IPSec configuratie op Mikrotik: complete handleiding & uitleg

Mikrotik
/ By Jean-Pierre Krickx

🔒 IPSec configuratie op Mikrotik RouterOS v7 complete handleiding

Wil je zelf een IPSec tunnel configureren op je Mikrotik router? In deze blog laten we stap voor stap zien hoe je een IPSec configuratie opzet. Geen eindeloos verhaal, gewoon wat werkt, inclusief de valkuilen waar je best op let. Met deze uitleg configureer je veilig een IPSec tunnel op je Mikrotik, zelfs als je hier weinig ervaring mee hebt. Klaar om te starten?👇

🔎 Uitleg bij de schets om de IPSec configuratie te verduidelijken

Op de afbeelding hierboven zie je een typische point-to-point IPSec tunnel tussen twee Mikrotik routers. Links heb je het lokale netwerk (LAN 1, bijvoorbeeld 192.168.1.0/24) dat via Router A verbinding maakt met het internet. Rechts zie je het tweede netwerk (LAN 2, bijvoorbeeld 192.168.2.0/24) achter Router B. De beveiligde verbinding, de IPSec tunnel loopt over het internet tussen beide Mikrotik routers. Alle verkeer tussen LAN 1 en LAN 2 wordt via deze tunnel versleuteld verstuurd. Voor de computers aan beide kanten werkt het alsof ze op één groot netwerk zitten, terwijl alles onderweg veilig blijft voor nieuwsgierige ogen. Zodra de tunnel actief is, kun je gewoon apparaten pingen of bestanden delen tussen beide locaties, alsof ze direct met elkaar verbonden zijn.

🛈 Let op:

Deze configuratie en screenshots zijn gemaakt met MikroTik RouterOS v7.19.3. Gebruik je een andere (oudere) versie? Sommige schermen of instellingen kunnen dan afwijken.

❓Waarom IPSec gebruiken?

IPSec is één van de bekendste en langst bestaande protocollen voor het versleutelen van netwerkverkeer. Veel routers (ook Mikrotik) ondersteunen het standaard, waardoor je relatief makkelijk een beveiligde verbinding tussen twee locaties kunt opzetten. Doch de IPSec configuratie is niet zo eenvoudig, dit omdat er heel wat instellingen moeten gebeuren om de IPSec tunnel te kunnen verwezenlijken. Laat ons eerst kijken naar de IPSec eigenschappen.

De voordelen:

Bewezen techniek: IPSec wordt al decennialang gebruikt in bedrijfsnetwerken en is daardoor goed getest.
Sterke encryptie: Je data is onderweg versleuteld en voor buitenstaanders niet leesbaar.
Breed ondersteund: Veel netwerkinfrastructuur kan overweg met IPSec, ook buiten Mikrotik.

Nadelen:

Configuratie kan complex zijn: Vooral bij NAT, verschillende providers of als je geen publiek IP-adres hebt, kan het instellen van IPSec lastig zijn.
Niet altijd de snelste oplossing: De encryptie kost soms wat extra rekenkracht, vooral op oudere routers.
Alternatieven bestaan: Soms is WireGuard, Zerotier, of OpenVPN eenvoudiger, flexibeler of sneller.

Wil je liever een moderne VPN die sneller te configureren is, of geen gedoe met poorten en NAT? Lees dan ook onze uitleg over WireGuard of ZeroTier. Daarin laten we zien hoe je op een andere manier een veilige verbinding maakt, vaak met minder technische obstakels. Welke oplossing voor jou het beste is, hangt af van je situatie en wensen.

❓Wat beschermt IPSec precies?

Confidentiality: IPSec versleutelt data, zodat alleen de zender en ontvanger de inhoud kunnen lezen.
Integrity: Met hashing algoritmen controleert IPSec of een datapakket onderweg niet is gewijzigd.
Authentication: De zender en ontvanger controleren elkaars identiteit voordat ze data uitwisselen.
Anti replay: IPSec zorgt dat pakketten in de juiste volgorde aankomen en nooit twee keer worden verzonden, waardoor replay attacks worden voorkomen.

Samengevat:

IPSec doet meer dan alleen data versleutelen zodat alleen de ontvanger ze kan lezen. Zoals je bij een VPN mag verwachten, wordt vertrouwelijkheid gegarandeerd. Maar er zijn nog meer veiligheidslagen:

Integriteit: Door hashing algoritmes (zoals SHA1, SHA256 of MD5) kan de ontvanger controleren of een pakket onderweg is gewijzigd. Beide routers gebruiken dezelfde hashing voor controle.
Authenticatie: De routers controleren elkaars identiteit, zodat je zeker weet wie aan de andere kant zit.
Anti replay: IPSec zorgt dat elk pakket uniek is en op volgorde aankomt, zodat herhalingsaanvallen (replay attacks) geen kans krijgen.

Kortom: bij een IPSec verbinding is niet alleen je data versleuteld, maar ook de betrouwbaarheid en controle van de verbinding goed geregeld. Hoe je dit praktisch instelt op Mikrotik, lees je in het stappenplan. We gaan de IPSec configuratie stap voor stap configureren.

🔎 Hoe lees je de IPSec bouwsteen afbeelding?

Als je naar de tekening kijkt, zie je dat elk onderdeel per rij meerdere blokjes bevat. Bij het instellen van een IPSec tunnel kies je voor één blokje per rij. Met andere woorden:

Bij het IPSec protocol maak je een keuze tussen AH of ESP (meestal ESP).
Voor confidentiality kies je bijvoorbeeld DES, 3DES of AES (tegenwoordig vrijwel altijd AES).
Voor integrity selecteer je een hashing algoritme zoals MD5 of SHA.
Authentication gebeurt via bijvoorbeeld PSK (Pre-Shared Key) of RSA (certificaat).
Voor de Diffie Hellman groep bepaal je of je bijvoorbeeld DH1, DH2, DH5 of een andere variant gebruikt.

Bij elke laag van IPSec maak je een keuze die bepaalt hoe je verbinding beveiligd wordt. Zo stel je de IPSec tunnel af op je eigen wensen en de compatibiliteit met de andere kant. We maken de IPSec configuratie zo duidelijk mogelijk zodat je volop kan genieten van een veilige VPN tunnel.

ℹ️ IPSec is een protocol suite:

Dit betekent dat IPSec uit meerdere samenwerkende bouwstenen bestaat, en dat er in de toekomst altijd nieuwe blokken of technologieën kunnen worden toegevoegd. Zo blijft IPSec flexibel en evolueert het mee met de nieuwste beveiligingsstandaarden.

❓Welke optie kies je voor je IPSec configuratie per bouwsteen?

1. IPSec Protocol: AH of ESP?

AH: Alleen authenticatie en integriteit, géén versleuteling.
ESP: Versleuteling en integriteit/authenticatie.

Beste keuze: ✅ ESP (veilig, standaard voor VPN’s)

2. Confidentiality (Encryptie): DES, 3DES, AES

DES/3DES: Oudere, zwakkere algoritmen (DES niet meer veilig; 3DES wordt ook afgeraden).
AES: Moderne, snelle en veilige encryptie.

Beste keuze: ✅ AES (liefst AES-256)

Beste keuze: ✅ AES (liefst AES-256)

3. Integrity (Hashing): MD5, SHA1, SHA256, …

Controleert of je data onderweg niet gewijzigd is.
MD5: Niet meer veilig.
SHA1: Kan nog, maar niet aanbevolen.
SHA256: Veiliger, moderne standaard.

Beste keuze:✅ SHA256

4. Authentication: PSK (Pre Shared Key) of Certificaat (RSA)

PSK: Eenvoudige geheime sleutel, makkelijk op te zetten.
RSA/Certificaat: Meer werk, maar veiliger en schaalbaarder (vooral bij veel gebruikers).

Beste keuze:

✅ PSK (voor simpele tunnels, 1-op 1)
✅ Certificaat (voor grotere of publieke omgevingen)

5. Diffie Hellman Group

Bepaalt de sterkte van de sleuteluitwisseling.
Lagere groepen zijn sneller, hogere zijn veiliger.

Beste keuze:

✅ DH14 (of hoger; bijvoorbeeld DH19, DH20 bij Mikrotik v7)
✅ Voor compatibiliteit is DH14 (2048 bits) een goede middenweg.

Transport mode vs Tunnel mode wat is de beste optie bij je IPSec configuratie?

De linkse afbeelding laat het verschil zien tussen de twee manieren waarop je IPSec kunt toepassen:

Transport mode:

Transport mode: Alleen de payload (data) wordt beveiligd, de originele IP-header blijft zichtbaar.
De originele IP-header blijft zichtbaar op het netwerk.
Meestal gebruikt tussen twee apparaten die direct met elkaar communiceren (bijvoorbeeld twee servers).

Tunnel mode:

Tunnel mode: Het hele originele IP-pakket (inclusief de IP-header) wordt beveiligd en “ingepakt” in een nieuw IP-pakket.
Je ziet dat er een extra IP-header aan toegevoegd wordt.
Dit is de standaard en aanbevolen manier bij een IPSec tunnel tussen twee netwerken (zoals tussen twee routers of kantoren).

Voor een IPSec tunnel tussen twee Mikrotik routers gebruik je bijna altijd Tunnel mode. Zo blijft al het verkeer tussen de netwerken echt privé.

Aanbevolen instellingen per bouwsteen voor een veilige IPSec configuratie

Bouwsteen	Opties (RouterOS v7)	Betekenis / Gebruik	Aanbevolen keuze
Protocol	AH/ESP	ESP = encryptie en authenticatie/integriteit. AH wordt zelden gebruikt.	ESP
Mode	Transport/Tunnel	Tunnel mode: het hele IP pakket wordt ingekapseld.	Tunnel
Exchange Mode	ike2	Moderne, veilige handshake. IKEv2 is sneller en beter voor mobiel/dynamisch gebruik.	ike2
Encryptie	AES-256-CBC, AES-256-GCM	Versleutelt de data onderweg. AES is veilig en snel, 256 bits is sterke standaard.	AES-256-CBC, AES-256-GCM
Hashing	SHA256	Controleert of data onderweg niet werd gewijzigd. SHA256 is robuust en wordt aanbevolen.	SHA256
PFS Group	modp2048 (DH14)	Bepaalt de sterkte van de sleuteluitwisseling (Perfect Forward Secrecy). DH14 is veilig en compatibel.	modp2048 (DH14)
Authenticatie	Pre-shared key (PSK)	Eenvoudige gedeelde geheime sleutel. Voor grote netwerken kun je ook certificaten gebruiken.	PSK
Policy-peer link	Peer-koppeling in policy	In de policy koppel je direct aan de peer, SA-adressen worden automatisch ingevuld.	Peer selecteren
Proposal	default / eigen naam	Instellingen voor encryptie en hashing. Je kunt de default aanpassen of een nieuwe aanmaken.	default (aangepast)

Uitleg bij de tabel

Protocol: Alleen ESP gebruiken, altijd tunnel mode.
Exchange mode: Kies IKE2 (moderne standaard, betere support).
Encryptie/Hashing: Gebruik sterke algoritmen.
PFS Group: DH14/modp2048 biedt goede balans tussen veiligheid en compatibiliteit.
Authenticatie: PSK is het makkelijkst; certificaten zijn voor gevorderden.
Policy-peer: Geen SA src/dst adres meer nodig, koppeling via peer in de policy.

🛡️Stappen plan: IPSec tunnel configureren op Mikrotik

Router1 (WAN-IP 10.10.10.2) configureren en uitleg

🕒 Tijd en datum juist instellen op beide routers

Een correcte tijd is essentieel voor een geslaagde IPSec configuratie. Als de tijd op je router niet klopt, lukt het opzetten van de IPSec tunnel vaak niet vanwege certificaat of authenticatie fouten. CLI-commando om NTP in te stellen:

/system clock print

Controleer nu de tijd:

/system ntp client set enabled=yes primary-ntp=162.159.200.123 secondary-ntp=162.159.200.1

Wil je alleen een eenvoudige oplossing? Gebruik de Cloudflare NTP servers hierboven (die werken wereldwijd en zijn snel).

📢 Let op:

Mikrotik v7: NTP is verplaatst naar /system ntp client (en niet meer SNTP). Je kunt in plaats van IP-adressen ook direct een pool gebruiken, maar Mikrotik accepteert officieel enkel IP-adressen.

🔗 IPSec Peer en Identity aanmaken op Router1

(WAN IP: 10.10.10.2)

Om een IPSec tunnel op te zetten, moeten beide Mikrotik routers weten met welk publiek IP-adres (of FQDN) ze een tunnel opzetten, en welke “pre-shared key” (geheime sleutel) wordt gebruikt. We gaan ervan uit dat router1 het WAN IP 10.10.10.2 heeft en router2 heeft het WAN IP 20.20.20.2

🔎 IPSec openen in Winbox/WebFig

Open Winbox of WebFig en klik in het linkermenu op IP
daarna op IPsec .Hier beheer je alle IPSec-instellingen: peers, policies, identities, enzovoort.

🔗 IPSec peer toevoegen in Winbox/WebFig

Klik bovenaan op het tabblad Peers
Klik op het blauwe plusje om een nieuwe peer toe te voegen.

🔗 Peer configureren op Router1 via Winbox/WebFig

Name Geef de verbinding een herkenbare naam, zoals “to R2”.
Address Vul het WAN IP-adres van Router2 in. In dit voorbeeld is dat 20.20.20.2.
Local Address Vul hier het WAN IP-adres van Router1 in. In dit voorbeeld is dat 10.10.10.2.
Exchange Mode Kies voor IKE2 (aanbevolen voor nieuwe opstellingen).
OK Klik op OK om de peer op te slaan.

🔄 Wat betekent “Exchange Mode” bij IPSec?

Wanneer je een IPSec tunnel opzet, moeten de routers eerst afspreken hoe ze veilig sleutels uitwisselen voordat ze echt kunnen gaan versleutelen. Die eerste “onderhandeling” noem je de exchange mode. Je kunt kiezen uit drie vormen: main, aggressive, of ike2.

📦 Simpele vergelijking

Stel je voor dat je twee mensen een geheime boodschap wilt laten uitwisselen:

Met “main” mode nemen ze netjes de tijd om elkaar uitgebreid te leren kennen voordat ze de geheime boodschap versturen.
Met “aggressive” mode willen ze snel, maar laten ze meteen hun naam en adres zien, dus minder privé.
Met “ike2” gebruiken ze een moderner en slimmer protocol om snel, veilig en flexibel hun geheime afspraak te maken, ook als hun adres soms wisselt.

🛡️ Welke modes zijn er bij de IPSec tunnel?

1. main (IKEv1 Main Mode)

Hoe werkt het?

Gaat in zes stappen.
IP-adres en identiteit blijven verborgen in de eerste uitwisselingen.

De 6 stappen van IKEv1 Main Mode (de “handshake”)

Initiator naar Responder: De eerste router (“initiator”) stuurt een voorstel voor beveiligingsinstellingen (zoals encryptie, hashing en DH-groep) naar de andere kant (“responder”).
Responder naar Initiator: De responder kiest uit de voorgestelde instellingen en stuurt een bevestiging terug.
Initiator naar Responder: De initiator stuurt zijn publieke Diffie-Hellman sleutel, en, indien gewenst, een ID.
Responder naar Initiator: De responder stuurt ook zijn publieke Diffie-Hellman sleutel, en een ID terug.
Initiator naar Responder: De initiator bewijst nu zijn identiteit door een cryptografische handtekening (of MAC), gebaseerd op de uitgewisselde sleutels.
Responder naar Initiator: De responder bewijst op dezelfde manier zijn identiteit.

Na deze 6 stappen: Is er een veilige tunnel opgezet, en kunnen verdere IPSec-pakketten beveiligd worden verzonden.

Wanneer gebruik je het?

Als beide routers vaste IP-adressen hebben.
Klassiek, ouderwets, veilig.

Voordeel: veiliger dan aggressive.
Nadeel: trager, werkt minder goed met dynamische IP’s.

2. aggressive (IKEv1 Aggressive Mode)

Hoe werkt het?

Sneller (drie stappen).
IP-adres en identiteit zijn meteen zichtbaar.

Wanneer gebruik je het?

Als één van de routers een dynamisch IP heeft en main mode niet werkt.
Voordeel: snel opzetten van de tunnel.
Nadeel: minder veilig; wordt afgeraden voor moderne netwerken.

3. ike2 (IKEv2 Mode)

Hoe werkt het?

Nog nieuwer, veiliger en flexibeler dan main/aggressive.
Ondersteunt meer opties voor moderne netwerken en mobiel gebruik.

Wanneer gebruik je het?

Standaardkeuze bij nieuwe opstellingen!
Werkt goed met vaste en dynamische IP’s.
Voordeel: veiliger, sneller, eenvoudig beheer bij veel tunnels.
Nadeel: Kan op oude apparatuur niet altijd ondersteund worden.

Waarom is IKEv2 “moderner, veiliger en flexibeler” dan main/aggressive?

1️⃣ Korter, sneller en eenvoudiger handshake

Waar IKEv1 (main/aggressive) 6 stappen nodig heeft, doet IKEv2 het in 4 stappen.
Minder kans op fouten, sneller opzetten van de tunnel, minder dataverkeer nodig om te starten.

2️⃣ Beter herstel bij onderbrekingen

Met IKEv2 kun je de verbinding eenvoudig en automatisch herstellen als je netwerk even uitvalt (bijvoorbeeld bij een haperende internetlijn of wisselen van wifi naar 4G).
Dit is ideaal voor mobiel werken, laptops en smartphones!

3️⃣ Dynamisch IP-adres? Geen probleem

IKEv2 werkt uitstekend als een van de kanten een wisselend (dynamisch) IP-adres heeft, zoals bij thuiswerkers of mobiele gebruikers.

4️⃣ Ondersteunt MOBIKE

IKEv2 kan gebruik maken van MOBIKE: hiermee blijft je VPN verbinding actief als je van internet verbinding wisselt (bijvoorbeeld van wifi naar 4G onderweg).

5️⃣ Beter beveiligd, minder kwetsbaar voor oude aanvallen

IKEv2 is beter bestand tegen bekende aanvallen op oudere IKEv1-implementaties.
Standaard moderne encryptie en betere authenticatie.

6️⃣ Eenvoudiger beheer bij veel tunnels

Bij veel gebruikers (of veel sites) is IKEv2 makkelijker te beheren, omdat je minder aparte instellingen hoeft te maken.

✅ Welke mode kies je best?

Kies altijd “ike2” als je de optie hebt.
Alleen als je moet koppelen aan oude routers die geen ike2 kennen, gebruik je “main mode.”
Gebruik “aggressive mode” alleen als niets anders werkt en je weet wat je doet.

💡Mijn advies

Bij een Mikrotik naar Mikrotik IPSec tunnel gebruik je altijd IKE2 (exchange mode: ike2). Je vindt deze optie bij het aanmaken van de peer.

🟣 Wat betekenen “Passive” en “Send Initial Contact” bij IPSec peers?

Passive:

Zet je deze aan, dan wacht de router totdat de andere kant de tunnel opzet. Gebruik dit als jouw router nooit als eerste contact moet maken, bijvoorbeeld bij een centrale “server” in een hub-and-spoke scenario. Meestal laat je dit UIT bij een standaard point-to-point tunnel, tenzij je een specifieke reden hebt.

Send Initial Contact:

Met deze optie aan stuurt jouw router bij het opzetten van een tunnel een “initial contact” melding naar de andere kant. Daarmee vraagt hij aan de andere router om oude tunnels met hetzelfde IP weg te gooien. Dit voorkomt dubbele of oude tunnels en zorgt voor een schone start.
Advies: vink deze AAN, zeker bij 1op1 tunnels.

💡 Mijn advies:

Vink “Send Initial Contact” aan als je dubbele tunnels wilt voorkomen. Zet “Passive” alleen aan als jouw router moet wachten op inkomende verbindingen.

4️⃣ Identity toevoegen in Winbox/WebFig

Ga naar het tabblad Identities (bovenaan).
Klik op het blauwe plusje (+) om een nieuwe identity toe te voegen.
Peer: Selecteer de naam van de peer die je net hebt aangemaakt (“to R2”).
Auth. Method: Kies voor “pre shared key”.
Secret: Vul hier een sterk wachtwoord in (dezelfde als op Router2!).
Klik op OK om op te slaan.

Klaar! Je IPSec-peer en identity zijn nu gekoppeld.

5️⃣ IPSec Proposal instellen in Winbox/WebFig

Ga naar het tabblad Proposals bovenaan.
Klik op het blauwe plusje (+) om een nieuwe proposal toe te voegen of dubbelklik op “default” om deze aan te passen.
Geef eventueel een herkenbare Name zoals “peer to peer”.
Zet een vinkje bij sha256 onder Auth. Algorithms, dit zorgt voor sterke integriteitscontrole.
Zet vinkjes bij aes-256-cbc (en eventueel aes-256-gcm) onder Encr. Algorithms, dit bepaalt de versleuteling.
Kies als PFS Group voor modp2048, dat is DH14, een veilige standaard voor sleuteluitwisseling.
Klik op OK (7) om op te slaan.

Je proposal is nu optimaal ingesteld voor een veilige en moderne IPSec-tunnel.

🔑 Wat is een IPSec Policy?

Een IPSec policy bepaalt welk netwerkverkeer over de beveiligde tunnel gaat. Je geeft aan van waar naar waar het verkeer mag lopen, welke encryptie moet worden toegepast en aan welke voorwaarden het verkeer moet voldoen. Denk aan de policy als een verkeersregel: "Alle data van netwerk A naar netwerk B moet door de IPSec-tunnel!”

📋 Uitleg van de belangrijkste velden bij het aanmaken van een policy:

Src. Address:

Source Address is het bronnetwerk dat je wilt versleutelen (meestal het interne LAN van deze router). Voorbeeld: 192.168.1.0/24

Dst. Address:

Destination Address is het doelnetwerk aan de andere kant van de tunnel. Voorbeeld: 192.168.2.0/24 (zie afbeelding bovenaan de blog).

SA Src. Address:

Security Association Source Address is het publieke (WAN) IP-adres van jouw eigen router.

SA Dst. Address:

Security Association Destination Address is het publieke (WAN) IP-adres van de router aan de andere kant.

Tunnel:

Vink dit aan om tunnel mode te gebruiken (standaard voor site-to-site VPN’s).

Action:

Meestal encrypt (data moet versleuteld worden).

Proposal:

Kies hier je proposal (bijvoorbeeld “default” of “peer to peer”) deze bepaalt welke encryptie & hashing wordt gebruikt.

Priority/Lifetime/Level:

Standaardwaarden zijn meestal prima, tenzij je heel specifieke eisen hebt.

Voorbeeld (visueel overzicht):

Veld	Waarde	Uitleg
Src. Address	192.168.1.0/24	LAN van deze router
Dst. Address	192.168.2.0/24	LAN van de andere router
Peer	to R2	De peer die je hierboven hebt aangemaakt
Tunnel	✅	Verkeer wordt ingepakt in tunnel mode
Action	encrypt	Data wordt versleuteld
Proposal	default / eigen naam	Instellingen voor encryptie en hashing
Protocol	255 (all)	Geldt voor alle netwerkprotocollen
Src./Dst. Port	(leeg)	Alleen invullen bij specifiek verkeer, meestal leeg

📌 Let op:

De velden SA Src. Address en SA Dst. Address hoef je niet meer in te vullen in RouterOS v7 als je de policy aan een peer koppelt. De router regelt dit automatisch.

✅ IPSec Policy instellen (RouterOS v7)

Tabblad Policies: Hier beheer je alle IPSec policies.
Peer: Kies de juiste peer die je eerder hebt aangemaakt (bijv. “to R2”).
Tunnel: Vink aan — zo wordt tunnel mode gebruikt (standaard bij site-to-site).
Src. Address: Vul hier je eigen LAN-netwerk in (bijvoorbeeld 192.168.1.0/24).
Dst. Address: Vul hier het LAN-netwerk van Router2 in (bijvoorbeeld 192.168.2.0/24).
Protocol: Laat op 255 (all) — zo geldt de policy voor alle verkeer.
Klik op het tabblad Action:

Action: Kies hier encrypt, zo wordt het geselecteerde verkeer daadwerkelijk versleuteld.
IPsec Protocols: Zet op esp (Encapsulating Security Payload), de standaard en aanbevolen optie voor beveiliging en encryptie.
Proposal: Kies het proposal dat je hebt aangemaakt of aangepast (meestal default met sterke instellingen).
Klik op het tabblad Status

Je hoeft deze velden dus NIET meer handmatig te configureren in het General tabblad. RouterOS v7 regelt dit automatisch wanneer je de policy koppelt aan een peer.
Klik vervolgens op Ok

💡 Wat zie je hier?

Op het Status tabblad van je IPSec policy vult RouterOS v7 automatisch het bron en bestemmingsadres (SA Src. Address en SA Dst. Address) in.

SA Src. Address is het WAN IP van deze router.
SA Dst. Address is het WAN IP van de andere kant van de tunnel.

✅ Je hoeft deze adressen dus niet zelf in te vullen: RouterOS doet het voor jou zodra je de policy koppelt aan een peer. Zo maak je minder snel fouten en werkt de tunnel eenvoudiger! Je ziet dat de IPSec tunnel configureren niet zo eenvoudig is is het niet?

🔥 Veilige firewall regels voor IPSec (RouterOS v7)

Stel:

Je eigen WAN IP is 10.10.10.2
De peer (andere router) heeft WAN IP 20.20.20.2

🔥Sta alleen IPSec toe vanaf de remote peer

/ip firewall filter add chain=input protocol=udp src-address=20.20.20.2 port=500,4500 action=accept
/ip firewall filter add chain=input protocol=ipsec-esp src-address=20.20.20.2 action=accept
/ip firewall filter add chain=input protocol=ipsec-ah src-address=20.20.20.2 action=accept

Regel 1: Alleen UDP verkeer voor poorten 500 (IKE) en 4500 (NAT Traversal) van de peer wordt toegelaten.
De regel 2: Alleen het eigenlijke IPSec ESP protocol (data in de tunnel) wordt aanvaard van de peer.
Regel 3: Alleen het AH-protocol (meestal niet nodig, maar veilig voor volledigheid) wordt toegelaten van de peer.

Extra uitleg voor beginners

Waarom deze regels?

Je staat enkel het noodzakelijke verkeer toe, en alleen vanaf het IP-adres van de andere router. Zo houd je je firewall zo veilig mogelijk, en kan niemand anders zomaar proberen je VPN te benaderen.

Waar moeten deze regels staan?

Bovenaan de filterlijst. Zo weet je zeker dat IPSec niet per ongeluk wordt geblokkeerd door andere regels.

Wat als de remote peer een dynamisch IP heeft?

Dan kun je een breder bereik toestaan (bijvoorbeeld het hele subnet van de provider), maar probeer dit altijd zo beperkt mogelijk te houden.

🔀 NAT bypass

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept
/ip firewall nat add chain=srcnat src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept

De twee NAT bypass regels moeten helemaal bovenaan komen te staan en dient op de twee routers geconfigureerd te zijn.

🔀 Wat doet de NAT bypassregel bij IPSec?

Normaal gesproken wordt op een MikroTik router al het uitgaande verkeer naar het internet “gemasquerd” bronadres gewijzigd naar het WAN-IP van de router. Dit gebeurt door je standaard NAT (masquerade) regel. Bij een IPSec site-to-site tunnel wil je juist NIET dat verkeer tussen de twee LAN’s door de tunnel gemasquerd wordt! Je wilt dat de pc’s aan beide kanten het échte IP-adres van elkaar zien. De NAT-bypassregel zorgt ervoor dat:

Verkeer van LAN1 naar LAN2 (en omgekeerd) via de tunnel niet door de masquerade/NAT-regel gaat.
Zo blijft het bron en doel IP-adres origineel en werkt je VPN correct.

Zonder NAT-bypass kan het verkeer wel in de tunnel terecht komen, maar wordt het bronadres veranderd naar het WAN-IP van de router. Hierdoor werkt terug verkeer niet goed of blokkeert de policy!

Zorg dat deze regels boven je gewone masquerade regels in de NAT lijst staan!. Anders werkt de bypass niet en blijft NAT alles overschrijven.

Samenvatting:

De NAT bypass regel voorkomt dat verkeer tussen beide LAN’s over de VPN door NAT masquerade wordt aangepast. Hierdoor werkt je IPSec tunnel zoals bedoeld!

💡 Tip:

Test na het toevoegen of de tunnel succesvol opkomt en verkeer doorlaat tussen beide LAN’s.

Router2 – Volledige IPSec configuratie

🕒Tijd & datum instellen via NTP

/system ntp client set enabled=yes primary-ntp=162.159.200.123 secondary-ntp=162.159.200.1

🔗 Peer configureren op Router1 via Winbox/WebFig

Klik op het tabblad Peers en klik op het blauwe plusteken.
Name Geef de verbinding een herkenbare naam, zoals “to R1”.
Address Vul het WAN IP-adres van Router2 in. In dit voorbeeld is dat 10.10.10.2.
Exchange Mode Kies voor IKE2 (aanbevolen voor nieuwe opstellingen).
OK Klik op OK om de peer op te slaan.

🔗 IPSec identity toevoegen

Ga naar het tabblad Identities.
Klik op het blauwe plusje (+) om een nieuwe identity toe te voegen.
Peer: Selecteer de naam van de peer die je net hebt aangemaakt (“to R1”).
Auth. Method: Kies voor “pre shared key”.
Secret: Vul hier een sterk wachtwoord in (dezelfde als op Router1!).
Klik op OK om op te slaan.

🔒 Proposal instellen

Ga naar het tabblad Proposals en klik op het blauwe plusteken om een nieuwe proposal toe te voegen of dubbelklik op “default”
Geef eventueel een herkenbare Name zoals “peer to peer” in dit geval laat ik de naam default staan .
Zet een vinkje bij sha256 onder Auth. Algorithms, dit zorgt voor sterke integriteitscontrole.
Zet vinkjes bij aes-256-cbc (en eventueel aes-256-gcm) onder Encr. Algorithms, dit bepaalt de versleuteling.
Kies als PFS Group voor modp2048, dat is DH14, een veilige standaard voor sleuteluitwisseling.
Klik op OK om op te slaan.

🔐 SHA512 bij IPSec Proposal (RouterOS v7)

SHA256 en SHA512 zijn beide moderne en sterke hash algoritmes die zorgen voor integriteitscontrole van je verkeer.
SHA512 is nog sterker dan SHA256, maar ook zwaarder voor de CPU.
In de praktijk is SHA256 ruim voldoende voor bijna alle scenario’s en is het bovendien breder compatibel met andere merken/routers.

Gebruik je alleen Mikrotik routers en krachtige hardware? Dan kun je gerust SHA512 kiezen voor maximale veiligheid.

Policy aanmaken

Tabblad Policies: Hier beheer je alle IPSec policies.
Peer: Kies de juiste peer die je eerder hebt aangemaakt (bijv. “to R1”).
Tunnel: Vink aan — zo wordt tunnel mode gebruikt (standaard bij site-to-site).
Src. Address: Vul hier je eigen LAN-netwerk in (bijvoorbeeld 192.168.2.0/24).
Dst. Address: Vul hier het LAN-netwerk van Router2 in (bijvoorbeeld 192.168.1.0/24).
Protocol: Laat op 255 (all) — zo geldt de policy voor alle verkeer.
Klik op het tabblad Action:

Action: Kies hier encrypt, zo wordt het geselecteerde verkeer daadwerkelijk versleuteld.
IPsec Protocols: Zet op esp (Encapsulating Security Payload), de standaard en aanbevolen optie voor beveiliging en encryptie.
Proposal: Kies het proposal dat je hebt aangemaakt of aangepast (meestal default met sterke instellingen).
Klik op het tabblad Status

Handmatig invullen van de SA-adressen is niet meer nodig: door de koppeling aan een peer zorgt RouterOS v7 automatisch voor de correcte instellingen. Dit is een pluspunt voor je IPSec configuratie, het vereenvoudigd het configureren van de IPSec tunnel.
Klik vervolgens op Ok

🔥 Firewall regels voor je IPSec tunnel in RouterOS v7

Je WAN IP is in ons geval 20.20.20.2
De peer, andere router heeft WAN IP 10.10.10.2

/ip firewall filter add chain=input protocol=udp src-address=10.10.10.2 port=500,4500 action=accept
/ip firewall filter add chain=input protocol=ipsec-esp src-address=10.10.10.2 action=accept
/ip firewall filter add chain=input protocol=ipsec-ah src-address=10.10.10.2 action=accept

Uitleg:

Alleen verkeer van het WAN IP van Router1 wordt toegelaten.
UDP-poorten 500 en 4500 zijn nodig voor IKE en NAT Traversal
ESP (en optioneel AH) zijn nodig voor de IPSec-tunnel zelf.
Voeg deze regels boven je algemene drop regels in de input chain.

Nat Bypass

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept
/ip firewall nat add chain=srcnat src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept

ℹ️ Voor meer uitleg over deze NAT bypass regels: Zie de configuratie en uitleg bij Router1 hierboven. Daar wordt stap voor stap uitgelegd waarom deze regels nodig zijn en wat ze precies doen.

✅ Controleer je IPSec verbinding (Active Peers)

Zo weet je dat je tunnel actief is:

Router1

Op beide routers zie je onder Active Peers een regel met de remote WAN IP, de status “established”, en meestal een “Uptime” van enkele minuten of langer.
Op Router1 zie je je eigen WAN-IP als “Local Address” en die van Router2 als “Remote Address”.
Op Router2 is dit precies gespiegeld.

Router2

De Side laat zien wie de “initiator” (degene die de tunnel opzet) en wie de “responder” is. Dit is normaal en maakt niet uit voor de werking.

💡Tip

Zolang je in beide schermen “established” ziet, is je IPSec-verbinding technisch opgezet! Zie je hier niets, of geen “established”? Check dan je instellingen, firewall en logs volgens de checklist hier beneden.

✅ Testen van je IPSec-tunnel vanaf een pc

1️⃣ Controleer je eigen IP-adres met ipconfig

In het rode vak zie je dat deze pc een IP-adres heeft in het netwerk 192.168.1.0/24 (hier: 192.168.1.254).
Dit is het LAN van Router1.

2️⃣ Ping naar remote LAN (ping 192.168.2.1)

In het groene vak zie je dat de pc succesvol de router2 in het andere netwerk (192.168.2.1) kan pingen.
Elk “Reply from 192.168.2.1” toont aan dat de tunnel functioneert.
Geen pakketverlies, latency is laag: alles werkt zoals het hoort!

We voeren de ping test uit in omgekeerde richting

1️⃣ Controleer je eigen IP-adres met ipconfig

In het rode vak zie je dat de pc een IP-adres heeft in het netwerk 192.168.2.0/24 (hier: 192.168.2.254).
Dit is het LAN netwerk van Router2.

2️⃣ Ping naar remote LAN (ping 192.168.1.1)

In het groene vak zie je dat de pc succesvol de router1 in het andere netwerk (192.168.1.1) kan pingen.
Elk “Reply from 192.168.1.1” toont aan dat de tunnel functioneert.
Geen pakketverlies, latency is laag: alles werkt zoals het hoort!

Met deze ping testen weten we dat beide routers bereikbaar zijn vanaf het andere netwerk. Maar… dit betekent nog niet automatisch dat al het verkeer (zoals bestandsdeling, RDP of printers) tussen beide LAN’s probleemloos werkt. Het is verstandig om ook andere netwerkdiensten te testen, en te controleren of eventuele firewalls of policies op de eindapparaten het gewenste verkeer toestaan.

❗ Ping naar toestel in ander LAN mislukt? Dit kan de oorzaak zijn!

1️⃣ Netwerkcontrole

In het rode vak: deze pc bevindt zich in 192.168.2.0/24.

2️⃣ Pingtest naar een device op het andere LAN

In het blauwe vak: de ping naar 192.168.1.253 (een pc achter Router1) geeft “Request timed out” en “Destination net unreachable”.

Mogelijke oorzaken:

Forward regels ontbreken op een van beide routers.
NAT bypass ontbreekt waardoor het verkeer niet goed door de tunnel gaat.
Host firewall op het doeltoestel (bijv. Windows firewall blokkeert ICMP van andere subnets).
Routing probleem (meestal niet bij standaard IPSec setup).

💡 Tip:

Controleer eerst de firewall forward regels op beide routers én de NAT bypassregels. Als dit juist staat, check dan de firewall op het eindapparaat zelf.

💡 Oplossing:

Voeg op beide routers de volgende forward regels toe om verkeer tussen de LAN’s mogelijk te maken:

/ip firewall filter add chain=forward src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept

Zorg dat deze regels boven je algemene drop regels staan.

Capturen met Wireshark

Deze capture is gemaakt op een router die het “internet” voorstelt. Je ziet hier alleen het versleutelde IPSec ESP verkeer tussen de publieke IP-adressen van beide sites. De werkelijke inhoud van het netwerkverkeer is op deze plek niet zichtbaar — alleen de headers van de ESP pakketten.

🔎 Vergelijking: LAN versus internet capture

Op het internet (of een router/firewall die het internet voorstelt): Zie je alleen het versleutelde ESP verkeer (zoals hierboven), tussen de publieke IP-adressen van beide sites. De originele gegevens zijn onleesbaar.
Op het LAN achter de router, voor de tunnel: Zie je het onversleutelde, normale netwerkverkeer (zoals pings, RDP, SMB, enzovoort) tussen de interne IP-adressen van beide netwerken.

Zo weet je precies waar je moet kijken om netwerk problemen te analyseren:

Controleer het LAN als je wilt zien wat er verzonden wordt.
Controleer de WAN/internet kant als je enkel wilt bevestigen dat de tunnel actief is en data verstuurt.

✅ Besluit

Met deze uitgebreide handleiding heb je stap voor stap geleerd hoe je een veilige IPSec site-to-site VPN tunnel opzet tussen twee MikroTik routers met RouterOS v7. Alle belangrijke onderdelen kwamen aan bod: van tijd instellingen en peers tot proposals, policies, firewall en NAT bypassregels. Dankzij deze configuratie kunnen beide LAN netwerken veilig en transparant met elkaar communiceren. Het is normaal dat je onderweg kleine obstakels tegenkomt, vaak zitten deze in de firewall of NAT instellingen. Met de troubleshooting tips en praktijkvoorbeelden uit deze gids spoor je problemen snel op en los je ze eenvoudig op.

Belangrijkste takeaways:

IPSec is flexibel en krachtig, maar vereist nauwkeurige configuratie aan beide kanten.
Firewall- en NAT bypassregels zijn cruciaal voor een werkende tunnel.
Test altijd vanaf verschillende apparaten en let op host firewalls.
Controleer regelmatig of de tunnel nog actief is (Active Peers, Installed SAs).

🔗 Verder lezen?

Wil je meer weten over andere beveiligingsopties, alternatieve VPN’s of het verder versterken van je netwerk? Bekijk dan ook zeker deze blogposts:

Zo kies je steeds de VPN oplossing die het beste bij jouw situatie past, en blijf je jouw netwerk actief beveiligen.
Veel succes en veilige netwerken gewenst! 🚀
Jean-Pierre

🔑 Remote access VPN instellen op MikroTik (RouterOS v7)

📱 Wat is een remote access VPN en wanneer gebruik je het?

Naast het koppelen van volledige netwerken via een site-to-site IPSec tunnel, wil je soms individuele computers veilig laten inloggen op je netwerk, waar ze zich ook bevinden. Dat is precies wat een remote access VPN mogelijk maakt. Met zo’n VPN oplossing kunnen meerdere gebruikers (bijvoorbeeld collega’s, thuiswerkers of jijzelf onderweg) vanaf hun eigen laptop, pc, tablet of smartphone veilig verbinding maken met je bedrijfsnetwerk of thuisnetwerk. Ze krijgen toegang tot interne bestanden, printers en applicaties, alsof ze lokaal zijn aangesloten. De meest universele en eenvoudig in te stellen oplossing op MikroTik routers is L2TP/IPSec. Deze combinatie wordt standaard ondersteund door Windows, macOS, Android en iOS — je hoeft dus geen extra software te installeren. In dit deel van de handleiding leggen we stap voor stap uit hoe je een veilige remote access VPN opzet met MikroTik RouterOS v7, zodat je altijd en overal veilig toegang hebt tot je netwerk.

🌐 Site-to-site vs. Remote access VPN: het verschil

Site-to-site VPN:

Verbindt twee of meer volledige netwerken permanent via een beveiligde tunnel. Alle toestellen aan beide kanten kunnen met elkaar communiceren, alsof ze op hetzelfde LAN zitten. Typisch voor filialen, kantoren of locaties die altijd met elkaar verbonden moeten zijn.

Remote access VPN:

Laat individuele gebruikers (laptops, pc’s, smartphones) van buitenaf apart inloggen op het netwerk. Ideaal voor thuiswerkers, mobiele gebruikers of tijdelijk extern toegang. Iedere gebruiker maakt zijn eigen VPN verbinding met de router.

Samengevat:

Site-to-site = netwerken koppelen
Remote access = individuele gebruikers toegang geven

🔑 Stappenplan: L2TP VPN server met IPSec op MikroTik (RouterOS v7)

Waarom kiezen voor L2TP met IPSec?

L2TP met IPSec is een populaire keuze voor remote access VPN’s omdat het universeel ondersteund wordt op vrijwel alle besturingssystemen zoals Windows, macOS, iOS, Android en Linux zonder extra software. Deze combinatie zorgt voor een makkelijke, stabiele en goed beveiligde verbinding naar je netwerk, zelfs voor gebruikers die onderweg zijn.

L2TP (Layer 2 Tunneling Protocol) zorgt voor de VPN-tunnel zelf.
IPSec versleutelt het verkeer en beschermt de verbinding tegen afluisteren en manipulatie.
De setup is relatief eenvoudig, zeker op MikroTik, en sluit perfect aan bij omgevingen waar meerdere mensen tegelijk moeten kunnen inloggen.

Kortom: L2TP/IPSec is de keuze als je een robuuste, veilige en breed ondersteunde remote access VPN wilt aanbieden voor je medewerkers, familie of jezelf. Nu we weten waarom we voor L2TP met IPSec kiezen, gaan we de VPN server stap voor stap configureren op onze MikroTik router.

🔑 L2TP VPN server met IPSec op MikroTik: stap voor stap

Lab situatie:

De MikroTik router heeft als LAN IP-adres 192.168.1.1/24.
Het WAN-IP is 10.10.10.2 (lab situatie).
De Configuratie is uitgevoerd met RouterOS v7.19.3.

1️⃣ L2TP-server inschakelen met IPSec

Klik in het linker menu op PPP
Selecteer bovenaan het tabblad L2TP Server

L2TP-server inschakelen Enabled aanvinken.
Protocol kiezen: l2tpv2 (hierover volgt nog uitleg).
Gebruik IPSec: Yes.
IPSec Secret: sterk geheim (gebruik een echt sterk wachtwoord).
Authentication: Alleen mschap2 aanvinken, de rest uit voor maximale veiligheid.
OK/Apply om op te slaan

🛠️ Stap voor stap uitleg L2TP server instellingen (Winbox)

2️⃣ Protocol kiezen:

Selecteer l2tpv2 bij het veld Protocol.
Waarom? L2TPv2 is de universele standaard en wordt ondersteund door Windows, macOS, Android en iOS. L2TPv3 is niet geschikt voor remote access met gewone toestellen.

3️⃣ Use IPSec

Zet Use IPSec op yes.
Hierdoor wordt alle VPN verkeer beveiligd met IPSec encryptie (sterke versleuteling).

4️⃣ IPSec Secret

Vul een sterk wachtwoord in bij IPSec Secret.
Bijvoorbeeld: een lange zin met cijfers, hoofdletters, kleine letters en speciale tekens.
Dit is de “pre-shared key” die je straks op je cliënt apparaten ook moet invullen.

5️⃣ Authentication

Vink alleen mschap2 aan.
Laat mschap1, chap en pap uitgevinkt voor de beste beveiliging.
MSCHAPv2 is de sterkste van deze opties en wordt goed ondersteund door moderne besturingssystemen.

6️⃣ Bevestigen

Klik op OK om de instellingen op te slaan en de L2TP-server te activeren. Je L2TP-server is nu geactiveerd en beveiligd!

🗝️ Welke authenticatie opties zijn zwak?

pap (Password Authentication Protocol): Onbeveiligd, verzendt wachtwoorden in platte tekst. Niet gebruiken!
chap (Challenge Handshake Authentication Protocol): Al wat beter, maar niet meer als veilig beschouwd.
mschap1: (Microsoft Challenge Handshake Authentication Protocol) De eerste versie, inmiddels verouderd en onveilig.
mschap2: De verbeterde versie, standaard bij VPN toepassingen zoals L2TP/IPSec.

💡Tip

Door alleen mschap2 toe te laten, verhoog je de veiligheid van je VPN server en voorkom je dat oude, onveilige authenticatieprotocollen nog gebruikt worden.

2️⃣ IP-pool aanmaken voor VPN gebruikers

Klik in het hoofd venster op IP.
Vervolgens op Pool.

Vul een duidelijke naam in, bijvoorbeeld L2TP_pool. Zo herken je makkelijk waar deze pool voor dient.
Geef een bereik op dat niet conflicteert met andere DHCP ranges, bijvoorbeeld 192.168.1.50-192.168.1.254. VPN gebruikers krijgen uit deze pool een IP-adres toegewezen zodra ze verbinden.
Klik op OK om de pool aan te maken en op te slaan.

3️⃣ Nieuw PPP profiel voor VPN gebruikers

We maken een profiel aan dat bepaalt welke IP-adressen de VPN gebruikers krijgen en welke DNS ze gebruiken.

Klik op PPP.
Vervolgens op Profiles.

Kies een duidelijke naam, zoals L2TP-Profile. Zo kun je dit profiel straks makkelijk toewijzen aan je gebruikers.
Dit is het IP-adres van de router zelf op het LAN, meestal je LAN-gateway (192.168.1.1).
Kies hier de pool die je daarnet hebt aangemaakt, bijvoorbeeld L2TP_pool. VPN clients krijgen uit deze pool hun IP-adres toegewezen.
Vul hier het IP-adres van je interne DNS-server in (vaak ook de LAN-gateway, zoals 192.168.1.1). Hierdoor werkt local network name resolution (DNS) ook voor VPN gebruikers.
Klik op OK om het profiel op te slaan.

4️⃣ VPN gebruiker toevoegen (PPP Secret)

Klik terug op PPP indien nodig.
Ga naar het tabblad Secrets.

Voer de gebruikersnaam in waarmee de gebruiker zal inloggen, bijvoorbeeld gebruiker1.
Geef een sterk wachtwoord op, liefst met hoofdletters, kleine letters, cijfers en speciale tekens.
Kies l2tp zodat deze gebruiker alleen via L2TP kan verbinden.
Selecteer het profiel dat je zojuist hebt aangemaakt, bijvoorbeeld L2TP-Profile. Zo krijgt deze gebruiker het juiste IP-adres en DNS-instellingen.
Klik op OK om de gebruiker aan te maken en op te slaan.

💡Tip

In MikroTik RouterOS zijn wachtwoorden (“password” bij PPP secrets, gebruikers en ook IPSec-secrets) maximaal 64 tekens lang. Als je een langer wachtwoord ingeeft, wordt het afgekapt op 64 karakters. Gebruik altijd een lang, uniek wachtwoord maar ga niet over de 64 karakters heen.

Geloof het of niet, maar je L2TP-server met IPSec is nu volledig geconfigureerd en klaar voor gebruik. Maar let op: De configuratie is pas echt veilig als je firewall correct is ingesteld. Met de juiste firewall regels zorg je ervoor dat alleen het noodzakelijke verkeer wordt toegelaten en blijft je netwerk optimaal beveiligd. We overlopen hieronder welke firewall regels je absoluut moet instellen voor een veilige en stabiele L2TP met IPSec VPN verbinding.

🔥 Firewall regels voor L2TP/IPSec VPN op MikroTik

1️⃣ Sta inkomend L2TP/IPSec verkeer toe

Voeg deze regels toe aan de input chain:

/ip firewall filter
add chain=input protocol=udp port=500,1701,4500 action=accept comment="L2TP/IPSec poorten"
add chain=input protocol=ipsec-esp action=accept comment="IPSec ESP"
add chain=input protocol=ipsec-ah action=accept comment="IPSec AH"

Hiermee sta je verbindingen toe vanaf het internet naar de router voor de VPN poorten.
Zorg dat deze regels boven de algemene drop regel staan in je firewall.

2️⃣ Geef VPN gebruikers toegang tot je interne netwerk (LAN)

/ip firewall filter
add chain=forward src-address=192.168.1.50-192.168.1.254 dst-address=192.168.1.0/24 action=accept comment="VPN naar LAN"
add chain=forward src-address=192.168.1.0/24 dst-address=192.168.1.50-192.168.1.254 action=accept comment="LAN naar VPN"

3️⃣ (Optioneel) NAT-regel voor internet via VPN

Wil je dat VPN clients via jouw router het internet op kunnen?

/ip firewall nat
add chain=srcnat src-address=192.168.1.50-192.168.1.254 out-interface=ether1 action=masquerade comment="VPN-clients internet"

⚠️ Let op:

Plaats deze regels boven je algemene “drop” of “reject” regels.
Laat de poorten alleen open als je L2TP/IPSec gebruikt. Gebruik sterke wachtwoorden en beperk indien mogelijk de toegang tot bekende IP-adressen.

💻 Windows 10/11 verbinden met L2TP/IPSec VPN (MikroTik)

Vooraf nodig:

Het publieke IP-adres van je MikroTik router (in dit lab 10.10.10.2).
Je gebruikersnaam en wachtwoord (PPP secret).
De IPSec pre-shared key (zoals ingesteld bij IPSec Secret)

1️⃣ Open het Netwerkcentrum

Klik rechtsonder op het netwerkicoon.
Kies Netwerk- en internetinstellingen openen.

Klik vervolgens op VPN

Ga naar VPN toevoegen

Naam: Naar hoofd kantoor. De naam van de verbinding. Kies iets herkenbaars!
Servernaam of adres: In ons geval 10.10.10.2 Het WAN-IP van je Mikrotik VPN server (of extern IP/domein).
VPN-type: L2TP/IPSec met vooraf gedeelde sleutel. Kies deze optie voor L2TP/IPSec.
Vooraf gedeelde sleutel: IPSec sleutel. De pre shared key (zoals ingesteld op je Mikrotik bij “IPSec Secret”).
Type aanmeldingsgegevens: Gebruikersnaam en wachtwoord. Kies “Gebruikersnaam en wachtwoord” (standaard voor Mikrotik L2TP).
Gebruikersnaam: gebruiker1. De gebruikersnaam die je bij “PPP Secrets” hebt aangemaakt.
Wachtwoord: Jouw gekozen wachtwoord. Het wachtwoord dat je bij de gebruiker (“PPP Secret”) hebt ingesteld.

💡 Tip:

Deze velden moeten exact overeenkomen met wat je op de Mikrotik server hebt geconfigureerd.
Werkt het niet? Controleer hoofdletters, spaties en firewall instellingen.

🔎 Wireshark analyse: IPSec verkeer via NAT-T op UDP 4500

In deze Wireshark screenshot zien we een typisch voorbeeld van IPSec NAT Traversal (NAT-T). Wanneer er een NAT router of firewall tussen de VPN peers zit, schakelt IPSec automatisch over naar UDP poort 4500 in plaats van het standaard ESP protocol (protocol 50).

Wat betekent dit concreet?

Source: 20.20.20.2
Destination: 10.10.10.2
Protocol: UDP
Destination Port: 4500 (ipsec-nat-t)

Onder “UDP Encapsulation of IPsec Packets” zie je dat het eigenlijke ESP verkeer wordt ingepakt in een UDP pakket. Zo kan het correct door een NAT router worden gestuurd, die anders problemen zou hebben met “pure” ESP pakketten. Waarop moet je letten?

UDP 4500, 500 en ESP moeten openstaan op tussenliggende routers/firewalls.
Zie je ESP in UDP 4500 in Wireshark? NAT-T werkt correct, je IPSec tunnel past zich aan de NAT situatie.
Blokkeer je UDP 4500, dan werkt de tunnel niet als er NAT in het pad zit.

👉Tip voor troubleshooting

Gebruik het Wireshark filter udp.port == 4500 om NAT-T verkeer snel te vinden, of esp om ESP direct te detecteren.

🟢 Wireshark filter: udp.port == 4500 – Analyseer NAT-T IPSec Verkeer

Deze screenshot toont een gefilterde Wireshark capture met het filter udp.port == 4500. Zo zie je in één oogopslag al het verkeer dat via UDP poort 4500 loopt, precies wat wordt gebruikt voor IPSec NAT Traversal (NAT-T).

👀Wat zie je hier?

ISAKMP (Internet Security Association and Key Management Protocol): Fase 1 van de IPSec handshake (IKE_SA_INIT & Identity Protection/Main Mode).
UDPENCAP NAT keepalive berichten houden de tunnel actief als er geen data wordt verzonden.
ESP (Encapsulating Security Payload): Eigenlijke versleutelde dataverkeer, ingepakt in UDP.
ICMP: Destination unreachable: Geeft aan dat een host tijdelijk niet bereikbaar was, kan bij troubleshooting helpen.

❓Waarom is dit nuttig?

Met het Wireshark-filter udp.port == 4500 zie je alle relevante NAT-T pakketten zoals:

Handshakes (ISAKMP)
Keepalive-berichten
Encrypted ESP-data.

Zo weet je direct of je IPSec-tunnel NAT Traversal gebruikt (meestal bij VPN doorheen internet). Dit helpt je snel bij troubleshooting: als je hier geen verkeer ziet, is er mogelijk een poort of NAT-probleem.

📊 Kort samengevat:

Deze weergave is ideaal om te checken of je tunnel werkt, waar het eventueel fout gaat en of de juiste poorten openstaan tussen je sites of clients.
Wil je hier nog een tip toevoegen over het combineren met esp als filter, of een kort kadertje met “Hoe interpreteer je errors zoals ICMP Destination unreachable?”

🛠️ Troubleshooting IPSec VPN met NAT-T (UDP 4500)

1️⃣ Zie je géén verkeer op UDP 4500 in Wireshark?

Controleer of NAT of masquerading actief is tussen client en server.
Check firewallregels: UDP 500, 4500 (en eventueel 1701 voor L2TP/IPSec) moeten openstaan op alle tussenliggende routers/firewalls.
Controleer of forwarding correct geconfigureerd is op je router.

2️⃣ Zie je alleen ISAKMP, maar geen ESP in Wireshark?

De handshake start, maar de tunnel komt niet volledig tot stand.

Oplossing:

Controleer of de “pre-shared key” aan beide kanten exact gelijk is.
Vergelijk encryptie- en hashing-algoritmes (vooral bij proposals/profiles).
Kijk naar tijdsynchronisatie (NTP instellen!).

3️⃣ Zie je ‘ICMP Destination Unreachable’

Dit betekent dat een host tijdelijk niet bereikbaar is, of dat er een probleem is met NAT/firewall.

Oplossing:

Controleer of de juiste router IP-adressen gebruikt.
Kijk of je NAT bypass correct bovenaan in de NAT-tabel staat.

4️⃣ Tunnel komt wél tot stand, maar geen data (geen ESP-pakketten):

Controleer of beide LAN-segmenten juist in je policies staan.
Kijk naar firewall rules: forward-regels voor verkeer tussen VPN en LAN.
Check NAT-bypass rules.

5️⃣ Test je verbinding:

Gebruik ping tussen hosts achter beide routers.
Kijk in WinBox onder Active Peers/SAs of de tunnel up is.
Gebruik Wireshark met filters:
udp.port == 4500 voor NAT-T
esp voor versleuteld verkeer.

💡 Extra tips

Synchroniseer tijd (NTP) op alle routers — tijdsverschil breekt IPSec.
Gebruik sterke, maar niet te lange pre-shared keys (max. 64 tekens).
Noteer altijd welk device NAT doet.

👀Let op:

NAT wordt uitgevoerd door je router, niet door een gewone modem. Alleen als je een modem-router met ingebouwde routerfunctie van je provider gebruikt, is er NAT in het spel. Controleer dus altijd of het apparaat tussen je Mikrotik en het internet een “bridge modem” geen NAT, of een “modem-router” wel NAT is.

📋Tenslotte

Met deze uitgebreide gids heb je nu een volledig beeld van hoe je een Mikrotik IPSec VPN tunnel opzet, test en beveiligt. Of je nu een site-to-site verbinding bouwt tussen twee locaties of een remote access scenario wil uitrollen: je weet nu hoe je stap voor stap elk onderdeel configureert, welke valkuilen je kan tegenkomen en hoe je deze snel oplost. Neem altijd de tijd om je configuratie goed te documenteren, je firewall regels te controleren, en eventuele NAT of netwerkproblemen tijdig te identificeren. Onthoud ook dat beveiliging voortdurend evolueert: blijf kritisch en up-to-date met de nieuwste best practices. Wil je dieper duiken in alternatieven, extra beveiliging of praktijkvoorbeelden? Check dan zeker ook mijn andere blogposts over WireGuard, ZeroTier, ProtonVPN en mijn uitgebreide handleidingen rond netwerkbeveiliging.
Veel succes met jouw Mikrotik-omgeving!
Jean-Pierre