SARABEL
Vissza a cikkekhez
BLOG

MikroTik VPN beállítás lépései – WireGuard, L2TP és OpenVPN útmutató 2026

A vállalatok működése elképzelhetetlen biztonságos távoli hozzáférés nélkül. Legyen szó otthonról dolgozó munkatársakról, külső telephelyek közötti adatáramlásról vagy bizalmas céges rendszerek eléréséről, a MikroTik VPN beállítás kulcsfontosságú. A Virtual Private Network (VPN) technológia titkosított alagutat hoz létre az interneten keresztül, így biztosítva, hogy az adatok privátak és védettek maradjanak.

Miért érdemes pontosan MikroTik VPN-t használni? A MikroTik RouterOS alapú eszközei rendkívül rugalmasak és költséghatékonyak, széleskörű konfigurációs lehetőségeket kínálva a VPN kapcsolatokhoz. Egy megfelelően beállított MikroTik router központként szolgálhat a teljes céges hálózat számára, garantálva a biztonságos kapcsolatot bárhonnan.

Melyik VPN protokollt válassza?

Protokoll Sebesség Biztonság Kompatibilitás Beállítás nehézsége
WireGuard ⚡ Nagyon gyors 🔒 Kiváló Modern eszközök Közepes
L2TP/IPsec 🔄 Közepes 🔒 Megfelelő Minden eszköz Egyszerű
OpenVPN 🔄 Közepes 🔒 Kiváló Minden eszköz Nehezebb

Ajánlás: Ha modern eszközöket használ, válassza a WireGuard-ot. Ha régebbi kliensekkel is kompatibilisnek kell lennie, az L2TP/IPsec a legegyszerűbb. Az OpenVPN akkor ideális, ha maximális biztonságra és rugalmasságra van szükség.

1. WireGuard VPN beállítás MikroTikon

Miért válaszd a WireGuardot?

A MikroTik WireGuard az utóbbi évek egyik legdinamikusabban fejlődő VPN protokollja. Fő előnyei a sebesség, a modern kriptográfia és az egyszerűség. A WireGuard sokkal kevesebb kódsorból áll, mint elődei, ami minimalizálja a biztonsági rések lehetőségét és gyorsabb kapcsolatfelépítést eredményez.

Ez a protokoll különösen ideális, ha prioritás a gyors és megbízható távoli hozzáférés, alacsony erőforrás-igény mellett. Kiváló választás mobil eszközökhöz és folyamatosan online lévő felhasználók számára.

Fontos: A WireGuard csak RouterOS 7.1 vagy újabb verzióban érhető el!

Lépésről lépésre Winboxban

1. lépés – WireGuard interfész létrehozása

Nyisd meg a Winboxot, majd navigálj az Interface menüpontra. Kattints a WireGuard fülre, majd az Add New (+) gombra.

  • Name: wg-sarabel
  • Generálj Private Key-t a Generate gombbal – a Public Key automatikusan létrejön
  • Jegyezd fel a Public Key értékét, mert a kliensnek szüksége lesz rá!

2. lépés – IP cím hozzárendelése

Menj az IP > Addresses menübe, kattints az Add New (+) gombra:

  • Address: 10.10.10.1/24
  • Interface: wg-sarabel

3. lépés – WireGuard Peer beállítása (kliens)

Navigálj vissza az Interface > WireGuard menübe, válaszd ki az interfészt, majd a Peers fülön kattints Add New (+):

  • Public Key: (a kliens eszközön generált publikus kulcs)
  • Allowed Address: 10.10.10.2/32 (és ha belső hálózatot is el kell érnie: 10.10.10.2/32, 192.168.1.0/24)
  • Endpoint Address és Port: ha ismert (dinamikus IP esetén üresen hagyható)

Szakértői tipp: Mindig generálj egyedi kulcspárokat minden kliens számára a maximális biztonság érdekében!

Tűzfalszabályok beállítása

Port megnyitása:

  • IP > Firewall > Filter Rules > Add New (+)
  • Chain: input | Protocol: udp | Dst. Port: 13231 | Action: accept

Forgalom engedélyezése:

  • Chain: forward | In. Interface: wg-sarabel | Action: accept

NAT/Masquerade beállítása:

  • IP > Firewall > NAT > Add New (+)
  • Chain: srcnat | Out. Interface: ether1-gateway | Src. Address: 10.10.10.0/24 | Action: masquerade
/interface wireguard
add listen-port=13231 name=wg-sarabel private-key="YOUR_SERVER_PRIVATE_KEY"

/ip address
add address=10.10.10.1/24 interface=wg-sarabel network=10.10.10.0

/interface wireguard peers
add allowed-address=10.10.10.2/32,192.168.1.0/24 interface=wg-sarabel public-key="CLIENT_PUBLIC_KEY"

/ip firewall filter
add action=accept chain=input dst-port=13231 protocol=udp comment="Allow WireGuard VPN"
add action=accept chain=forward in-interface=wg-sarabel comment="Allow WireGuard traffic"

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=10.10.10.0/24 comment="NAT for WireGuard VPN"

2. L2TP/IPsec VPN beállítás MikroTikon

Mikor érdemes L2TP/IPsec-et használni?

Az MikroTik L2TP IPsec egy régebbi, de továbbra is széles körben használt VPN protokoll kombináció. Fő előnye a széles körű kompatibilitás: a legtöbb operációs rendszer (Windows, macOS, Linux, iOS, Android) beépített támogatással rendelkezik, így nem igényel külön kliens szoftvert. Akkor ideális, ha a könnyű beállíthatóság a kliens oldalon a prioritás.

Lépésről lépésre Winboxban

1. lépés – IP Pool létrehozása

Menj az IP > Pool menübe, kattints Add New (+):

  • Name: l2tp_pool
  • Ranges: 10.20.20.10-10.20.20.254

2. lépés – PPP Profil létrehozása

Menj a PPP > Profiles menübe, kattints Add New (+):

  • Name: l2tp_profile
  • Local Address: 10.20.20.1
  • Remote Address: l2tp_pool
  • DNS Server: 8.8.8.8

3. lépés – L2TP szerver engedélyezése

Menj a PPP > Interface > L2TP Server fülre:

  • Enabled: ✅
  • Default Profile: l2tp_profile
  • Authentication: mschap2
  • Use IPsec: ✅
  • IPsec Secret: (erős jelszó, pl. Titk0sJelszo!)

4. lépés – VPN felhasználók hozzáadása

Menj a PPP > Secrets menübe, kattints Add New (+):

  • Name: user1
  • Password: (erős jelszó)
  • Service: l2tp
  • Profile: l2tp_profile

Szakértői tipp: Az IPsec Secret és a felhasználói jelszavak legyenek erősek és egyediek. Soha ne használj könnyen kitalálható jelszavakat!

Tűzfalszabályok

/ip pool
add name=l2tp_pool ranges=10.20.20.10-10.20.20.254

/ppp profile
add local-address=10.20.20.1 name=l2tp_profile remote-address=l2tp_pool use-encryption=yes

/ppp l2tp-server
set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret="YOUR_IPSEC_SECRET"

/ppp secret
add name=user1 password=password123 profile=l2tp_profile service=l2tp

/ip firewall filter
add action=accept chain=input dst-port=500 protocol=udp comment="Allow IKE"
add action=accept chain=input dst-port=4500 protocol=udp comment="Allow NAT-T"
add action=accept chain=input protocol=ipsec-ah comment="Allow IPsec AH"
add action=accept chain=input protocol=ipsec-esp comment="Allow IPsec ESP"
add action=accept chain=input dst-port=1701 protocol=udp comment="Allow L2TP"

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=10.20.20.0/24 comment="NAT for L2TP VPN"

Kliens beállítás Windowson

  1. Beállítások → Hálózat → VPN → VPN hozzáadása
  2. VPN típusa: L2TP/IPsec titkos kulccsal
  3. Szerver neve: (a MikroTik publikus IP-je)
  4. Előmegosztott kulcs: (az IPsec Secret)
  5. Felhasználónév és jelszó: (a PPP Secrets-ben létrehozott adatok)

3. OpenVPN beállítás MikroTikon

Miért válaszd az OpenVPN-t?

A MikroTik OpenVPN az egyik legrobosztusabb és legrugalmasabb VPN protokoll. Rendkívül konfigurálható, képes működni TCP vagy UDP protokollon keresztül, különböző portokon. Akkor érdemes választani, ha a maximális biztonság, a tűzfalak áthatolása és a testreszabhatóság a legfontosabb szempont.

Tanúsítványok létrehozása

1. CA tanúsítvány:

  • System > Certificates > Add New (+)
  • Name: ca-server | Common Name: sarabel-ca
  • Key Usage: crl-sign, key-cert-sign
  • Kattints Sign → Self-signed

2. Szerver tanúsítvány:

  • Name: vpn-server | Common Name: vpn.sarabel.hu
  • Key Usage: tls-server
  • Sign → CA: ca-server

3. Kliens tanúsítvány (minden felhasználónak külön):

  • Name: vpn-client-user1 | Common Name: user1
  • Key Usage: tls-client
  • Sign → CA: ca-server

Szakértői tipp: Exportáld a CA tanúsítványt, a kliens tanúsítványt és kulcsot a System > Certificates > Export gombbal – ezekre szükség lesz a kliens beállításához!

OpenVPN szerver konfigurálása

PPP profil létrehozása:

  • PPP > Profiles > Add New (+)
  • Name: openvpn_profile
  • Local Address: 10.30.30.1
  • Remote Address: openvpn_pool (IP Pool: 10.30.30.10-10.30.30.254)

OpenVPN szerver beállítása:

  • PPP > Interface > OVPN Server
  • Enabled: ✅ | Port: 1194 | Mode: ip
  • Protocol: tcp | Certificate: vpn-server
  • Auth: sha256 | Cipher: aes256
  • Default Profile: openvpn_profile

Kliens konfigurációs fájl (.ovpn)

client
dev tun
proto tcp
remote VPN_SERVER_IP_OR_DOMAIN 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA256
verb 3

<ca>
--- CA TANÚSÍTVÁNY TARTALMA IDE ---
</ca>
<cert>
--- KLIENS TANÚSÍTVÁNY TARTALMA IDE ---
</cert>
<key>
--- KLIENS KULCS TARTALMA IDE ---
</key>

Tűzfalszabályok

/ip pool
add name=openvpn_pool ranges=10.30.30.10-10.30.30.254

/ppp profile
add local-address=10.30.30.1 name=openvpn_profile remote-address=openvpn_pool use-encryption=yes

/ppp ovpn-server
set auth=sha256 certificate=vpn-server cipher=aes256 default-profile=openvpn_profile enabled=yes port=1194 protocol=tcp

/ppp secret
add name=user1 password=password123 profile=openvpn_profile service=ovpn

/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp comment="Allow OpenVPN"
add action=accept chain=forward in-interface=ovpn-sarabel comment="Allow OVPN traffic"

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=10.30.30.0/24 comment="NAT for OpenVPN"

Gyakori hibák és hibaelhárítás

  • "Could not determine local IP" vagy kapcsolat sikertelen – Ellenőrizd, hogy a szükséges portok nyitva vannak-e: WireGuard 13231 UDP; L2TP/IPsec 500, 1701, 4500 UDP; OpenVPN 1194 TCP/UDP.
  • VPN kapcsolat felépül, de a hálózat nem látható – Hiányzó NAT szabály vagy routing probléma. Ellenőrizd a masquerade beállítást és a forward chain szabályokat.
  • Telekom/optika + MikroTik probléma – Egyes szolgáltatók blokkolják a VPN portokat. Megoldás: portátirányítás a szolgáltatói modemről a MikroTikre, vagy bridge mód bekapcsolása.
  • CG-NAT probléma – Ha a szolgáltató CG-NAT-ot használ, nincs nyilvános IP, így a VPN nem működik. Kérj nyilvános IP-t a szolgáltatótól!

Ha részletesebb hibaelhárításra van szükséged, olvasd el cikkünket: VPN kapcsolódási hibák: gyors megoldások és hibaelhárítás

Gyakori kérdések

Melyik a legjobb VPN protokoll MikroTikon 2026-ban?

A WireGuard a legjobb választás: gyors, modern és biztonságos. L2TP/IPsec akkor ajánlott, ha régebbi eszközöket is támogatni kell külön kliens szoftver nélkül.

Működik a MikroTik VPN CG-NAT mögött?

Sajnos nem. CG-NAT esetén a szolgáltató nem ad nyilvános IP-t, így a kívülről érkező VPN kapcsolat nem éri el a routert. Megoldás: nyilvános IP igénylése a szolgáltatótól.

Hány felhasználó csatlakozhat egyszerre MikroTik VPN-re?

Ez a router hardverétől függ. Egy RB750Gr3 általában 10-20 egyidejű kapcsolatot kezel kényelmesen, míg egy CCR sorozatú eszköz akár százakat is.

Hogyan ellenőrizhetem, hogy a VPN kapcsolat aktív-e?

WireGuard esetén a wg show parancs mutatja az aktív kapcsolatokat. L2TP és OpenVPN esetén a Winbox PPP > Active Connections menüpontban láthatja az aktív VPN munkameneteket.

Mi a különbség a full tunnel és split tunnel között?

Full tunnel esetén minden internetes forgalom a VPN-en megy át. Split tunnel esetén csak a belső hálózat felé irányuló forgalom megy a VPN-en, az internet közvetlen marad. Split tunnelhez az AllowedIPs mezőbe a belső hálózat IP tartományát kell megadni.

Összefoglalás

A MikroTik VPN beállítás sokrétű feladat, de a megfelelő tudással és gondossággal biztonságos és stabil távoli hozzáférést biztosíthat vállalkozása számára. Legyen szó a modern WireGuardról, a széleskörűen támogatott L2TP/IPsec-ről vagy a rugalmas OpenVPN-ről, a MikroTik platform kiváló alapot nyújt.

Fontos, hogy a konfigurációt alaposan teszteld, és figyelembe vedd a hálózatod egyedi igényeit. A biztonságos távoli hozzáférés nem luxus, hanem üzleti szükségszerűség.

Segítségre van szüksége a MikroTik VPN beállításához? Vegye fel velünk a kapcsolatot! Szakértőink örömmel segítenek a tervezésben, beállításban és üzemeltetésben.

További bejegyzések

Dockerizált Nextcloud vállalkozásoknak: Saját privát felhő biztonságosan és GDPR-kompatibilisen

Miért létfontosságú a stabil és biztonságos IT háttér a KKV-k számára?

Rendszergazdát keresel?

Vedd fel velünk a kapcsolatot, és segítünk céged informatikai hátterének stabilizálásában.

Elérhetőségeink

it@sarabelinformatika.hu
+36 30 661 9815

Kérdése van? Írjon nekünk üzenetet, vagy hívjon minket bizalommal munkanapokon.