VPN MikroTik。如何使用路由器构建安全隧道

让我们首先看看 VPN 可以解决的现实问题。您可能正在运行家庭网络或小型办公室，但安装 VPN MikroTik 系统将为您提供强大的隐私保护。

您的位置不应决定您可以访问的内容

如果没有 VPN，来自路由器的所有内容都会暴露，并且基于位置的服务将限制您的视图或操作。许多用户在旅行或远程工作时都会遇到服务被阻止的情况。通过 VPN，您的 IP 会被隐藏，您会看到通过完全不同的位置进行连接。

网络范围的保护变得简单

MikroTik 设备上的隧道将在特定时间保护您的整个网络，而不是在每台设备上安装 VPN 应用程序。这意味着所有连接到互联网的设备（例如您的工作笔记本电脑和智能电视）将自动通过您的 VPN 受到保护。

未加密的流量会让您容易受到攻击

当您使用默认设置时，您的出站流量（例如文件传输、登录或流媒体视频）可能会被拦截。良好的 VPN 隧道会对您的所有出站数据进行加密，使黑客、窥探者甚至您的 ISP 没有任何价值。

什么是 VPN 隧道以及 MikroTik 如何提供帮助

在进行配置之前，让我们先了解一下 VPN 隧道的工作原理，尤其是在 MikroTik 路由器上。

VPN 隧道就像一条安全管道，在您的设备和世界另一端的服务器之间传输数据。里面的所有信息都是加密的，这意味着即使有人设法偷看，他们也只能看到混乱的废话。

MikroTik 支持以下类型的 VPN 隧道协议：

• L2TP/IPsec。这是 MikroTik 上最常见的选项，它平衡了易用性和可靠的安全性。
• 开放VPN。更先进、更灵活，非常适合微调您的配置。
• PPTP。由于安全缺陷，不再推荐。
• 线卫。仍在为 MikroTik RouterOS 开发，但由于其速度和现代设计而对未来用户充满希望。

所有这些都是通过应用 IPsec 策略来实现的，IPsec 策略是定义流量应如何加密以及流量应流向何处的一组规则。

如何逐步设置 VPN MikroTik

如果您对 MikroTik 或一般网络不熟悉，请不要担心，我们将引导您详细了解所有内容。本指南介绍了如何设置 L2TP/IPsec VPN 隧道，这是 MikroTik 路由器和 VeePN 等 VPN 服务的安全且广泛支持的选项：

开始之前您需要什么

• 您的 MikroTik 路由器必须运行最新版本的 RouterOS。
• 您应该有权访问路由器的管理面板（通过 Winbox 或浏览器）。
• 您需要从 VeePN 等提供商处订阅有效的 VPN。
• 确保您知道您的 VPN 服务器 IP、用户名、密码和共享密钥 - 这些通常由您的 VPN 服务提供。

1.启用l2tp服务器

此步骤将打开 MikroTik 路由器的 VPN 服务器部分。

了解更多：如何在路由器上安装 VPN：最大限度提高网络安全性的分步指南

• 打开 Winbox 或通过浏览器登录路由器。
• 在主菜单中，单击 PPP（它代表点对点协议 — 不用担心名称）。
• 找到窗口顶部的“L2TP 服务器”选项卡。
• 单击“启用”复选框，L2TP 服务器开始接受连接。
• 在其下方，打开“使用 IPsec”选项。这确保隧道将被加密。
• 在“IPsec Secret”字段中，输入密码（也称为预共享密钥）。在设备上设置 VPN 连接时，您需要使用相同的密钥。但请让它足够强大。

2. 为VPN连接创建用户

您现在将创建 VPN 客户端（如 VeePN）用于连接的登录凭据。

• 仍在 PPP 部分下，切换到名为“Secrets”的选项卡。
• 单击“+”或“添加”创建新用户。
• 填写名称（这是您的 VPN 用户名）和密码（VPN 密码）。
• 在“服务”字段中，选择“L2TP”。
• 对于本地地址，输入路由器内部 VPN 接口的 IP 地址（例如：192.168.100.1）。
• 对于远程地址，指定 VPN 客户端连接时将使用的 IP（例如：192.168.100.2）。

这两个 IP 应位于同一子网中，并且不要在家庭网络的其他地方使用。

3. 配置 IPsec 策略和对等设置

现在我们将配置加密参数以及将 VPN 流量定向到 MikroTik 的位置。

• 转至左侧菜单中的 IP > IPsec。
• 单击“提案”选项卡并添加新提案。
  • 将其命名为 VeePN-proposal。
  • 在“身份验证算法”下，选择“sha1”。
  • 在 Enc 算法下，选择 aes-256。
  • 将 PFS 组设置为无。

接下来，转到“同行”选项卡：

• 单击添加新的。
• 对于“地址”，输入 VPN 提供商提供的“VPN 服务器 IP 地址”。
• 将“Auth Method”设置为预共享密钥，并输入您之前使用的相同密钥。
• 在“交换模式”下，选择主模式。
• 将“发送初始联系”设置为“是”，将“NAT 穿越”设置为“是”（如果您的路由器位于另一台路由器后面，这会有所帮助）。
• 将其他值保留为默认值，然后单击“确定”。

4. 通过 VPN 隧道路由 Internet 流量

建立隧道后，您需要引导设备的流量通过它。

• 进入“IP”>“路由”。
• 单击“添加新的”。
• 在 Dst。地址，类型 0.0.0.0/0 — 这意味着所有流量都将通过隧道。
• 在“网关”中，选择您之前设置的“远程地址”（例如192.168.100.2）。
• 您还可以转到“IP”>“防火墙”>“NAT”并添加伪装规则，以确保您的路由器知道如何代表网络中的设备发送和接收流量。

5. 测试您的 VPN 隧道是否有效

让我们确保一切正常：

• 打开 Winbox 中的“终端”（如果您更高级，则可以使用 SSH）。
• 输入：ping 8.8.8.8，然后按 Enter。如果 VPN 设置正确，您应该会收到回复。
• 尝试访问您所在地区之前被屏蔽的网站。如果加载 — VPN 隧道正在运行！
• 您还可以检查您的公共 IP 地址（只需 Google“我的 IP 是什么”）以确认它与 VPN 的服务器位置匹配。

如果出现问题，请转到 MikroTik 仪表板中的“日志”>“系统日志”。查找解释连接的哪一部分失败的消息。

设置 VPN MikroTik 时的常见问题

即使是经验丰富的用户在配置 VPN MikroTik 设置时也会遇到问题。以下是需要注意的事项：

IPsec 策略配置错误

当您的 IPsec 策略在两端（路由器和服务器）不匹配时，隧道甚至不会尝试连接。仔细检查您的预共享密钥、加密类型和 NAT 设置。

防火墙规则阻止流量

有时，MikroTik 的防火墙过于激进，会阻止隧道的形成。您可能需要在测试期间暂时禁用某些过滤规则。

连接因超时而断开

如果您发现 VPN 在几分钟后断开，可能是由于 NAT 穿越问题。启用“ipsec-nat-traversal”或增加 keepalive 设置。

日志没有提供有用的信息

转到“日志”>“设置”并启用详细日志记录。这将帮助您追踪进程中断的确切点。

为什么为 MikroTik 路由器选择 VeePN

并非每个 VPN 都是为 MikroTik 路由器构建的。然而，无论您是想保护家庭网络、小型办公室还是远程团队，VeePN 都会满足您的所有要求。

全球服务器覆盖

VeePN 在 89 个地点运行 2,500 多台服务器。这意味着您几乎可以在任何地方获得高速、可靠的连接。它是避免地理封锁、低延迟和国际速度提高的理想选择。

顶级安全和隐私

VeePN 使用 AES-256 加密标准加密您的所有数据，提供 OpenVPN 和 IKEv2 协议，并保护所有信息位。它不仅可以保护一台设备，还可以保护您的整个网络。

无日志政策

您的数据、流量和活动永远不会被存储或共享。 VeePN 严格的无日志政策即使在共享或公共 Wi-Fi 上也能确保完全的数字隐私。

无限带宽和速度

VeePN 对您可以使用的数量没有任何限制，并且不会限制。无论您是在玩游戏、流式传输高清视频还是传输大文件，您都将拥有流畅无阻碍的体验。

支持多种设备

一项订阅最多可保护 10 台设备。或者，更好的是 - 在 MikroTik 路由器上配置 VeePN 一次，所有连接的设备都会自动受到保护。

尝试无风险地使用 VeePN for MikroTik，因为我们提供 30 天退款保证。

常问问题

MikroTik 可以做 VPN 吗？

是的，MikroTik 路由器支持各种 VPN 协议，如 L2TP、OpenVPN 和 IPsec。您可以直接通过 RouterOS 创建客户端和服务器 VPN 隧道。

如何在 MikroTik 中设置 VPN？

为了在 MikroTik 上设置 VPN，您需要：

1. 登录路由器
2. 启用您想要的 VPN 服务器类型
3. 创建用户凭据并创建 IPsec 策略。
4. 引导交通通过隧道。

在本文中了解更多详细信息。

哪种 VPN 最适合 MikroTik？

像 VeePN 这样的 VPN 非常适合 MikroTik 路由器。它支持 L2TP/IPsec，具有严格的无日志政策、快速的服务器和简单的设置说明。在本文中了解更多详细信息。