Mikrotik L2TP VPN Kurulumu

Bu yazıda Mikrotik RouterOS üzerinde L2TP/IPsec tabanlı VPN sunucusunun adım adım nasıl yapılandırılacağını anlatacağız. Hedef senaryo: merkez ofisteki bir Mikrotik router'a; dışarıdaki kullanıcıların Windows, Android ve iOS cihazlarından yerel ağa bağlanabilmesi.

Ön Koşullar

• Statik veya dinamik DNS ile erişilebilir bir WAN IP.
• RouterOS 6.49+ veya 7.x.
• NAT arkasında değilseniz UDP 500 / 4500 portları açık olmalı.

## 1) L2TP Server'ın Açılması

/interface l2tp-server server
set enabled=yes use-ipsec=required ipsec-secret="SuperGuclu!2026" \
    default-profile=default-encryption authentication=mschap2

Use IPsec required olduğundan; tüm L2TP trafiği IPsec ile şifrelenir. Saldırganlar UDP 1701 üzerinden temiz trafik göremez.

2) IP Havuzu ve PPP Profile

/ip pool
add name=vpn-pool ranges=10.77.0.10-10.77.0.254

/ppp profile
add name=vpn-profile local-address=10.77.0.1 remote-address=vpn-pool \
    dns-server=10.10.0.1 change-tcp-mss=yes only-one=yes

3) Kullanıcı Tanımları

/ppp secret
add name=yavuz password="OrnekPassW0rd" service=l2tp profile=vpn-profile

4) Firewall Kuralları

L2TP/IPsec portları için:

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=500,4500,1701 comment="L2TP/IPsec"
add chain=input action=accept protocol=ipsec-esp comment="IPsec ESP"

5) İstemci Yapılandırması

Her üçünde de pre-shared key olarak SuperGuclu!2026 girilir.

Sorun Giderme

• /log print çıktısında "peer sent IKE message…" satırlarına bakın.
• NAT arkasındaysanız NAT-T (UDP 4500) açık olmalı.
• Windows'ta "modem uzak bilgisayardan yanıt alamadı" hatası ⇒ çoğunlukla ipsec-secret yanlış girilmiştir.

Sonuç

L2TP/IPsec hâlâ iş cihazlarında en yaygın desteklenen VPN protokolüdür. RouterOS ile 10 dakikada kurulur, her platformda çalışır. Daha sonraki yazıda WireGuard ile aynı senaryoyu göreceğiz.