mikrotik openvpn server настройка
mikrotik openvpn server настройка
MikroTik + OpenVPN: как настроить сервер без дыр в безопасности
mikrotik openvpn server настройка — это не просто копипаста конфигов из вики. Это точечная работа с сертификатами, маршрутизацией и фаерволом, где одна ошибка превращает ваш «безопасный тоннель» в публичную Wi-Fi сеть для хакеров. В этом гайде — только проверенные шаги, скрытые риски и реальные цифры.
Почему большинство гайдов по OpenVPN на MikroTik опасны
Большинство инструкций в Рунете сводятся к трём пунктам:
1. Установить пакет openvpn.
2. Сгенерировать сертификаты через /certificate.
3. Запустить сервер.
Звучит просто? Именно поэтому тысячи роутеров MikroTik ежедневно становятся мостами для атак Man-in-the-Middle. Эти гайды умалчивают о:
- Отсутствии отзыва сертификатов (CRL) — если ключ клиента украден, вы не сможете его заблокировать.
- Слабых алгоритмах шифрования — по умолчанию MikroTik может использовать устаревший
SHA1или дажеMD5. - Неправильной настройке NAT и маршрутов, из-за чего весь трафик клиента уходит в интернет напрямую, минуя VPN.
- Логировании подключений — MikroTik по умолчанию пишет в лог всё: IP, время, имя клиента. А при запросе Роскомнадзора эти данные обязаны предоставить.
Если вы настраиваете сервер для удалённой работы или защиты от слежки провайдера — эти нюансы решают всё.
Чего вам НЕ говорят в других гайдах
Бесплатные сертификаты = бесплатные проблемы
Многие советуют использовать онлайн-генераторы .ovpn файлов или готовые CA. Но если вы не контролируете центр сертификации (CA), вы не контролируете безопасность. Пример: в 2023 году сервис easy-rsa.online слил базу приватных ключей — все, кто им пользовался, потеряли анонимность.
OpenVPN ≠ полная анонимность
OpenVPN шифрует трафик между клиентом и сервером. Но:
- DNS-запросы могут уходить напрямую, если не настроен push "dhcp-option DNS ...".
- WebRTC в браузере раскрывает реальный IP, даже если VPN работает.
- Приложения (Telegram, Zoom) могут игнорировать системный прокси и использовать собственные сокеты.
Юрисдикция MikroTik и ваши данные
MikroTik — латвийская компания. Латвия входит в партнёрство 14 Eyes. Это значит: при наличии решения суда ЕС ваши логи могут быть переданы спецслужбам. Если вы используете MikroTik как корпоративный шлюз — учитывайте это при работе с персональными данными по ФЗ‑152.
Kill switch на роутере? Почти миф
MikroTik не имеет встроенного «аварийного отключения интернета» при обрыве VPN. Если туннель падает, трафик автоматически уйдёт через основной интерфейс (например, ether1). Это особенно критично при использовании торрентов или доступе к заблокированным ресурсам.
Решение — ручная настройка правил в /ip firewall filter, блокирующих весь исходящий трафик, кроме туннеля. Но даже это не спасает при перезагрузке роутера, пока туннель не поднят.
Реальные утечки через «логирование по ошибке»
По умолчанию в /system logging включены правила:
info: openvpn
debug: openvpn
Это записывает в /log имена пользователей, временные метки и статус подключений. На маленьких устройствах (hAP, RB951) логи хранятся в RAM, но при частой перезагрузке они могут сохраняться на флеш-памяти. А при физическом доступе — легко извлекаются.
Пошаговая настройка: от нуля до защищённого тоннеля
Важно: все команды ниже предполагают использование RouterOS v7. В v6 некоторые параметры отличаются.
Шаг 1. Установка пакета OpenVPN
Перейдите в System → Packages. Убедитесь, что установлен пакет openvpn. Если нет — скачайте его с официального сайта MikroTik и загрузите через WinBox.
Шаг 2. Генерация собственного CA (Certificate Authority)
Не используйте сторонние CA. Создайте свой:
/certificate add name=ca-template common-name=my-ca days-valid=3650 \
key-usage=key-cert-sign,crl-sign trusted=yes
/certificate sign ca-template name=my-ca
Шаг 3. Сертификат сервера
/certificate add name=server-template common-name=vpn.mydomain.local \
days-valid=1825 key-usage=digital-signature,key-encipherment
/certificate sign server-template ca=my-ca name=vpn-server
Шаг 4. Сертификат клиента
Для каждого клиента — отдельный сертификат:
/certificate add name=client1-template common-name=client1@home \
days-valid=365 key-usage=digital-signature,key-encipherment
/certificate sign client1-template ca=my-ca name=client1-cert
Экспортируйте клиентский сертификат и ключ:
/certificate export-certificate client1-cert export-passphrase=""
/certificate export-certificate my-ca
Файлы: cert_export_client1-cert.crt, cert_export_client1-cert.key, cert_export_my-ca.crt.
Шаг 5. Настройка OpenVPN-сервера
/interface ovpn-server server
set auth=sha256 certificate=vpn-server cipher=aes256 default-profile=ovpn-profile \
enabled=yes keepalive-timeout=60 max-mtu=1400 netmask=24 port=1194 \
protocol=tcp require-client-certificate=yes
Обратите внимание:
- auth=sha256 — обязательное условие. SHA1 уязвим.
- cipher=aes256 — AES-256-GCM ещё лучше, но требует RouterOS v7.8+.
- require-client-certificate=yes — без этого любой может подключиться.
Шаг 6. Профиль клиента
/ppp profile add name=ovpn-profile local-address=10.8.0.1 remote-address=ovpn-pool \
use-encryption=yes dns-server=8.8.8.8,1.1.1.1
/ip pool add name=ovpn-pool ranges=10.8.0.10-10.8.0.100
Шаг 7. Фаервол: блокировка всего, кроме туннеля
Создайте правило, которое разрешает только трафик через ovpns1:
/ip firewall filter
add chain=forward out-interface=ovpns1 action=accept comment="Allow VPN outbound"
add chain=forward connection-state=established,related action=accept
add chain=forward action=drop comment="BLOCK non-VPN traffic"
Это — ваш «kill switch». Без него трафик пойдёт напрямую.
Шаг 8. Отключение логирования OpenVPN
/system logging disable numbers=[find topics~"openvpn"]
Или удалите правила полностью.
Сравнение протоколов: OpenVPN против WireGuard на MikroTik
| Критерий | OpenVPN (TCP/UDP) | WireGuard (RouterOS v7.1+) |
|---|---|---|
| Поддержка в MikroTik | Полная (с v6) | Только с v7.1+ |
| Скорость (на hAP ac²) | ~85 Мбит/с (AES-256) | ~420 Мбит/с |
| Потребление CPU | Высокое | Очень низкое |
| Обход DPI | Требует obfsproxy/Stunnel | Встроенная защита от DPI |
| Настройка сертификатов | Сложная (PKI) | Простая (публичные ключи) |
| Поддержка IPv6 | Ограниченная | Полная |
| Kill switch | Требует ручной настройки | Встроен (через allowed-ips) |
Вывод: если у вас RouterOS v7.1+, используйте WireGuard. Он быстрее, проще и современнее. OpenVPN оправдан только если клиенты используют старые ОС (Windows 7, Android 5).
Реальные сценарии использования в России
- Защита в публичных сетях (кофейни, аэропорты)
Провайдеры вроде «МТС» или «Ростелеком» в общественных точках часто внедряют DPI-анализ и перехват HTTP-запросов. OpenVPN с protocol=tcp и портом 443 маскирует трафик под HTTPS, снижая риск MITM.
- Обход блокировок Telegram / YouTube
С апреля 2024 года Роскомнадзор активно блокирует IP-адреса CDN. Самостоятельный MikroTik-сервер за границей (например, в Финляндии или Германии) позволяет обойти блокировку без риска, связанного с бесплатными VPN.
- Корпоративный доступ к внутренней сети
Инженер в командировке подключается к офисному MikroTik через OpenVPN и получает доступ к:
- 1С-серверу (192.168.10.5)
- NAS (192.168.10.20)
- IP-камерам
При этом весь трафик шифруется, а фаервол блокирует попытки сканирования извне.
- Торренты без риска
Если вы раздаёте контент, защищённый авторским правом, ваш IP фиксируется правообладателями. При использовании своего сервера вы контролируете логи. Но помните: сервер в РФ подпадает под ФЗ‑187 — оператор обязан хранить данные о пользователях 1 год.
Как проверить, что всё работает
- Подключитесь к VPN.
- Зайдите на ipleak.net — должен отображаться IP вашего сервера.
- Проверьте DNS: должен быть
8.8.8.8или другой, указанный вpush "dhcp-option DNS". - Отключите VPN — интернет должен пропасть (благодаря kill switch).
- Запустите тест WebRTC на browserleaks.com/webrtc — реальный IP не должен светиться.
Если всё зелёное — вы в безопасности.
FAQ
VPN замедляет интернет на сколько реально?
На MikroTik hAP ac² с OpenVPN (AES-256, TCP): потеря скорости — 30–40%. Например, при 100 Мбит/с на входе вы получите 60–70 Мбит/с в туннеле. WireGuard — всего 5–10% потерь.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой сервер — только при физическом доступе к устройству или серверу. Если же вы пользуетесь коммерческим VPN с юрисдикцией в 14 Eyes — да, при наличии решения суда. MikroTik как производитель не хранит ваши данные, но ваш хостинг-провайдер — может.
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии — оба используют современные алгоритмы (AES-256, ChaCha20). Но WireGuard имеет меньшую кодовую базу (4000 строк против 100 000 у OpenVPN), что снижает риск уязвимостей. Кроме того, WireGuard поддерживает perfect forward secrecy «из коробки».
Можно ли настроить split tunneling на MikroTik?
Да, но не на стороне сервера. На клиенте (Windows, Android) укажите только нужные маршруты вручную. Например, чтобы только трафик к 192.168.10.0/24 шёл через VPN, а остальное — напрямую.
Что делать, если OpenVPN не подключается?
Проверьте: 1) открыт ли порт 1194 на сервере (в `/ip firewall filter` должно быть разрешено); 2) совпадают ли сертификаты; 3) не блокирует ли провайдер UDP (попробуйте TCP); 4) включён ли сервер в `/interface ovpn-server server`.
Нужен ли статический IP для сервера?
Желателен, но не обязателен. Можно использовать Dynamic DNS (например, no-ip.com) и указать домен в клиентском .ovpn-файле. Однако при смене IP клиенту потребуется переподключение.
Вывод
mikrotik openvpn server настройка — это не «раз и забыл», а постоянный процесс контроля: обновление сертификатов, мониторинг логов, тестирование утечек и актуализация правил фаервола. Если вы делаете всё вручную, вы получаете максимальный контроль, но и несёте полную ответственность. Не экономьте на шифровании, не пренебрегайте CRL и никогда не доверяйте «рабочим конфигам» из форумов без проверки. Ваша безопасность начинается с первого сертификата — и заканчивается последним правилом в /ip firewall.
Useful structure and clear wording around wagering requirements. The safety reminders are especially important.