openvpn сервер на mikrotik
openvpn сервер на mikrotik
OpenVPN на MikroTik: как не устроить дыру в сети
Подробный гайд по настройке OpenVPN сервера на MikroTik с учётом угроз DPI, утечек DNS и реальных рисков. Настрой правильно — защити трафик.
openvpn сервер на mikrotik — это не просто «включил и забыл». Многие администраторы считают, что раз MikroTik поддерживает OpenVPN, значит, всё работает «из коробки» безопасно. Это опасное заблуждение. Роутеры MikroTik (особенно линейки hAP, RB и CCR) действительно позволяют развернуть OpenVPN-сервер, но реализация имеет критические особенности: ограниченная поддержка современных криптографических алгоритмов, отсутствие TLS 1.3, проблемы с обработкой больших сертификатов и уязвимости к атакам типа downgrade. В этой статье мы разберём, как настроить openvpn сервер на mikrotik так, чтобы он не стал точкой входа для злоумышленников, а также покажем, когда лучше выбрать WireGuard или отказаться от идеи вообще.
Почему OpenVPN на MikroTik — не всегда хорошая идея?
MikroTik RouterOS изначально не был задуман как полноценная платформа для VPN. Его ядро оптимизировано под маршрутизацию и управление трафиком, а не под высоконагруженную криптографию. Вот ключевые ограничения:
- Отсутствие аппаратного ускорения шифрования на большинстве бюджетных моделей. Шифрование AES выполняется CPU, что при скоростях выше 50 Мбит/с приводит к 100% загрузке процессора.
- Поддержка только TLS 1.2 (на момент RouterOS v7.15). TLS 1.3 — недоступен, хотя именно он обеспечивает perfect forward secrecy без дополнительных телодвижений.
- Ограниченный размер сертификатов: RouterOS некорректно обрабатывает сертификаты длиннее 4096 байт. Попытка загрузить CA или клиентский cert большего размера вызывает silent-fail — соединение не устанавливается без понятной ошибки.
- Нет поддержки UDP-фрагментации. При блокировке DPI (например, Ростелекомом или МТС) пакеты OpenVPN часто фрагментируются, но MikroTik не умеет их корректно собирать, что вызывает постоянные reconnect’ы.
Это не значит, что OpenVPN на MikroTik бесполезен. Но использовать его стоит только в контролируемых сценариях: например, для удалённого доступа к домашней сети с одного-двух устройств, а не как публичный сервис или замену коммерческому провайдеру.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в RuNet сводятся к трём шагам: «создай сертификат → включи сервер → подключи клиент». Они умалчивают о критических рисках:
Бесплатные конфиги — это ловушка
Многие сайты предлагают «готовые .ovpn-файлы для MikroTik». За этим часто скрывается:
- Подмена DNS-серверов на рекламные (например, 8.8.8.8 заменяется на 185.86.148.10, который вставляет баннеры).
- Использование слабых DH-параметров (1024 бит вместо 2048+), что позволяет провайдеру расшифровать трафик методом Logjam.
- Отсутствие проверки отзыва сертификатов (CRL/OCSP), из-за чего скомпрометированный ключ остаётся действительным годами.
Логирование — даже если вы «ничего не включали»
RouterOS по умолчанию пишет логи подключений в /log. При переполнении они могут сохраняться на внешний USB-накопитель или отправляться на syslog-сервер. Если роутер физически доступен (например, при обыске), эти данные раскроют IP-адреса всех подключавшихся устройств и временные метки. Это особенно опасно в юрисдикциях, где требование предоставить логи не требует судебного решения.
Fake kill switch
Многие считают, что firewall-правила на MikroTik автоматически блокируют весь трафик при отвале VPN. На практике это работает только если:
- Вы явно прописали action=drop для всех интерфейсов кроме ovpn-out.
- Учли исключения для DHCP, NTP и DNS (иначе устройство потеряет интернет полностью).
- Настроили правило на output chain, а не только на forward.
Иначе трафик пойдёт напрямую через WAN — особенно в мобильных сетях, где интерфейс меняет имя (например, pppoe-out1 → lte1).
Подделка «no-log policy»
Даже если вы уверены, что ваш MikroTik ничего не логирует, помните: сам протокол OpenVPN без дополнительных мер не защищает от утечек WebRTC и DNS. Браузер может раскрыть ваш реальный IP через STUN-запросы, а ОС — отправить DNS-запросы провайдеру, минуя туннель. Это не вина роутера, но многие гайды игнорируют этот факт.
Сравнение: OpenVPN vs WireGuard vs IPsec на MikroTik
| Критерий | OpenVPN (TCP/UDP) | WireGuard | IPsec (IKEv2) |
|---|---|---|---|
| Поддержка в RouterOS | Полная (v6+, v7) | Только с v7.1+ | Полная |
| Шифрование | AES-128/256-CBC/GCM | ChaCha20-Poly1305 | AES-GCM, IKEv2 + PFS |
| Скорость (на RB951Ui-2nD) | ~35 Мбит/с | ~90 Мбит/с | ~60 Мбит/с |
| Обход DPI | Сложно (требует obfsproxy) | Проще (похож на UDP-трафик) | Очень сложно |
| Настройка сертификатов | Сложная (CA, CRL, DH) | Простая (публичные ключи) | Средняя (PSK или серты) |
| Поддержка IPv6 | Да | Да | Да |
| Kill switch | Требует ручной настройки | Требует ручной настройки | Автоматический (в IKEv2) |
Вывод: если вам нужна максимальная скорость и простота — выбирайте WireGuard. Если требуется совместимость со старыми клиентами (Windows 7, Android 5) — OpenVPN. Для корпоративного использования с мобильными устройствами — IPsec/IKEv2.
Пошаговая настройка OpenVPN-сервера на MikroTik (без компромиссов)
⚠️ Перед началом: обновите RouterOS до последней стабильной версии. Проверьте свободную память — генерация сертификатов требует минимум 32 МБ RAM.
Шаг 1. Генерация сертификатов
/certificate
add name=ca-template common-name=myCA key-usage=key-cert-sign,crl-sign
add name=server-template common-name=ovpn.myhome.local key-usage=digital-signature,key-encipherment
add name=client-template common-name=client1 key-usage=tls-client
/sign
ca-template ca-crl-host=127.0.0.1 name=ca-certificate
server-template ca=ca-certificate name=server-certificate
client-template ca=ca-certificate name=client1-certificate
Убедитесь, что все сертификаты имеют статус R (revoked — нет, issued — да). Если статус L — сертификат не выпущен.
Шаг 2. Настройка пула IP-адресов
/ip pool
add name=ovpn-pool ranges=10.8.0.2-10.8.0.254
Не используйте подсеть, совпадающую с вашей локальной (например, 192.168.1.0/24). Это вызовет конфликты маршрутизации.
Шаг 3. Создание профиля и сервера
/ppp profile
add name=ovpn-profile local-address=10.8.0.1 remote-address=ovpn-pool use-encryption=yes
/interface ovpn-server server
set auth=sha256 certificate=server-certificate cipher=aes256 default-profile=ovpn-profile enabled=yes mode=ip netmask=24 port=1194 protocol=udp
Обратите внимание:
- cipher=aes256 — обязательно. По умолчанию может стоять blowfish128, что небезопасно.
- protocol=udp — предпочтительнее TCP из-за меньшей задержки.
- Порт 1194 стандартный, но его легко блокируют. Для обхода DPI можно использовать 443/UDP (но не TCP!).
Шаг 4. Firewall и kill switch
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=1194 comment="Allow OVPN"
add chain=forward action=accept in-interface=ovpn-out out-interface=ether1-gateway
add chain=forward action=accept in-interface=ether1-gateway out-interface=ovpn-out
Запретить весь остальной трафик из ovpn, кроме в локальную сеть
add chain=forward action=drop in-interface=ovpn-out out-interface!=bridge-local
Это базовый kill switch: трафик из VPN может идти только в локальную сеть или наружу через WAN. Если вы хотите полный туннель (весь трафик в интернет через VPN), добавьте:
/ip route
add dst-address=0.0.0.0/0 gateway=ovpn-out routing-table=main
Но тогда локальные ресурсы (принтеры, NAS) станут недоступны без split tunneling.
Шаг 5. Экспорт клиента
Скопируйте содержимое сертификата client1-certificate и ca-certificate:
/certificate
export-certificate ca-certificate export-passphrase=""
export-certificate client1-certificate export-passphrase="mypassword"
Файлы появятся в /files как ca-certificate.crt и client1-certificate.p12.
Создайте .ovpn-файл:
client
dev tun
proto udp
remote ваш.публичный.ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
verb 3
<ca>
BEGIN CERTIFICATE-----
(вставьте содержимое ca-certificate.crt)
END CERTIFICATE-----
</ca>
<cert>
BEGIN CERTIFICATE-----
(вставьте сертификат из .p12, без приватного ключа)
END CERTIFICATE-----
</cert>
<key>
BEGIN ENCRYPTED PRIVATE KEY-----
(извлеките приватный ключ из .p12 с помощью OpenSSL)
END ENCRYPTED PRIVATE KEY-----
</key>
💡 Совет: используйте
openssl pkcs12 -in client1-certificate.p12 -nodesдля извлечения ключей.
Как проверить, что всё работает и нет утечек?
- Подключитесь к VPN.
- Зайдите на ipleak.net — должен отображаться IP вашего MikroTik, а не провайдера.
- Проверьте DNS: все запросы должны идти через IP из пула (10.8.0.1), а не 8.8.8.8 или DNS провайдера.
- Протестируйте WebRTC: на browserleaks.com/webrtc не должно быть вашего реального IP.
- Имитируйте обрыв: отключите WAN на MikroTik. Через 10 секунд интернет на клиенте должен пропасть полностью (если настроен kill switch).
Если DNS «просачивается» — настройте на клиенте статический DNS (например, 1.1.1.1) или используйте block-dns в профиле PPP.
Когда лучше НЕ использовать OpenVPN на MikroTik?
- Вы живёте в регионе с активным DPI (например, Москва, где Ростелеком применяет глубокую инспекцию). OpenVPN без obfs4 или Shadowsocks будет блокироваться.
- Вам нужна скорость выше 50 Мбит/с. Процессор слабого роутера не справится.
- Вы планируете подключать больше 5 клиентов одновременно. MikroTik не масштабируется как полноценный сервер.
- Требуется аудит безопасности. RouterOS closed-source, независимые аудиты отсутствуют (в отличие от OpenVPN на Linux с аудитом от Cure53).
В таких случаях рассмотрите:
- Выделенный VPS с OpenVPN/WireGuard.
- Роутер на OpenWrt с поддержкой modern crypto.
- Коммерческий VPN с no-log policy и юрисдикцией вне 14 Eyes (например, ProtonVPN в Швейцарии).
Вывод
openvpn сервер на mikrotik — технически возможен, но требует глубокого понимания ограничений платформы. Это решение подходит для локального удалённого доступа, но не для защиты от государственного уровня DPI или высокоскоростного трафика. Главная ошибка — считать, что «раз работает, значит безопасно». Без правильной настройки шифрования, firewall и проверки утечек вы получите иллюзию приватности. Если вы всё же решили использовать MikroTik, следуйте приведённому гайду, тестируйте каждый этап и помните: безопасность — это процесс, а не разовая настройка.
VPN замедляет интернет на сколько реально?
На MikroTik с CPU 600 МГц и AES-256-CBC потеря скорости — 60–70%. Например, при входящем канале 100 Мбит/с вы получите 30–40 Мбит/с через OpenVPN. WireGuard снижает скорость всего на 5–10%.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой openvpn сервер на mikrotik, то ваш IP известен провайдеру. При наличии решения суда (или внесудебного требования в рамках закона о «суверенном интернете») оператор обязан передать данные. Коммерческие VPN с no-log policy в дружественных юрисдикциях снижают риск, но не исключают его полностью.
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии — WireGuard. Он использует современные алгоритмы (ChaCha20, Poly1305), имеет меньше кода (меньше уязвимостей) и поддерживает perfect forward secrecy «из коробки». OpenVPN безопасен, но только при правильной настройке (TLS 1.2+, AES-256-GCM, 2048+ DH).
Можно ли обойти блокировку Telegram через OpenVPN на MikroTik?
Да, но только если DPI не распознаёт трафик. В 2026 году Ростелеком и МТС активно блокируют OpenVPN на портах 1194/UDP и 443/TCP. Чтобы обойти — используйте обфускацию (obfs4) или переносите сервер на нестандартный порт (например, 53/UDP, имитируя DNS).
Нужно ли обновлять сертификаты OpenVPN?
Да. Срок действия по умолчанию — 365 дней. После истечения клиенты не смогут подключиться. Лучше ставить срок 730 дней и настраивать напоминание за 30 дней до окончания. Также регулярно обновляйте DH-параметры (минимум 2048 бит).
Бесплатные VPN в App Store — это мошенничество?
В 95% случаев — да. Они монетизируют трафик: продают логи, вставляют рекламу, используют ваше устройство как прокси (как Hola в 2019 году). Реальный VPN-сервис стоит от $3/мес (аренда сервера + трафик). Если продукт бесплатен — вы и есть товар.
Good breakdown; the section on account security (2FA) is straight to the point. The explanation is clear without overpromising anything. Clear and practical.