MikroTik

L2TP/IPSec VPN на MikroTik: настройка сервера и подключение клиентов

8 июня 2026 · 15 мин чтения

L2TP/IPSec — один из самых совместимых VPN-протоколов: встроенная поддержка в Windows, Android, iOS и macOS без установки дополнительного ПО. Настраиваем на MikroTik RouterOS 7.x с учётом типичных граблей.

Схема

Схема подключения: клиенты → L2TP/IPSec → MikroTik → LAN

Настройка сервера на MikroTik

1. Пул адресов для VPN-клиентов

/ip pool add name=l2tp-pool ranges=10.10.10.2-10.10.10.50

2. PPP-профиль

/ppp profile add name=l2tp-profile \
    local-address=10.10.10.1 \
    remote-address=l2tp-pool \
    dns-server=10.10.10.1 \
    use-encryption=required

3. Учётные записи пользователей

/ppp secret add name=user1 password=StrongP@ss123 \
    service=l2tp profile=l2tp-profile

4. Включаем L2TP-сервер

/interface l2tp-server server set \
    enabled=yes \
    default-profile=l2tp-profile \
    use-ipsec=required \
    ipsec-secret=MyIPSecKey456

5. Правила файрвола

# Разрешаем L2TP + IPSec
/ip firewall filter
add chain=input protocol=udp dst-port=500,1701,4500 \
    action=accept comment="L2TP/IPSec"
add chain=input protocol=ipsec-esp \
    action=accept comment="IPSec ESP"

Важно: правила нужно разместить выше запрещающих правил в цепочке input. Используйте place-before или перетащите в WinBox.

6. NAT для VPN-клиентов (доступ в LAN)

/ip firewall nat add chain=srcnat \
    src-address=10.10.10.0/24 \
    action=masquerade \
    comment="NAT for L2TP clients"

Подключение клиентов

Windows 10 / 11

Android

Создание VPN-подключения

Параметры → Сеть → VPN → Добавить VPN-подключение:

Поставщик VPN: Windows (встроенный)
Имя подключения: любое (например, Office VPN)
Адрес сервера: 203.0.113.1 (внешний IP MikroTik)
Тип VPN: L2TP/IPSec с общим ключом
Общий ключ: MyIPSecKey456
Логин / пароль: user1 / StrongP@ss123

Windows за NAT: если клиент находится за NAT-ом (роутер дома), нужно добавить ключ реестра, иначе подключение не установится:

:: Запустить cmd от администратора
reg add HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent ^
    /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2 /f

После этого перезагрузить компьютер. Без этого ключа Windows не может установить IPSec-соединение через NAT.

Windows 11 24H2+: в свежих версиях Windows 11 Microsoft изменила поведение IPSec. Если подключение падает с ошибкой 789 — попробуйте также перезапустить службу IKE and AuthIP IPsec Keying Modules.

Настройка на Android

Настройки → Сеть → VPN → Добавить VPN:

Название: любое
Тип: L2TP/IPSec PSK
Адрес сервера: 203.0.113.1
Общий ключ IPSec: MyIPSecKey456
Имя пользователя: user1
Пароль: StrongP@ss123

Android 12+: В новых версиях Android Google убрал поддержку некоторых VPN-протоколов из системных настроек. Если L2TP/IPSec PSK отсутствует в списке типов — используйте приложение strongSwan из Google Play.

Особенности Android

Always-on VPN — можно включить в настройках VPN (три точки → Always-on). Трафик пойдёт только через VPN.
Battery optimization — на MIUI/HyperOS (Xiaomi, Poco) отключите оптимизацию батареи для VPN, иначе система убьёт соединение в фоне.
IPv6 — если у оператора работает IPv6, а на MikroTik он не настроен для VPN — часть трафика может идти мимо туннеля. Решение: отключить IPv6 на мобильном подключении или настроить IPv6 на MikroTik.

Проверка работы

После подключения клиента проверяем на MikroTik:

# Активные подключения
/interface l2tp-server print

# Выданные адреса
/ip address print where interface~"l2tp"

# IPSec SA (должны быть established)
/ip ipsec installed-sa print

Если клиент подключён, но не видит ресурсы в LAN — проверьте NAT-правило и файрвол (chain=forward).