VPN e tunnelIntermedio

L2TP/IPsec: accesso remoto per client legacy

Configura RouterOS v7 come server L2TP/IPsec per client road warrior Windows, macOS e iOS: abilitazione server, PPP secrets, firewall e configurazione client.

L2TP/IPsec è supportato nativamente da Windows, macOS e iOS senza installare app aggiuntive. L2TP fornisce il tunnel PPP (autenticazione utente), IPsec cifra il trasporto. La combinazione è più pesante di WireGuard ma massimizza la compatibilità con client legacy.

Abilitazione server L2TP con IPsec obbligatorio

# Abilita il server L2TP richiedendo IPsec (use-ipsec=require)
/interface/l2tp-server/server/set \
  enabled=yes \
  use-ipsec=require \
  ipsec-secret="SecretoPSK-Cambiami!" \
  default-profile=l2tp-profile \
  max-sessions=50

Profilo PPP e utenti

# Pool IP per i client VPN
/ip/pool/add name=pool-l2tp range=10.200.1.2-10.200.1.50

# Profilo PPP: gateway locale, pool remoto, DNS
/ppp/profile/add \
  name=l2tp-profile \
  local-address=10.200.1.1 \
  remote-address=pool-l2tp \
  dns-server=8.8.8.8,1.1.1.1 \
  use-encryption=required

# Crea utente VPN
/ppp/secret/add \
  name=mario \
  password="PasswordForte!2024" \
  service=l2tp \
  profile=l2tp-profile

Regole firewall per L2TP/IPsec

# Permetti UDP 1701 (L2TP), 500 e 4500 (IKE/NAT-T), ESP
/ip/firewall/filter/add chain=input protocol=udp dst-port=1701 action=accept comment="L2TP"
/ip/firewall/filter/add chain=input protocol=udp dst-port=500,4500 action=accept comment="IKE/NAT-T"
/ip/firewall/filter/add chain=input protocol=ipsec-esp action=accept comment="IPsec ESP"

Con use-ipsec=require il server rifiuta connessioni L2TP non cifrate. Non usare use-ipsec=yes (opzionale) in produzione: lascerebbe aperta la porta senza cifratura. La PSK (ipsec-secret) deve essere robusta: almeno 20 caratteri misti.

Configurazione client Windows 11

Impostazioni → Rete e Internet → VPN → Aggiungi VPN
Tipo connessione: L2TP/IPsec con chiave precondivisa
Inserire IP pubblico del MikroTik, nome utente e password
In Proprietà adattatore → Sicurezza: scegli MS-CHAPv2, deseleziona CHAP

Se più client si trovano dietro lo stesso NAT, possono avere conflitti con le SA IPsec. Soluzione: su ogni client abilita il registro di Windows per forzare l'incapsulamento UDP: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent → AssumeUDPEncapsulationContextOnSendRule = 2.

l2tpipsecroad warriorpppppp secretaccesso remotowindows vpnmacos vpnios vpnl2tp over ipsecuse-ipsecppp profile

Continua con

Quale VPN scegliere su RouterOS?WireGuard: tunnel site-to-site tra due sede WireGuard: accesso remoto road warrior IPsec IKEv2: tunnel site-to-site sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS