настройка openvpn mikrotik 7
настройка openvpn mikrotik 7
OpenVPN на MikroTik 7: ловушки для новичков
Подробный гайд: настройка openvpn mikrotik 7 с нуля — избегайте утечек, проверяйте kill switch и не попадайтесь на фейковые «безопасные» конфиги.
настройка openvpn mikrotik 7 — задача, с которой сталкиваются администраторы, желающие организовать защищённый удалённый доступ к своей сети через маршрутизатор MikroTik под управлением RouterOS v7. Но даже опытные специалисты часто упускают детали, из-за которых трафик просачивается мимо туннеля или шифрование оказывается бесполезным. В этом материале разберём всё: от генерации сертификатов до защиты от DPI и реальных угроз при использовании публичных Wi-Fi в России.
Почему ваш OpenVPN на MikroTik 7 может быть «дырявым» уже после перезагрузки
RouterOS 7 кардинально изменила подход к работе с VPN по сравнению с версией 6. Ушли старые меню /interface ovpn-server, появился унифицированный движок ovpn. Это не просто интерфейсное обновление — логика маршрутизации, обработки NAT и firewall-правил теперь требует иного подхода.
Самая частая ошибка: администратор настраивает сервер, проверяет подключение с клиента и считает задачу выполненной. Через неделю после планового апдейта или сбоя питания клиенты жалуются, что трафик идёт напрямую. Причина — отсутствие маршрутной привязки и правильного маршрута по умолчанию внутри туннеля.
В RouterOS 7:
- Интерфейс OpenVPN создаётся как
/interface ovpn-clientили/interface ovpn-server. - Для принудительного направления всего трафика через туннель (full tunnel) нужно:
- На сервере указать
route-gateway yesиredirect-gateway def1. - На клиенте (если используется внешний клиент) —
redirect-gateway def1. - В firewall добавить правило masquerade для исходящего интерфейса OpenVPN.
- Убедиться, что маршрут
0.0.0.0/1и128.0.0.0/1действительно появляется в таблице маршрутизации клиента.
Если вы используете split tunneling (разделение трафика), то маршруты должны быть явно прописаны через push route на сервере. Иначе клиент ничего не узнает о внутренней сети.
Проверка на практике: после подключения зайдите на ipleak.net. Если вы видите IP вашего провайдера (например, Ростелеком или МТС), а не адрес сервера OpenVPN — трафик идёт в обход туннеля.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в рунете ограничиваются командами вроде:
/interface ovpn-server set enabled=yes
Но это лишь вершина айсберга. Вот что скрывают:
- Бесплатные конфиги OpenVPN — это троянские кони
Многие сайты предлагают «готовые .ovpn-файлы для MikroTik». Скачав такой файл, вы получаете:
- Устаревшие алгоритмы шифрования (BF-CBC, SHA1).
- Поддельные сертификаты, подписанные неизвестным CA.
- DNS-серверы, контролируемые третьими лицами (часто — рекламными сетями).
Результат: ваш трафик шифруется, но дешифруется на стороне злоумышленника, который видит всё — от логинов до банковских реквизитов.
- «Kill switch» в RouterOS — миф без ручной настройки
MikroTik не имеет встроенного механизма аварийного отключения интернета при обрыве туннеля. Если OpenVPN упал, весь трафик автоматически пойдёт через основной интерфейс. Чтобы этого избежать, нужно:
- Создать отдельную цепочку в firewall (
chain=forward). - Разрешить трафик только через интерфейс
ovpn-*. - Заблокировать всё остальное с действием
drop.
Пример правила:
/ip firewall filter
add chain=forward out-interface=!ovpn-out action=drop comment="Kill switch"
Но! Это работает только если вы используете маршрутизацию на уровне маршрутизатора, а не на клиентском устройстве.
- Логирование по требованию — даже у «no-log» провайдеров
Даже если вы разворачиваете свой OpenVPN-сервер, помните: хостинг-провайдер (например, Hetzner, DigitalOcean) может хранить метаданные. В юрисдикции 14 Eyes (включая Германию, Францию, Великобританию) такие данные передаются спецслужбам по запросу без ордера.
В России ситуация ещё сложнее: согласно закону №374-ФЗ, операторы обязаны предоставлять информацию о пользователях. Поэтому самостоятельный сервер в РФ — плохая идея для анонимности.
- Утечки WebRTC и DNS — вне зависимости от OpenVPN
OpenVPN шифрует только IP-трафик. Он не блокирует:
- WebRTC (раскрывает ваш реальный IP в браузере).
- DNS-запросы, если они отправляются напрямую (а не через туннель).
На MikroTik можно перенаправить DNS через туннель, добавив в push-параметры:
push "dhcp-option DNS 10.8.0.1"
А на клиенте — отключить WebRTC в настройках браузера или использовать Firefox с media.peerconnection.enabled = false.
- Поддержка PFS (Perfect Forward Secrecy) — не гарантия безопасности
Да, OpenVPN поддерживает PFS через Diffie-Hellman. Но если вы используете статический dh.pem длиной 1024 бит (как в старых гайдах), это уязвимость. Минимальная безопасная длина — 2048 бит, лучше — 4096.
Генерируйте его так:
openssl dhparam -out dh4096.pem 4096
И загружайте в MikroTik через /file.
OpenVPN vs WireGuard vs IPsec: кто выживет в условиях российского DPI?
Роскомнадзор активно использует DPI (Deep Packet Inspection) для блокировки VPN. OpenVPN на TCP 443 маскируется под HTTPS, но современные системы (например, «чистильщики» от «Лаборатории Касперского») умеют отличать трафик по паттернам.
| Критерий | OpenVPN (TCP 443) | WireGuard | IPsec (IKEv2) |
|---|---|---|---|
| Обход DPI в РФ | Средний (можно заблокировать) | Высокий (UDP, минималистичный) | Низкий (часто блокируется) |
| Шифрование | AES-256-GCM / ChaCha20 | ChaCha20 + Poly1305 | AES-256 + SHA2 |
| Поддержка PFS | Да (при правильной DH) | Встроено | Да |
| Скорость (на 100 Мбит/с) | ~85 Мбит/с | ~97 Мбит/с | ~90 Мбит/с |
| Поддержка в RouterOS 7 | Полная | Только через пакеты (wg) | Полная |
Вывод: если ваша цель — обход блокировок в России, WireGuard предпочтительнее. Но MikroTik официально не включает его в базовую прошивку. Придётся ставить пакет wireguard вручную, что усложняет обновления.
OpenVPN остаётся выбором для корпоративных решений, где важна совместимость и аудит.
Пошаговая настройка OpenVPN-сервера на MikroTik 7 (без утечек)
Шаг 1. Генерация сертификатов (лучше на Linux)
Не используйте встроенный генератор сертификатов MikroTik — он ограничен. Сделайте это на ПК:
Создаём CA
openssl req -new -x509 -days 3650 -extensions v3_ca -keyout ca.key -out ca.crt
Сертификат сервера
openssl req -new -nodes -keyout server.key -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650
DH-параметры
openssl dhparam -out dh4096.pem 4096
TA-ключ (tls-auth)
openvpn --genkey --secret ta.key
Загрузите файлы в MikroTik через WinBox → Files.
Шаг 2. Настройка сервера
/certificate
import file-name=ca.crt passphrase=""
import file-name=server.crt passphrase=""
import file-name=server.key passphrase=""
/interface ovpn-server
set certificate=server.crt_0 default-profile=ovpn enabled=yes require-client-certificate=no
/ppp profile
add local-address=10.8.0.1 name=ovpn remote-address=ovpn-pool use-encryption=yes
/ppp secret
add name=user password=strongpass profile=ovpn service=ovpn
/ip pool
add name=ovpn-pool ranges=10.8.0.10-10.8.0.100
Push-параметры
/ppp profile set ovpn on-up="/ip firewall address-list add address=\$remote-address list=ovpn-clients"
Добавьте в конфиг сервера OpenVPN (в файле .ovpn для клиента):
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "route 192.168.88.0 255.255.255.0"
Шаг 3. Firewall и NAT
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
/ip firewall filter
add chain=input protocol=tcp dst-port=1194 action=accept comment="OpenVPN"
add chain=input action=drop comment="Drop all other"
Важно: порт по умолчанию для OpenVPN — UDP 1194. Но в РФ его часто режут. Используйте TCP 443 для маскировки:
/interface ovpn-server set port=443 protocol=tcp
Шаг 4. Тестирование утечек
- Подключитесь к серверу.
- Откройте ipleak.net — должен отображаться IP вашего сервера.
- Проверьте DNS: должен быть тот, что вы указали в
push. - Отключите кабель от MikroTik на 10 секунд — интернет на клиенте должен пропасть (если настроен kill switch).
Сценарии использования: когда OpenVPN на MikroTik спасает
- Удалённая работа из кафе
Вы — IT-специалист, сидите в кофейне на Арбате. Без VPN ваш трафик виден всем в этой сети. OpenVPN шифрует RDP, SSH, почту. Но помните: если не настроен kill switch, при обрыве соединения вы можете случайно отправить пароль в открытом виде.
- Доступ к домашней NAS из отпуска
Хотите посмотреть фото с домашнего сервера? OpenVPN даёт безопасный тоннель. Split tunneling позволяет грузить YouTube напрямую, а NAS — через туннель.
- Обход блокировок мессенджеров
Если Telegram или Signal заблокированы (как в 2018 году), OpenVPN на TCP 443 часто остаётся рабочим. Но учтите: использование VPN для обхода блокировок может нарушать условия провайдера, хотя уголовной ответственности за это в РФ нет.
- Защита IoT-устройств
Умные камеры, термостаты — часто без обновлений. Подключите их в отдельную VLAN и направьте трафик через OpenVPN. Так даже при взломе устройства злоумышленник не получит доступ к вашей основной сети.
FAQ
VPN замедляет интернет на сколько реально?
На MikroTik hAP ac² (архитектура ARM) OpenVPN на AES-256-GCM даёт ~85 Мбит/с при 100 Мбит/с канале. Потери — 10–15%. WireGuard — 95–97%. На слабых устройствах (hAP lite) скорость может упасть до 20 Мбит/с.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой сервер за границей — маловероятно. Но если сервер в РФ, провайдер обязан хранить данные 1 год (ФЗ-149). При наличии решения суда ваши логи (IP, время подключения) могут быть переданы.
WireGuard или OpenVPN — что безопаснее?
Оба протокола криптографически надёжны. WireGuard проще, быстрее и менее подвержен ошибкам конфигурации. OpenVPN гибче (поддержка TCP, TLS-auth, сложные политики). Для MikroTik 7 OpenVPN — более стабильный выбор.
Можно ли использовать бесплатный OpenVPN-сервер?
Технически — да. Практически — нет. Бесплатные сервисы (вроде старого Hola) превращают ваших пользователей в прокси-узлы для третьих лиц. В 2019 году Hola продавала доступ к домашним сетям за $5/час. Не рискуйте.
Как проверить, работает ли kill switch?
Отключите кабель WAN от MikroTik или остановите OpenVPN-сервис. Попробуйте открыть сайт. Если страница загружается — kill switch не работает. Настройте firewall так, чтобы весь исходящий трафик разрешался только через интерфейс ovpn-*
Нужен ли мне IPv6 в OpenVPN?
В большинстве российских сетей IPv6 не используется. Но если он есть, его тоже нужно маршрутизировать через туннель, иначе возможна утечка. Лучше отключить IPv6 на клиенте полностью: /ipv6 settings set disable-ipv6=yes
Вывод
настройка openvpn mikrotik 7 — это не просто включение галочки в веб-интерфейсе. Это комплексная задача, требующая понимания маршрутизации, firewall, криптографии и особенностей DPI в российской инфраструктуре. Даже правильно настроенный сервер может стать источником утечек, если не проверить DNS, WebRTC и поведение при обрыве соединения. Используйте только свои сертификаты, откажитесь от готовых конфигов из интернета, настройте kill switch вручную и регулярно тестируйте подключение через ipleak.net. Только так вы получите настоящую защиту, а не иллюзию безопасности.
This reads like a checklist, which is perfect for withdrawal timeframes. This addresses the most common questions people have.