Pular para o conteúdo principal

IPSec/L2TP com Mikrotik

Neste tutorial vamos configurar o lado do ISP da VPN IPSec/L2TP em um roteador Mikrotik (RouterOS). Diferente do WireGuard, aqui o Mikrotik roda o servidor L2TP e o Cpehub se conecta a ele como cliente, usando usuário, senha e a PSK do IPSec.

Como as duas pontas se encaixam

As credenciais que você cria aqui (usuário, senha e ipsec-secret) são exatamente as que você informa na tela Criar a VPN IPSec/L2TP no Cpehub. Elas precisam bater dos dois lados.

Mapa dos campos (Cpehub ↔ Mikrotik)

Campo no CpehubItem no MikrotikExemplo
IP Remoto (Equipamento do ISP)IP público do Mikrotik203.0.113.10
Porta RemotaPorta L2TP1701 (UDP)
Usuário VPNname do /ppp secretcpehub-olts
Senha VPNpassword do /ppp secret(sua senha)
IPSec PSKipsec-secret do L2TP Server(sua PSK)
Redes Remotasredes internas roteadas pela VPN192.168.100.0/24
IP Remoto de Testeum IP interno que responde a ping192.168.100.1

Configuração via terminal (recomendado)

Acesse o Mikrotik pelo terminal (Winbox → New Terminal, ou SSH) e execute os blocos abaixo, substituindo as senhas e a PSK pelos seus próprios valores.

Troque os segredos

Os valores de senha e ipsec-secret abaixo são apenas exemplos. Use senhas fortes e únicas, e nunca reutilize as deste tutorial.

1. Pool de IPs da VPN

Criamos um range de IPs para os clientes da VPN, começando no .10 para deixar os IPs iniciais livres para uso fixo/estático.

/ip pool add name=vpn-cpehub-pool ranges=172.31.255.10-172.31.255.200

2. Profile PPP

O IP do próprio Mikrotik na VPN será o .1.

/ppp profile add name=vpn-cpehub-profile local-address=172.31.255.1 \
remote-address=vpn-cpehub-pool dns-server=8.8.8.8,1.1.1.1

3. Usuários (PPP secrets)

Crie um usuário para cada conexão do Cpehub. Recomenda-se IP fixo (fora do range do pool) para os usuários de OLTs e ACS:

# Usuários com IP FIXO (.2 e .3, fora do range do pool)
/ppp secret add name=cpehub-olts password=SENHA_OLTS_EXEMPLO profile=vpn-cpehub-profile remote-address=172.31.255.2
/ppp secret add name=cpehub-acs password=SENHA_ACS_EXEMPLO profile=vpn-cpehub-profile remote-address=172.31.255.3

# (Opcional) Usuário com IP DINÂMICO — pega um IP do pool (.10 a .200)
/ppp secret add name=cpehub-dev password=SENHA_DEV_EXEMPLO profile=vpn-cpehub-profile

Usuário VPN e Senha VPN da tela do Cpehub correspondem ao name e password de um destes secrets. Use o cpehub-olts para a VPN do servidor Cpehub e o cpehub-acs para a VPN do servidor ACS.

4. Servidor L2TP + IPSec

Aqui habilitamos o servidor L2TP com IPSec. O ipsec-secret é a PSK que você informa no Cpehub:

/interface l2tp-server server set enabled=yes default-profile=vpn-cpehub-profile \
authentication=mschap2 use-ipsec=yes ipsec-secret=PSK_EXEMPLO_TROCAR

5. Firewall

Libere as portas do IPSec/L2TP e o encaminhamento da rede da VPN:

/ip firewall filter
add chain=input protocol=udp dst-port=500,4500 action=accept place-before=0 comment="L2TP/IPSEC"
add chain=input protocol=50 action=accept place-before=0 comment="L2TP/IPSEC (ESP)"
add chain=input protocol=udp dst-port=1701 action=accept place-before=0 comment="L2TP/IPSEC"
add chain=forward src-address=172.31.255.0/24 action=accept place-before=0 comment="L2TP/IPSEC Forward"
add chain=forward dst-address=172.31.255.0/24 action=accept place-before=0 comment="L2TP/IPSEC Forward"
  • UDP 500 e 4500 — negociação do IPSec (IKE / NAT-T).
  • Protocolo 50 (ESP) — pacotes criptografados do IPSec.
  • UDP 1701 — L2TP.

6. NAT (masquerade)

Para que os equipamentos alcançados pela VPN respondam corretamente:

/ip firewall nat add chain=srcnat src-address=172.31.255.0/24 action=masquerade

Configuração via Winbox (alternativa gráfica)

Se preferir a interface gráfica, os mesmos passos ficam em:

  • PPP → Profiles — crie o profile (local-address, pool em remote-address, DNS).
  • PPP → Secrets — crie os usuários (name/password/profile e, para IP fixo, remote-address).
  • PPP → Interface → L2TP Server — marque Enabled, Use IPsec = yes e informe a IPsec Secret (a PSK).
  • IP → Firewall → Filter Rules e NAT — adicione as regras da etapa 5 e 6.

Validação

  1. No Cpehub, cadastre (ou confira) a VPN em Criar a VPN IPSec/L2TP com o mesmo usuário, senha e PSK.
  2. Na listagem de VPNs, o status deve ficar Conectada.
  3. Faça um teste de ICMP (ping) a partir do Mikrotik para o IP da VPN do lado Cpehub, e informe no cadastro um IP Remoto de Teste interno que responda a ping.
Roteamento em outros equipamentos

Em alguns cenários é necessário criar rotas em outros equipamentos da rede para que eles conheçam o caminho de volta através da VPN.

Conclusão

Com o servidor L2TP + IPSec no ar e a VPN cadastrada no Cpehub, o sistema já consegue alcançar suas OLTs (ou o ACS alcançar os CPEs) por um túnel seguro.

Em caso de dificuldade, entre em contato com o suporte.