1.1 # Роутер Офиса 1 — должен отвечать ping 192.168.2.1 # Роутер Офиса 2 — должен отвечать ping 192.168.3.1 # Роутер Офиса 3 — должен отвечать ping google.com # Интернет — должен работать
Администрирование, добавление офисов и администраторов (разделы 5–10)
5. Добавление нового администратора
Делается на центральном сервере за 30 секунд:
- Winbox →
PPP→ вкладка Secrets - Нажмите
+ - Заполните поля:
- Name:
petrov(придумайте логин) - Password:
petrov321(придумайте пароль) - Service:
l2tp - Profile:
profile-l2tp(выберите из списка) - Remote Address: оставьте это поле пустым (это важно!)
- Нажмите OK
Всё! Новый администратор готов.
Теперь пользователь petrov может настроить VPN на своём ноутбуке, используя:
- Логин:
petrov - Пароль:
petrov321 - Адрес сервера: (публичный IP центрального MikroTik)
- Предварительный ключ:
MySecretKey123
После подключения он автоматически получит доступ ко всем офисам.
Почему Remote Address пустой?
| Тип пользователя | Remote Address | Почему |
|---|---|---|
| Офис (роутер) | ✅ Указываем фиксированный | Чтобы маршрут на сервере (192.168.1.0/24 → 10.255.255.10) всегда работал |
| Администратор (ноутбук) | ❌ Оставляем пустым | Ему не нужен фиксированный IP. IP выдаётся из пула автоматически |
Удаление администратора
Когда сотрудник уволился или больше не нуждается в доступе:
- Winbox →
PPP→ Secrets - Найдите пользователя (например
petrov) - Нажмите красный минусик
-(удалить) или кнопку Disable (отключить)
6. Добавление нового офиса
6.1 На центральном сервере
- Добавить пользователя (как в п. 2.4):
- Name:
office4 - Password:
pass4 - Remote Address:
10.255.255.13(следующий свободный IP)
- Добавить маршрут (как в п. 2.5):
- Dst. Address:
192.168.4.0/24 - Gateway:
10.255.255.13 - Comment:
office4
6.2 На роутере нового офиса
Выполнить настройку по инструкции из Раздела 3, используя:
- Логин:
office4 - Пароль:
pass4 - VPN IP:
10.255.255.13 - Локальная сеть:
192.168.4.0/24
7. Удаление пользователя (офиса или администратора)
- Winbox →
PPP→ Secrets - Найти пользователя → нажать
-(удалить) или Disable (отключить)
После этого пользователь теряет доступ к VPN. Если это был офис — не забудьте также удалить маршрут до его локальной сети (IP → Route).
8. Шпаргалка: что и где настраивать
| Где | Что делаем | Remote Address | Маршруты до других офисов |
|---|---|---|---|
| Центр | Пользователи офисов | ✅ Фиксируем | ❌ Не нужно (они на сервере) |
| Центр | Пользователи-админы | ❌ Пусто (авто) | ❌ Не нужно |
| Центр | Маршруты до сетей офисов | — | ✅ Добавляем |
| Офис | L2TP клиент | Фиксированный IP с сервера | ❌ НЕ добавлять |
| Офис | Firewall | — | Разрешить forward VPN↔локалка |
| Ноутбук | VPN подключение | — | Отключить шлюз по умолчанию |
9. Диагностика и частые проблемы
Полезные команды
На центральном сервере (терминал Winbox):
# Кто подключен? /ppp active print # Маршруты до офисов /ip route print where dst-address~"192.168" # Посмотреть логи подключений /log print where topics~"ppp"
На удалённом офисе (MikroTik):
# Статус туннеля /interface l2tp-client print status # Пинг до сервера /ping 10.255.255.1
На ноутбуке (cmd):
# Какой IP получили в VPN? ipconfig | findstr "10.255" # Посмотреть маршруты route print -4 | findstr "192.168"
Типовые проблемы и решения
| Проблема | Вероятная причина | Решение |
|---|---|---|
| Ноутбук не подключается к VPN | Неправильный IPSec Secret или IP сервера | Проверьте предварительный ключ MySecretKey123 и IP-адрес сервера |
| Подключение есть, но пинг до офисов не идёт | Нет маршрутов на сервере или блокирует Firewall | Проверьте п. 2.5 (маршруты) и п. 2.6 (Firewall) |
| На ноутбуке после подключения пропал интернет | Не отключен шлюз по умолчанию | Выполните инструкцию из п. 4.2 |
| Офисы видят друг друга (а не должны) | На роутерах офисов добавлены маршруты до других офисов | Удалите на роутерах офисов маршруты до сетей других офисов |
| Туннель падает через минуту | Проблема с Keepalive | В PPP-профиле на сервере установите Keepalive Timeout: 30 |
| Медленная работа | Проблема MTU | На L2TP-интерфейсах установите MTU/MRU 1450 |
10. Итог: что вы получили
- ✅ Центральный сервер (MikroTik) — раздаёт IP и маршрутизирует трафик между администраторами и офисами.
- ✅ Офисы — подключаются к серверу, имеют доступ только в свою локальную сеть и (опционально) в центральную. Интернет работает через своего провайдера.
- ✅ Администраторы — подключаются с ноутбуков и получают доступ ко всем офисам по их локальным IP-адресам.
- ✅ Масштабирование:
- Новый офис = новый пользователь (с фиксацией IP) + маршрут на сервере.
- Новый администратор = новый пользователь с пустым
Remote Address.
Автор: Antistatus • 30.05.2026 19:56
services/mikrotik_l2tp.txt · Последнее изменение: — admin
Инструменты страницы
