Proč se v roce 2025 pořád hledá „vpn mikrotik 2019“?

Jestli jsi tady kvůli dotazu „vpn mikrotik 2019“, pravděpodobně řešíš jedno z těchhle:

  • někde ve firmě běží starý MikroTik s VPN nastavenou v roce 2019 a bojíš se do toho sahat,
  • máš uložený starý návod z fór a chceš si ověřit, jestli je ještě bezpečný,
  • nebo právě konfiguruješ nový router, ale Google ti pořád hází články z roku 2019 a ty chceš něco aktuálního.

Od roku 2019 se svět VPN hodně posunul: do popředí se dostal WireGuard, protokoly se zpřísnily, přibylo varování před falešnými VPN aplikacemi (Google na ně v roce 2025 výslovně upozorňuje, protože některé kradou bankovní údaje a citlivá data moneycontrol, 30. 11. 2025), a streamovací služby víc bojují proti obcházení regionálních blokací.

V tomhle článku ti ukážu:

  • co z návodů „MikroTik VPN 2019“ je stále použitelné a co už je dnes risk,
  • jak bezpečně nastavit VPN na MikroTik RouterOS (L2TP/IPsec, WireGuard),
  • kdy dává smysl vlastní VPN na MikroTiku a kdy radši použít komerční VPN typu NordVPN,
  • konkrétní tipy pro české domácnosti, malé firmy i adminy.

Nečekej teoretickou přednášku – spíš „příručku admina“, který má v ruce šroubovák, ne powerpoint. 🙂

Co se od roku 2019 změnilo: stručný přehled

1. Protokoly: WireGuard na scéně

V roce 2019 se na MikroTiku běžně jelo:

  • PPTP – rychlý, ale dnes už prakticky nebezpečný,
  • L2TP/IPsec – rozumný kompromis pro Windows/Android/iOS,
  • SSTP – tunel přes HTTPS (TCP 443),
  • IPsec site‑to‑site – pro propojení poboček.

Dnes (2025):

  • PPTP ber jako no-go; používat ho kvůli kompatibilitě je jako zamykat dveře kancelářským špendlíkem.
  • L2TP/IPsec je pořád OK, když je dobře nastavený (silná šifra, dlouhé klíče).
  • WireGuard je nový standard – rychlý, jednoduchý a skvěle jde ručně nastavit třeba i na Androidu Ouest‑France, 30. 11. 2025.

2. Bezpečnostní standardy se zpřísnily

To, co bylo v roce 2019 „v pohodě“, je dnes brané jako slabé:

  • 1024bitové RSA klíče jsou mimo hru – míříme na 2048+.
  • MD5 a SHA1 už nebrat, používej SHA256 a silnější.
  • Hesla typu Firma2019! dnes jen vyvolají adminský facepalm.

Navíc se ukázalo, že velká část uživatelů nechápe, co se děje „uvnitř“ VPN. Toho začali zneužívat tvůrci falešných VPN aplikací – některé se vydávají za bezpečnostní nástroj, ale reálně jsou spyware a kradou bankovní údaje, zprávy a citlivá data moneycontrol, 30. 11. 2025. Proto je dnes mnohem důležitější ověřovat původ softwaru, který přes VPN pouštíš do sítě.

3. Streaming a geoblokace

Lidi dnes často řeší VPN kvůli streamingu:

  • sledování Premier League z jiných regionů TechRadar, 30. 11. 2025,
  • Netflix, Disney+, HBO Max v CZ/SK,
  • zahraniční TV aplikace.

Pro tohle MikroTik není ideální – neumí „hrát si“ s IP adresami v tolika zemích jako velké komerční VPN. MikroTik VPN je spíš pro přístup domů/firmy, ne pro lovení amerického katalogu Netflixu.

MikroTik RouterOS a VPN: co z něj dělá profi nástroj

MikroTik RouterOS je malý švýcarák:

  • VLAN – logické oddělení sítí bez nutnosti kupovat další routery.
  • VPN – podpora PPTP, L2TP, IPsec, SSTP, nově i WireGuard (na moderních verzích).
  • Firewall & NAT – flexibilní pravidla, port forwarding, ochrana před útoky.
  • QoS – řízení priorit (např. IPTV vs. VPN vs. download).
  • CAPsMAN – centrální řízení Wi‑Fi AP.

Výhoda MikroTiku je, že všechno běží přímo na routeru:

  • žádný další krabičkový VPN gateway,
  • máš centrální logy, centrální firewall,
  • můžeš snadno dělat site‑to‑site tunely mezi pobočkami.

Nevýhoda? Pokud to špatně nastavíš, špatně je celá síť. Proto:

  • nespoléhej na polofunkční návod z roku 2019 z fóra,
  • vždycky zkontroluj, jaké šifry a klíče dnes doporučuje MikroTik v dokumentaci,
  • odděluj jednotlivé typy provozu VLANkami (domácí Wi‑Fi vs. firemní VPN apod.).

Jak dnes bezpečně nastavit L2TP/IPsec VPN na MikroTiku (aktualizace k 2025)

Tenhle postup je záměrně „low‑drama“ – nemá být nejvíc hardcore, ale bezpečný a realistický pro českou domácnost nebo menší firmu.

Krok 1: Aktualizuj RouterOS

  1. Zjisti verzi: System → Packages.
  2. Pokud jsi někde kolem starých 6.x z roku 2019, zvaž upgrade na RouterOS 7.x (ale nejdřív záloha).
  3. Udělej backup:
    • System → Backup (ideálně i export konfigurace příkazem /export file=backup_YYYYMMDD).

Krok 2: Vytvoř IP pool pro VPN klienty

Ať se ti VPN klienti nemotají do hlavního DHCP rozsahu.

  • IP → Pools → Add
    • Name: vpn-pool
    • Addresses: např. 10.10.10.10-10.10.10.50

Krok 3: PPP profil

  • PPP → Profiles → Add
    • Name: vpn-profile
    • Local Address: IP MikroTiku v tunelu, např. 10.10.10.1
    • Remote Address: vpn-pool
    • DNS: nastavit vlastní DNS (MikroTik, Pi‑hole, nebo veřejné jako 1.1.1.1)

Krok 4: L2TP server

  • PPP → Interface → L2TP Server → Enable
    • Use IPsec: yes
    • IPsec Secret: silné heslo (generátor, aspoň 20 znaků)

Krok 5: Uživatelské účty

  • PPP → Secrets → Add
    • Name: např. honza-vpn
    • Password: dlouhé heslo (žádné „Firma2020!“)
    • Service: l2tp
    • Profile: vpn-profile

Krok 6: IPsec nastavení (silné šifry)

V RouterOS:

  • IP → IPsec → Profiles/Proposals
    • vypni staré slabé šifry (DES, 3DES),
    • nech AES‑256, SHA256,
    • DH group 14 a vyšší.

Krok 7: Firewall pravidla

Tady bývá největší bordel z roku 2019:

  • povol na WAN rozhraní příchozí L2TP/IPsec:
    • UDP 500 (IPsec IKE),
    • UDP 4500 (NAT‑T),
    • UDP 1701 (L2TP),
  • zároveň chraň router před bruteforce:
    • limit připojení za sekundu,
    • případně jednoduchý whitelist pro firemní IP, pokud víš, odkud se budeš připojovat.

Praktický tip: dávej log na pokusy o přihlášení na L2TP, první dny se podívej, co ti na to „klepe“ z internetu.

Krok 8: Nastavení na klientovi

Např. Windows 11:

  1. Nastavit nový VPN profil:
    • typ L2TP/IPsec s předem sdíleným klíčem (PSK) – to je ten IPsec Secret z routeru,
    • přihlašovací jméno/heslo dle PPP Secrets.
  2. Zkontroluj, že se po připojení dostaneš:
    • na vnitřní IP (NAS, kamera, server),
    • na internet (pokud tuneluješ vše).

Podobně se to nastavuje na Androidu/iOS, kdy L2TP/IPsec mají nativní podporu.

Kdy na MikroTiku použít WireGuard a kdy zůstat u L2TP/IPsec

WireGuard je v roce 2025 must‑know. Na MikroTiku (RouterOS 7+) ho najdeš v nabídce Interfaces → WireGuard.

Výhody WireGuardu na MikroTiku

  • velmi jednoduché nastavení (pár klíčů a adres),
  • vysoká rychlost i na slabším CPU,
  • dobře funguje přes NAT, mobilní sítě, roaming.

Kdy se hodí WireGuard

  • domácí přístup na NAS/Plex – na Mikrotiku WG server, v mobilu WG app; můžeš pak z chalupy koukat na filmy z domácího NAS, podobně jako se doporučuje NAS pro Plex servery Frandroid, 30. 11. 2025.
  • propojení poboček – jednoduchý site‑to‑site tunel, žádná IPsec magie.
  • mobilní pracovníci – manuální WireGuard profil v Androidu/iOS, podobně jako to popisují návody na ruční konfiguraci na Androidu Ouest‑France, 30. 11. 2025.

Kdy zůstat u L2TP/IPsec

  • když potřebuješ čistě nativní podporu bez instalace aplikací (někdy korporátní politika),
  • když máš starší zařízení nebo OS bez WireGuardu,
  • když už máš stabilní L2TP/IPsec infrastrukturu a nikdo si nestěžuje – pak WG můžeš brát jako „upgrade do budoucna“, ne hořák, který musíš nasadit zítra.

Vlastní MikroTik VPN vs. komerční VPN: co použít kdy

Hodně lidí si plete dvě věci:

  1. VPN na MikroTiku – ty jsi server, připojuješ se do své sítě.
  2. Komerční VPN (NordVPN, Proton VPN, atd.) – připojuješ se do sítě poskytovatele, který ti dává IP adresu z jiné země a brání tvůj provoz před sledováním.

Reálné scénáře z Česka:

  • Přístup do firmy z homeoffice: MikroTik VPN (L2TP/IPsec nebo WireGuard).
  • Přístup na domácí NAS/kamery z mobilu: MikroTik VPN.
  • Bezpečné surfování na veřejné Wi‑Fi, anonymita, ochrana před poskytovatelem: komerční VPN.
  • Odblokování zahraničních streamů, fotbalu, seriálů: komerční VPN (MikroTik s českou IP ti zahraniční katalog neodemkne).

U streamingu je navíc velké plus, že komerční VPN poskytovatelé aktivně řeší, aby jejich IP adresy fungovaly s velkými službami. Např. návody, jak sledovat Premier League odkudkoliv, běžně počítají s použitím kvalitní VPN a popisují konkrétní kroky pro změnu regionu TechRadar, 30. 11. 2025.

Kombinace, kterou používá spousta lidí:

  • doma/ve firmě: MikroTik VPN kvůli přístupu na interní zdroje,
  • na cestách: NordVPN (nebo jiná kvalitní VPN) v mobilu a notebooku kvůli Wi‑Fi v hotelu, kavárně a streamingu.

Rychlé srovnání: MikroTik VPN vs. komerční VPN

🧑‍💻 Scénář📡 MikroTik VPN🌍 Komerční VPN (např. NordVPN)
Přístup do domácí / firemní LANIdeální – ty jsi server, plná kontrolaNevhodné – nevidíš svou LAN
Odblokování streamingu (Netflix, sport)Omezené – jen tvoje česká IPVýborné – desítky zemí, optimalizované servery
Ochrana ve veřejné Wi‑FiDobré, ale musíš mít vlastní server stále onlineVelmi dobré – jedno kliknutí v aplikaci
Náročnost nastaveníStřední až vysoká – RouterOS, firewall, DNSNízká – appka, přihlášení, vybrat server
Měsíční nákladyŽádné (kromě HW/energie)Od pár eur měsíčně, ale většinou včetně podpory

Z tabulky je vidět, že MikroTik VPN a komerční VPN nejsou konkurenti, ale spíš dva různé nástroje. Jeden řeší přístup k tvým zařízením, druhý ochranu a geolokaci tvého provozu.

Jak adresovat typické chyby z návodů „MikroTik VPN 2019“

Když se podíváš na starší blogy a fóra, uvidíš spoustu věcí, které dnes už fakt nechceš kopírovat:

  1. PPTP jako hlavní VPN

    • Dnes nebrat. I když to „furt funguje“, bezpečnostně je to mimo.

  2. Slabé šifry v IPsec

    • Vypnout DES, 3DES, slabé DH skupiny; přejít na AES‑256 + SHA256 a vyšší DH.

  3. Stejná hesla pro všechny uživatele

    • Každý uživatel vlastní účet; když odejde z firmy, prostě smažeš jeho účet a neřešíš rotaci globálního hesla.

  4. VPN klienti ve stejné síti jako LAN

    • Radši vlastní subnet (např. 10.10.10.0/24) a pravidly ve firewallu řídit, kam smí a kam ne.

  5. Chybějící logování a monitoring

    • Nastav si logování připojení, aspoň základní přehled o tom, kdy se kdo připojil.

  6. Neaktualizovaný RouterOS

    • Router z roku 2019 s firmwarem, na který se tři roky nesáhlo, je slušný kandidát na problém. U kritické VPN radši plánovaný upgrade, než „ono to spadne samo“.

MaTitie: čas na show

Tady na Top3VPN běžně řešíme spíš velké komerční VPN, ale víme, že hodně z vás má doma nebo ve firmě MikroTik a bastlí si VPN sami. To je super – máš kontrolu a rozumíš, kudy ti tečou data.

Ale jakmile vyjedeš mimo svoji síť (cestování, hotel, letiště), nebo chceš koukat na streamy z jiných zemí, vlastní MikroTik už ti tolik nepomůže. Potřebuješ něco, co:

  • šifruje provoz na veřejné Wi‑Fi,
  • schová tvoji IP za jinou z desítek zemí,
  • je jednoduché na mobilu i notebooku,
  • a hlavně je ověřené a nespadá do kategorie podezřelých „fake VPN“, před kterými dnes varuje i Google.

Za mě dává v Česku dlouhodobě smysl NordVPN – rychlé servery, rozumná cena, hodně lokalit pro streaming a navrch funkce jako Threat Protection (blokování škodlivých webů a části reklam). V kombinaci s MikroTik VPN tím pokryješ jak přístup domů, tak bezpečné surfování a streaming.

🔐 Try NordVPN – 30-day risk-free

MaTitie z toho má malou provizi, ale tebe to nestojí nic navíc – spíš naopak, většinou se to váže na výhodnější cenu.

Krátký postup: jak zkombinovat MikroTik VPN a NordVPN v jedné domácnosti

Pokud chceš „best of both worlds“, můžeš to nastavit takhle:

  1. MikroTik VPN pro přístup domů

    • L2TP/IPsec nebo WireGuard server na MikroTiku.
    • Vlastní IP rozsah (např. 10.10.10.0/24).
    • Přístup na NAS, mikrotikovský CAPsMAN, domácí servery.

  2. NordVPN pro běžné surfování a streaming

    • Aplikace v notebooku, mobilu, případně na chytré TV.
    • Připojení přes protokol NordLynx (optimalizovaná implementace WireGuardu) Phonandroid, 30. 11. 2025 – dobrý poměr rychlost/bezpečnost.

  3. Rozumné rozdělení provozu

    • Interní věci (Plex, NAS, IP kamery) přes MikroTik VPN.
    • Všechno, co jde ven na internet, kde nechceš být lehce sledovatelný (Wi‑Fi v kavárně, zahraniční streaming), přes NordVPN.

Nemusíš být „enterprise admin“, aby ses v tom neztratil – jde spíš o to si promyslet, které scénáře chceš řešit a jak komfortně.

Další časté dotazy k „vpn mikrotik 2019“ (neformálně)

1. Musím přepisovat celou konfiguraci, když mám na MikroTiku starou VPN z roku 2019?

Nemusíš. Začni tím, že:

  • zkontroluješ RouterOS verzi,
  • projdeš IPsec šifry a vypneš staré (DES, 3DES, slabé DH),
  • změníš slabá hesla na dlouhá a unikátní,
  • dáš VPN klienty do vlastního rozsahu.

Teprve pak řeš přechod na WireGuard nebo složitější změny. „Refactor“ v jednom kroku bolí; lepší jsou malé, ale bezpečnostně významné úpravy.

2. Mám dávat celou domácí LAN přes komerční VPN?

Většinou ne. Lepší je:

  • mít VPN aplikaci na konkrétních zařízeních (notebook, mobil),
  • případně vytvořit zvláštní VLAN pro „VPN zařízení“ (např. TV box, herní konzole).

Celý dům trvale přes komerční VPN může rozbít některé služby (banky, lokální TV, chytré spotřebiče). Stačí, když „šifruješ to, na čem záleží“.

3. Je bezpečnější ručně nakonfigurovaný WireGuard nebo klikací aplikace od komerční VPN?

Když to uděláš dobře, ruční WireGuard je super bezpečný. Jenže „udělat dobře“ je přesně to, kde spousta lidí selže: klíče v mailu, žádná rotace, špatná práva. Aplikace od renomované VPN služby ti tohle často ohlídá za tebe, navíc přidá kill switch, únik DNS, automatické připojení na neznámých Wi‑Fi a podobně. Ideál? WireGuard na MikroTiku pro přístup domů, NordVPN app pro všechno ostatní.

Doporučené čtení k tématu bezpečnosti a VPN

  1. „Google warns users about fake VPN apps that steal banking details and personal data instead of protecting privacy“ – Moneycontrol (30. 11. 2025)
    Otevřít článek
    Krátký a praktický přehled, proč je rok 2025 zlomový, co se týče škodlivých „VPN“ aplikací.

  2. „Comment configurer un VPN WireGuard manuellement sur Android ?“ – Ouest‑France (30. 11. 2025)
    Otevřít článek
    Návod, jak si ručně zapsat WireGuard profil v Androidu – hodí se, když na druhé straně běží MikroTik.

  3. „How to watch Crystal Palace vs Manchester United: live stream Premier League 2025/26 game, TV channels, preview“ – TechRadar (30. 11. 2025)
    Otevřít článek
    Příklad, jak se v praxi používá VPN pro sledování fotbalu odkudkoliv – dobré pochopit, pokud řešíš streaming.

CTA: jak si NordVPN vyzkoušet vedle tvé MikroTik VPN

Pokud sis dočetl až sem, nejspíš to s VPN myslíš vážně. 🙂
MikroTik ti výborně pokryje přístup domů nebo do firmy, ale proti:

  • šmírování na veřejné Wi‑Fi,
  • omezování ze strany poskytovatele,
  • geoblokacím streamovacích služeb

se ti hodí něco dalšího.

NordVPN dlouhodobě patří mezi služby, které v našich testech vycházejí dobře:

  • rychlé servery a vlastní protokol NordLynx (postavený na WireGuardu),
  • široká podpora platforem (Windows, macOS, Linux, Android, iOS, některé TV a routery),
  • funkce navíc (kill switch, ochrana před škodlivými weby),
  • a hlavně 30denní garance vrácení peněz – když tě to neosloví, prostě si necháš vrátit peníze.

Ideální postup? Nech si MikroTik VPN tak, jak ji máš (jen ji bezpečně „dovypucuj“ podle článku) a k tomu si na měsíc nahodíš NordVPN na hlavní zařízení. Uvidíš sám, jestli ti kombinace dává smysl v praxi.

30 dní

Co je na tom nejlepší? Vyzkoušíte NordVPN úplně bez rizika.

Nabízíme 30denní záruku vrácení peněz — pokud nebudete spokojeni, vrátíme vám plnou částku do 30 dnů od nákupu, bez zbytečných otázek.
Přijímáme všechny hlavní platební metody včetně kryptoměn.

Získat NordVPN

Upozornění a závěr

Tenhle text vznikl kombinací veřejně dostupných informací, aktuálních článků o VPN a pomocí AI asistenta. Není to právní ani bezpečnostní audit tvé konkrétní sítě. Před většími zásahy do firemní infrastruktury si vždycky udělej zálohu, ověř postup v oficiální dokumentaci MikroTiku a u kritických systémů zvaž konzultaci s profesionálním správcem.