настройка openvpn сервера на mikrotik
настройка openvpn сервера на mikrotik: неочевидные грабли и рабочие конфиги
Если вы решили поднять VPN на микротике, то настройка openvpn сервера на mikrotik — задача, которая кажется простой ровно до момента, пока не начинаются танцы с бубном из‑за MTU, сертификатов или внезапного отвала соединения при смене интерфейса. В этом гайде — никакой воды, только практика с примерами под российских провайдеров (Ростелеком, МТС) и сценариями, которые реально нужны: от обхода блокировок до защиты торрентов.
Почему OpenVPN, а не WireGuard, если у вас MikroTik?
На первый взгляд WireGuard быстрее, проще и моднее. Но на RouterOS (особенно на бюджетных моделях вроде RB750 или hAP lite) реализация WireGuard появилась поздно, а OpenVPN держится стабильнее, если нужно:
- Тонкая настройка аутентификации — через сертификаты X.509, с возможностью ревокации.
- Устойчивость к DPI — можно менять порт, обёртывать трафик в TCP‑443, маскироваться под HTTPS.
- Старый железо — OpenVPN может использовать аппаратное ускорение шифрования (AES‑NI) на CPU, но на слабых чипах MIPSбайты будет грузить больше, зато отказоустойчивость выше.
WireGuard на MicroTik хорош для связки Site‑to‑Site, но для клиентских подключений (ноутбук в кафе «КоФе» или телефон в метро) OpenVPN даёт больше контроля над маршрутизацией и разделением трафика.
Чего вам НЕ говорят в других гайдах
В типовых инструкциях вы найдёте команды /interface ovpn-server server set... и пример сертификата. Вам не расскажут о трёх вещах, которые ломают всю анонимность:
1. «Бесплатные» VPN на MicroTik — это fake
Если вы пытаетесь встроить чужой OpenVPN‑сервер (например, от бесплатного сервиса) в свой роутер, помните: такие конторы зарабатывают на продаже вашего трафика. Hola VPN, например, сдавала пользователей в ботнет за 5 центов за мегабайт. На MicroTik вы этот трафик не проконтролируете, а роутер станет узлом для атак. Никакого kill switch на дешёвых прошивках нет, и при переподключении OpenVPN ваши запросы «улетают» провайдеру напрямую.
2. Логирование на MikroTik — скрытая дыра
Даже если вы настроили OpenVPN без логов, RouterOS по умолчанию ведёт логи соединений в /log. Провайдер не имеет к ним доступа? Да, но при обыске или по требованию суда (ст. 186.1 УК РФ) эти логи могут изъять. Плюс «Ростелеком» или МТС могут заподозрить аномальный трафик по DPI — если ваш OpenVPN работает на стандартном порту UDP 1194, его легко заблокировать.
3. OpenVPN без perfect forward secrecy — прошлый век
Если используете сертификаты без установки ключа Диффи‑Хеллмана (DH), при компрометации приватного ключа сервера все прошлые сессии можно расшифровать. На MikroTik по умолчанию DH‑параметры не генерируются — нужно явно указать dh в конфиге. Иначе «совершенная прямая секретность» отсутствует.
Реальные сценарии: от халявного Wi‑Fi до утечек данных
Сценарий 1. Журналист в командировке
Нужно зайти в заблокированный Telegram (да, в некоторых регионах блокировка до сих пор работает), проверить почту. Ставите OpenVPN на сервер MikroTik дома, порт меняете на 443 TCP. Включите проверку сертификата клиента — если кто‑то подменит DNS, соединение не пройдёт.
Сценарий 2. Пользователь торрентов
Тут нужна защита от утечек DNS. Настройте split‑tunneling: весь трафик uTP через VPN, а обычный веб — напрямую (чтобы не грузить сервер). Микротик умеет маршрутизировать по протоколам через mangle. Предупреждение: если ваш торрент‑клиент не использует шифрование uTP, провайдер может увидеть хэши раздач через DPI.
Сценарий 3. Корпоративная защита удалённых сотрудников
Роутер MikroTik в офисе, клиенты подключаются через OpenVPN. Важно: не забудьте про kill switch — правило, которое блокирует весь трафик, кроме как через VPN, если соединение упало. На RouterOS это делается через firewall filter rule с условием out-interface-list=WAN и отбрасыванием пакетов, если интерфейс VPN недоступен. Иначе при обрыве tcp‑соединение пойдёт напрямую.
Сценарий 4. Защита от WebRTC‑утечек
OpenVPN на роутере не решает проблему, если в браузере включён WebRTC — ваш реальный IP может быть виден через ICE‑запросы. Решение: отключайте WebRTC в браузере или используйте расширения (uBlock Origin, WebRTC Leak Prevent). На MikroTik это не настроишь, но можно добавить правило: разрешить только DNS через VPN, а остальное — через ту же цепочку mangle.
Пошаговая настройка OpenVPN сервера на MikroTik с защитой от утечек
Ниже — рабочий пример для RouterOS v7. Предполагаем, что у вас есть публичный IP (статика или DDNS). Если нет — используйте VPS с OpenVPN (но это уже другая история).
Шаг 1. Генерация сертификатов на самом MikroTik
Нам нужно CA, серверный и клиентские сертификаты. Используйте PKI внутри RouterOS:
/certificate add name=CA days=3650 key-usage=key-cert-sign,crl-sign
/certificate sign CA ca-crl-host=...
/certificate add name=server days=3650
/certificate sign server ca=CA
/certificate add name=client1 days=365
/certificate sign client1 ca=CA
Важно: укажите subject-alt-name — IP вашего сервера, иначе клиент может ругаться на SAN.
Шаг 2. Настройка OpenVPN сервера
/interface ovpn-server server set certificate=server enabled=yes require-client-certificate=yes auth=sha1,sha256 cipher=aes256
/interface ovpn-server server set dh=yes port=1194 mode=ip
dh=yes генерирует параметры DH по умолчанию (длиной 2048 бит). Если хотите 4096, придётся импортировать внешний файл.
Шаг 3. Firewall и маскировка
/ip firewall nat add chain=srcnat out-interface=ovpn-out1 action=masquerade
/ip firewall filter add chain=input protocol=udp dst-port=1194 accept
Не забудьте открыть порт на провайдере (внешний брандмауэр). Для защиты от DPI можно замаскировать OpenVPN под HTTPS: используйте TCP‑443 и добавьте port-share — только для продвинутых.
Шаг 4. Kill switch
Если VPN падает — трафик не должен уходить напрямую. Создайте правило:
/ip firewall filter add chain=forward out-interface-list=WAN connection-mark=no-vpn action=drop
Но для этого нужно маркировать соединения, идущие через VPN. Проще: запретить весь forward на WAN, разрешив только из ovpn‑интерфейсов. Например:
/ip firewall filter add chain=forward src-address=10.8.0.0/24 action=accept
/ip firewall filter add chain=forward action=drop
Внимание: это «железобетонный» вариант — интернет не будет работать, пока не поднимется VPN.
Шаг 5. Предотвращение утечки DNS
На MikroTik DNS запросы могут ходить напрямую, даже если у вас есть VPN. Настройте:
/ip dns set servers=10.8.0.1
/ip dns set allow-remote-requests=no
И создайте правило NAT для DNS: chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53.
Шаг 6. Экспорт клиентского конфига
На клиенте (Windows/OpenVPN GUI) нужен файл .ovpn с сертификатом и ключом. Можно выгрузить через:
/cer export-certificate client1 export-passphrase="mypass"
Полученный файл конвертируйте в PEM и добавьте в .ovpn вместе с командами remote yourip 1194.
Сравнение OpenVPN vs WireGuard vs IPSec на MikroTik
| Параметр | OpenVPN (на MikroTik) | WireGuard | IPSec (IKEv2) |
|---|---|---|---|
| Аппаратная поддержка | AES‑NI (на x86), на MIPS — софт | нет ускорения, высокий CPU | есть аппаратная на новых чипах (Tilera) |
| Скорость на RB951 | ~30 Мбит/с (AES-256) | ~50 Мбит/с | ~60 Мбит/с (AES-128) |
| Надёжность kill switch | через filter rules | через routing table (не на всех версиях RouterOS) | сложная настройка через firewall |
| Устойчивость к DPI | высокая (можно TCP‑443) | средняя (фиксированные пакеты) | низкая (IKE характерен) |
| Аутентификация | X.509 с ревокацией | Pre-Shared Key или публичные ключи | EAP/IPSec |
| Поддержка роуминга | нет (разрыв при смене IP) | да (плавающий endpoint) | да (MOBIKE) |
| Цена (лицензия RouterOS) | не требуется отдельно | встроена с v7.2+ | встроена |
Из таблицы видно: OpenVPN проигрывает по скорости, но даёт гибкость в обходе блокировок. Для России с активным DPI это решающий фактор.
Вопросы и ответы (FAQ)
VPN замедляет интернет на сколько реально?
На MikroTik с OpenVPN задержка растёт на 10–50 мс (в зависимости от шифра). Скорость падает на 20–40% на слабых роутерах (RB750) и на 5–10% на x86. Для торрентов это критично, для веб‑сёрфинга — нет.
Меня найдёт спецслужба при использовании VPN?
Если вы используете OpenVPN с сертификатами и без логов, а ваш провайдер блокирует только по DPI, то найти сложно. Но если у вас динамический IP и вы не скрываете дату регистрации сертификата — при оперативно‑розыскных мероприятиях (ОРМ) могут запросить логи у хостера. К тому же ст. 274 УК РФ (неправомерный доступ к компьютерной информации) может быть применена, если вы используете VPN для доступа к запрещённым ресурсам. Совет: используйте только для защиты данных, а не для нарушения закона.
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии WireGuard (ChaCha20) надёжнее, так как кодовая база меньше и аудирована Cure53. OpenVPN использует более старые шифры (AES‑CBC), но при правильной настройке с DH и Perfect Forward Secrecy он остаётся безопасным. Утечки через WireGuard на MikroTik случаются из‑за неправильной маршрутизации (отсутствия kill switch).
Как проверить, не утекает ли DNS через OpenVPN на MikroTik?
Зайдите на ipleak.net и browserleaks.com/dns. Если там виден IP вашего «Ростелекома» или МТС — DNS не завернут в VPN. Решение: в настройках PPP‑профиля OpenVPN укажите `use-peer-dns=yes` и настройте NAT на 53 порт, как описано выше.
Почему на MikroTik OpenVPN отваливается каждые несколько минут?
Часто проблема в MTU. Попробуйте на клиенте `tun-mtu 1500` и `fragment 1400`. Или на сервере установите `default-profile mtu=1500`. Также проверьте, не блокирует ли провайдер UDP‑пакеты. Если да — переключитесь на TCP‑443 и включите keepalive: `keepalive 10 60`.
Что такое split‑tunneling на MikroTik и как его настроить?
Это разделение трафика: часть идёт через VPN, часть — напрямую. На MikroTik делается через маркировку пакетов в mangle. Например, весь трафик на 10.8.0.0/24 маршрутизируйте через VPN, а YouTube — напрямую, чтобы не грузить канал сервера. Команды: `/ip firewall mangle add chain=prerouting src-address=... action=mark-routing new-routing-mark=vpn`. Но будьте осторожны: при ошибке можно потерять доступ к серверу.
Бесплатный OpenVPN‑сервер на MikroTik — это миф? Где брать сервер?
Сам MikroTik может работать только как сервер OpenVPN, если у вас статический IP или DDNS. Но если вы хотите использовать чужой сервер (например, от рекламных «бесплатных VPN»), вы рискуете данными. Реальная аренда VPS с хорошим каналом стоит от 500 руб./мес. Ниже цена — значит, сервер живёт за счёт продажи трафика.
Полезные ссылки
Вывод
Настройка openvpn сервера на mikrotik — не просто три команды в консоли, а целая система мер по защите: от генерации DH‑парамет
Clear explanation of KYC verification. This addresses the most common questions people have.
One thing I liked here is the focus on how to avoid phishing links. The explanation is clear without overpromising anything.