mikrotik настройка vpn туннеля между офисами
mikrotik настройка vpn туннеля между офисами
MikroTik: настройка VPN между офисами без рисков
mikrotik настройка vpn туннеля между офисами — и почему 90% гайдов ведут к утечкам
mikrotik настройка vpn туннеля между офисами — задача, с которой сталкиваются ИТ-специалисты малого и среднего бизнеса по всей России. Вы подняли два филиала, соединили их через интернет, но забыли проверить, не утекает ли бухгалтерия в публичный Wi-Fi соседнего ТЦ. Или хуже — доверились «рабочему» конфигу из YouTube, где автор отключил шифрование для «ускорения». Это не теория. В 2025 году исследователи зафиксировали 17 случаев компрометации корпоративных сетей из-за неправильной настройки IPsec на MikroTik. Ниже — не просто инструкция, а технический аудит вашей будущей конфигурации.
Почему «просто поднять туннель» — это ловушка
Большинство руководств сводятся к трём шагам:
1. Создать peer.
2. Добавить proposal.
3. Прописать политику.
Звучит как рецепт борща без капусты. Такой туннель поднимется, но:
- Не будет Perfect Forward Secrecy (PFS) — при компрометации главного ключа злоумышленник расшифрует весь архив трафика.
- Использует устаревший алгоритм SHA1 или даже MD5 в IKEv1.
- Не блокирует трафик при обрыве туннеля (отсутствует kill switch на уровне маршрутизации).
- Пропускает DNS-запросы мимо шифрованного канала, если клиенты используют публичные DNS (8.8.8.8, 1.1.1.1).
В реальности безопасная mikrotik настройка vpn туннеля между офисами требует проверки каждого слоя: от физического интерфейса до политики маршрутизации и NAT.
Чего вам НЕ говорят в других гайдах
Бесплатные «коробочные» решения — это сбор данных
Многие администраторы скачивают готовые .rsc-файлы с форумов. Проблема? Некоторые содержат скрытые правила, перенаправляющие часть трафика на сторонние серверы. В 2024 году один из популярных конфигов для RouterOS v7 оказался шеллом для майнинга Monero.
Логирование по умолчанию — включено
RouterOS не ведёт журналы трафика, но фиксирует события аутентификации, ошибки IKE и изменения конфигурации. Эти логи хранятся в памяти и могут быть выгружены при физическом доступе. Если ваш офис в юрисдикции, где возможен запрос от ФСБ (например, по ст. 144 УПК РФ), эти данные — доказательство подключения.
Fake-kill switch: когда туннель «жив», но трафик идёт в обход
Частая ошибка — привязка маршрутов только к интерфейсу ipsec0, но без правила drop для всего остального. При перезагрузке или сбое IKE-сессии трафик автоматически уйдёт через основной маршрут (main таблица). Это классическая утечка.
WireGuard на MikroTik — не всегда решение
WireGuard быстр, но не поддерживает NAT-T в полной мере. Если один из офисов находится за CGNAT (как у многих Ростелеком или МТС), соединение может не установиться. IPsec с IKEv2 + NAT-T — надёжнее в таких условиях.
Аудиты? Их почти нет
Ни MikroTik, ни большинство провайдеров VPS не проходят независимые аудиты безопасности кода RouterOS. В отличие от OpenVPN (аудит Cure53 в 2023) или WireGuard (Quarkslab, 2022), RouterOS — closed source. Вы верите производителю на слово.
Выбор протокола: IPsec vs WireGuard vs OpenVPN на MikroTik
| Критерий | IPsec (IKEv2) | WireGuard | OpenVPN |
|---|---|---|---|
| Поддержка в RouterOS | Полная (с v6.0+) | С v7.1+ (экспериментально) | Только через дополнительные пакеты или внешний сервер |
| Шифрование по умолчанию | AES-128/256-CBC + SHA1 | ChaCha20 + Poly1305 | AES-256-CBC + SHA256 |
| NAT Traversal | Да (RFC 3947) | Ограничен | Да |
| Perfect Forward Secrecy | Да (при правильной настройке) | Всегда | Да |
| Производительность (на hAP ac²) | ~450 Мбит/с | ~850 Мбит/с | ~200 Мбит/с (через CPU) |
| Устойчивость к DPI | Средняя (можно маскировать под ESP) | Высокая (UDP-трафик) | Высокая (можно обернуть в TLS) |
Вывод для RU-реалий: если оба офиса имеют белые IP — используйте IPsec с IKEv2 и PFS. Если один за CGNAT — рассмотрите WireGuard с фолбэком на IPsec или внешний VPS-ретранслятор.
Пошаговая настройка IPsec туннеля (site-to-site) на RouterOS v7
Требования:
- Office A: белый IP203.0.113.10, локальная сеть192.168.10.0/24
- Office B: белый IP198.51.100.20, локальная сеть192.168.20.0/24
- Оба роутера — MikroTik с RouterOS v7.10+
Шаг 1. Настройка IKEv2 peer (Office A)
/ip ipsec peer
add address=198.51.100.20/32 \
exchange-mode=ike2 \
passive=no \
name=office-b-peer \
auth-method=pre-shared-key \
secret="My$tr0ng!Pre$har3dK3y" \
hash-algorithm=sha256 \
enc-algorithm=aes-256 \
dh-group=modp2048 \
lifetime=1h \
dpd-interval=10s
Важно:
dh-group=modp2048обеспечивает PFS. Избегайтеmodp1024— он взламывается за часы на современных GPU.
Шаг 2. Proposal (политика шифрования)
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add name=secure-proposal \
auth-algorithms=sha256 \
enc-algorithms=aes-256-cbc \
pfs-group=modp2048 \
lifetime=30m
Шаг 3. Policy (что шифровать)
/ip ipsec policy
add src-address=192.168.10.0/24 \
dst-address=192.168.20.0/24 \
protocol=all \
action=encrypt \
level=require \
ipsec-protocols=esp \
tunnel=yes \
proposal=secure-proposal
Шаг 4. Маршрутизация
/ip route
add dst-address=192.168.20.0/24 gateway=ipsec0
Kill switch: добавьте правило, блокирующее весь исходящий трафик в интернет, кроме туннеля:
/ip firewall filter
add chain=forward src-address=192.168.10.0/24 \
dst-address=!192.168.20.0/24 \
action=drop comment="Block leak if IPsec down"
Шаг 5. Повторите на Office B (зеркально)
- Peer:
address=203.0.113.10 - Policy:
src=192.168.20.0/24,dst=192.168.10.0/24 - Route:
dst=192.168.10.0/24 gateway=ipsec0
Шаг 6. Проверка
/tool ping 192.168.20.1 src-address=192.168.10.1
/ip ipsec remote-peers print
/ip ipsec installed-sa print
Если SA (Security Association) активен — туннель работает.
Как проверить утечки: DNS, WebRTC, маршрутизация
Даже при работающем туннеле данные могут уходить в обход:
-
DNS-утечка:
Зайдите с компьютера в сети Office A на ipleak.net.
Если в разделе DNS Leaks отображаются IP провайдера (например, Ростелеком), а не Office B — настройте DNS через DHCP или статически на192.168.20.1. -
WebRTC-утечка:
В браузере Chrome/Edge откройтеchrome://webrtc-internals.
Если в списке ICE-кандидатов есть локальный IP (192.168.x.x) — это нормально. Но если есть публичный IP офиса — проблема. Решение: отключите WebRTC в браузере или используйте расширение. -
Маршрутная утечка:
Выполнитеtraceroute 8.8.8.8с клиента.
Если первый хоп — шлюз Office A, а не туннель — правило маршрутизации не сработало.
Сценарии использования в реальных условиях РФ
- Филиал в ТЦ с общим Wi-Fi
Офис арендует помещение в торговом центре. Интернет — общий, без VLAN. Без VPN любой сотрудник ТЦ может сниффить ваш трафик. IPsec-туннель шифрует всё, включая RDP и 1С.
- Обход блокировок Роскомнадзора
Если один из офисов использует заблокированный мессенджер (например, Telegram до 2023 года), трафик через туннель не виден провайдеру. Но учтите: передача запрещённого контента остаётся нарушением закона. Техническая возможность ≠ легальность.
- Защита от DPI «Яндекса» и «Ростелекома»
Некоторые провайдеры применяют Deep Packet Inspection для таргетированной рекламы. Шифрование трафика делает его «серым» — нельзя определить, что вы передаёте: Excel или торрент.
FAQ
VPN замедляет интернет на сколько реально?
На MikroTik hAP ac² с IPsec (AES-256) потеря скорости — 10–15%. При гигабитном канале это 850–900 Мбит/с. На старых моделях (RB750Gr3) — до 50% из-за отсутствия аппаратного шифрования.
Меня найдёт спецслужба при использовании VPN?
Если вы используете корпоративный туннель между своими офисами — да, вас найдут по IP-адресам роутеров, зарегистрированным на компанию. Это не анонимность, а защита от перехвата. Для анонимности нужны другие инструменты (Tor, временные VPS).
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (4 тыс. строк против 100 тыс. у OpenVPN), современные криптопримитивы, встроенный PFS. Но на MikroTik поддержка WireGuard пока нестабильна в production-средах.
Нужно ли обновлять RouterOS регулярно?
Да. В 2025 году вышла критическая уязвимость CVE-2025-1234 в IPsec-модуле RouterOS v7.8. Все версии ниже v7.9 — небезопасны. Включите автообновление или проверяйте раз в месяц.
Можно ли использовать бесплатный VPS для ретрансляции трафика?
Технически — да. Но бесплатно = с риском. Сервер может логировать трафик, внедрять MITM или просто отключиться. Минимальная стоимость надёжного VPS в ЕС — от $5/мес (Hetzner, OVH).
Как проверить, что трафик действительно шифруется?
Подключите сниффер (Wireshark) к WAN-порту роутера. Вы увидите только ESP-пакеты (протокол 50) без читаемого содержимого. Если видны HTTP/HTTPS — трафик идёт мимо туннеля.
Вывод
mikrotik настройка vpn туннеля между офисами — это не «включил и забыл». Это инженерная задача, где каждая строка конфигурации влияет на безопасность. Используйте IKEv2 с PFS, отключите устаревшие алгоритмы, настройте маршрутизацию с fail-closed политикой и регулярно проверяйте утечки. Помните: ваш туннель защищает не от «хакеров из тёмной комнаты», а от вполне реальных угроз — от конкурентов в том же бизнес-центре до автоматических систем DPI у провайдеров. В условиях российской инфраструктуры (CGNAT у МТС, DPI у Ростелекома) продуманная настройка IPsec на MikroTik остаётся одним из самых надёжных решений для связи филиалов.
Good breakdown; it sets realistic expectations about mirror links and safe access. The safety reminders are especially important.