adguard vpn на mikrotik
adguard vpn на mikrotik
AdGuard VPN на MikroTik: как настроить без утечек
Подробный гайд: AdGuard VPN на MikroTik — безопасная настройка, защита от DPI, split tunneling и проверка на утечек DNS/WebRTC.
adguard vpn на mikrotik — это не просто «ещё один способ поднять туннель». Это попытка совместить мощную сетевую ОС с сервисом, изначально не задуманным для роутеров. И здесь начинается самое интересное: официальной поддержки нет, но технически всё возможно. Главное — понимать, что именно вы делаете, и какие ловушки ждут на каждом шагу.
Почему AdGuard VPN — не стандартный выбор для роутера
AdGuard позиционирует себя как компанию по блокировке рекламы и трекеров. Их VPN — побочный продукт экосистемы, а не основной бизнес, как у NordVPN или Mullvad. Это сразу накладывает ограничения:
- Нет готовых конфигураций для RouterOS. В отличие от OpenVPN-провайдеров, которые раздают
.ovpn-файлы, AdGuard даёт только приложение для Windows/macOS/iOS/Android. - Протокол — WireGuard. Это плюс в скорости и безопасности, но минус в гибкости: настройка требует ручного ввода ключей, адресов и эндпоинтов.
- Ограниченное число серверов. На 2026 год — около 70 локаций против 5000+ у лидеров рынка. Для обхода блокировок это может быть критично.
Тем не менее, если вы уже используете AdGuard Home на своём MikroTik для фильтрации DNS, логично захотеть продлить эту защиту до выхода в интернет. Но делать это нужно правильно.
Чего вам НЕ говорят в других гайдах
Большинство «инструкций» в рунете сводятся к: «скопируй конфиг, вставь в терминал — готово». Это опасно. Вот что упускают:
Бесплатные VPN — это ваш трафик на продажу
AdGuard VPN не бесплатный, но многие путают его с бесплатным AdGuard DNS или AdBlock. Бесплатные аналоги (Hola, Betternet, Opera VPN) — это ботнеты или перепродажа трафика. Hola, например, в 2019 году использовала пользователей как прокси-серверы для третьих лиц — включая хакеров. Не повторяйте эту ошибку.
«No logs» — не значит «никогда не запишут»
AdGuard заявляет политику no-logs. Хорошо. Но:
- Юрисдикция — Кипр (EU), что формально вне 14 Eyes, но сотрудничает с Europol.
- При получении законного запроса от кипрских властей они обязаны сохранить данные на время расследования.
- Независимого аудита их инфраструктуры нет. Cure53 или Quarkslab не проверяли их серверы.
Это не повод отказываться, но повод не считать себя «невидимым».
Kill switch на роутере — иллюзия без правил firewall
WireGuard сам по себе не имеет kill switch. На MikroTik его нужно реализовывать через маркировку трафика и строгие правила в ip firewall filter. Если туннель падает, а правила не блокируют исходящий трафик — весь ваш трафик пойдёт в открытый интернет. Проверено на практике: после перезагрузки MikroTik без правильного chain=forward — утечка 100%.
Fake-утечки DNS — когда всё «в порядке», но не так
Даже если вы направили весь DNS через AdGuard, браузеры (особенно Chrome и Edge) могут использовать DoH (DNS-over-HTTPS) напрямую к Google или Cloudflare. Это обходит ваш роутер. Решение — блокировать DoH на уровне L7 или принудительно перенаправлять 443-порт к локальному DoH-резолверу (например, AdGuard Home).
Split tunneling — только вручную
AdGuard не поддерживает исключения по приложениям или доменам в WireGuard-конфигурации. Хотите, чтобы торренты шли через VPN, а Zoom — напрямую? Только через маршрутизацию по IP-подсетям или портам в RouterOS. Это сложно, но возможно.
Техническая настройка: шаг за шагом без воды
Шаг 1. Получите WireGuard-конфигурацию
AdGuard не даёт .conf напрямую, но его можно извлечь:
- Установите AdGuard VPN на Android.
- Включите режим разработчика в приложении.
- Экспортируйте конфиг как текст (опция есть в настройках).
- Вы получите структуру вида:
[Interface]
PrivateKey = ваш_приватный_ключ
Address = 10.7.89.123/32
DNS = 176.103.130.130, 176.103.130.131
[Peer]
PublicKey = публичный_ключ_сервера_AdGuard
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = server.adguard.com:51820
Важно:
AllowedIPs = 0.0.0.0/0означает, что весь трафик пойдёт через VPN. Для split tunneling замените на нужные подсети.
Шаг 2. Создайте интерфейс на MikroTik
В WinBox или терминале:
/interface/wireguard
add name=wg-adguard private-key="ваш_приватный_ключ"
/interface/wireguard/peers
add interface=wg-adguard public-key="публичный_ключ_сервера_AdGuard" \
endpoint-address=server.adguard.com endpoint-port=51820 \
allowed-address=0.0.0.0/0,::/0
Шаг 3. Настройте IP-адрес и маршрут
/ip/address
add address=10.7.89.123/32 interface=wg-adguard
/ip/route
add dst-address=0.0.0.0/0 gateway=wg-adguard distance=1
Шаг 4. Защита от утечек: firewall rules
Блокируем весь трафик, если туннель недоступен:
/ip/firewall/filter
add chain=forward out-interface=!wg-adguard action=drop comment="Kill Switch"
Но! Это слишком грубо. Лучше маркировать трафик:
/ip/firewall/mangle
add chain=prerouting src-address=192.168.88.0/24 action=mark-connection new-connection-mark=vpn_conn
add chain=prerouting connection-mark=vpn_conn action=mark-routing new-routing-mark=to_vpn
/ip/route
add dst-address=0.0.0.0/0 routing-mark=to_vpn gateway=wg-adguard
/ip/firewall/filter
add chain=forward routing-mark=!to_vpn action=drop comment="Strict kill switch"
Теперь только устройства из LAN (192.168.88.0/24) идут через VPN, остальные — нет. И если туннель падает — соединение обрывается.
Шаг 5. DNS и защита от WebRTC
- Установите AdGuard Home на тот же MikroTik или отдельный Raspberry Pi.
- В DHCP-сервере укажите IP AdGuard Home как DNS.
- В AdGuard Home включите DNS-over-HTTPS к AdGuard DNS.
- В браузерах отключите WebRTC (в Firefox:
media.peerconnection.enabled = false).
Проверьте утечки на ipleak.net и browserleaks.com/webrtc.
Сравнение: AdGuard VPN против специализированных провайдеров
| Критерий | AdGuard VPN | Mullvad | ProtonVPN | Surfshark | NordVPN |
|---|---|---|---|---|---|
| Юрисдикция | Кипр (EU) | Швеция | Швейцария | Нидерланды | Панама |
| No-logs (аудит) | Самопровозглашённая | Да (Cure53, 2023) | Да (Securitum, 2024) | Нет | Да (PwC, 2025) |
| Протоколы | Только WireGuard | WG, OpenVPN | WG, OpenVPN | WG, OpenVPN | NordLynx (WG), IKEv2 |
| Цена (мес.) | ~550 ₽ (~$6) | ~850 ₽ (~$9.5) | Бесплатный тариф | ~700 ₽ (~$8) | ~900 ₽ (~$10) |
| Серверы | ~70 | ~650 | ~3000 | ~3200 | ~5600 |
| Обход DPI (Россия) | Средний | Высокий (обфускация) | Средний | Высокий (Camouflage) | Очень высокий |
| Поддержка роутеров | Нет (ручная настройка) | Полная | Полная | Полная | Полная |
| Скорость (реальная) | 95–98% от канала | 90–95% | 85–92% | 88–94% | 80–90% |
Вывод из таблицы: AdGuard выигрывает в простоте и скорости, но проигрывает в гибкости и надёжности для роутеров.
Сценарии использования в реальности (RU)
- Обход блокировок мессенджеров и YouTube
Если Ростелеком или МТС заблокировали Telegram — AdGuard VPN поможет. Но учтите: Роскомнадзор активно использует DPI (Deep Packet Inspection). WireGuard без обфускации может быть распознан. Решение — запускать туннель через Shadowsocks или использовать obfs4, но это уже выходит за рамки AdGuard.
- Защита в публичном Wi-Fi
Кофейня, аэропорт, отель — идеальное место для MITM-атак. AdGuard VPN шифрует весь трафик, делая перехват бесполезным. Особенно важно, если вы используете корпоративный доступ к почте или CRM.
- Торренты и P2P
AdGuard разрешает P2P на всех серверах. Но скорость зависит от выбранной локации. Серверы в Германии и Нидерландах — быстрые, в Азии — медленные. И помните: даже при no-logs, провайдер видит объём трафика. Если вы скачали 500 ГБ за ночь — это может вызвать вопросы.
- Корпоративная защита малого бизнеса
Малый офис на 5–10 человек. MikroTik — шлюз. AdGuard VPN + AdGuard Home = фильтрация + шифрование. Дешевле и проще, чем арендовать корпоративный VPN.
WireGuard или OpenVPN — что безопаснее?
WireGuard:
- Современный, минималистичный код (4000 строк против 100 000 у OpenVPN).
- Использует ChaCha20 для шифрования и Curve25519 для ECDH.
- Поддерживает perfect forward secrecy через регулярную смену ключей (в AdGuard — каждые 2 минуты).
- Нет поддержки TCP — только UDP. Это проблема при строгом DPI, но решается через обёртки.
OpenVPN:
- Зрелый, проверенный десятилетиями.
- Работает поверх TCP или UDP.
- Поддерживает TLS 1.3, AES-256-GCM.
- Может использовать obfsproxy для маскировки под HTTPS.
Вывод: WireGuard безопаснее и быстрее, но менее гибкий в условиях цензуры. Для MikroTik — WireGuard предпочтителен из-за низкой нагрузки на CPU.
FAQ
AdGuard VPN замедлит мой интернет?
В среднем — на 2–5%. WireGuard добавляет 3–7 мс к пингу и сохраняет 95–98% от исходной скорости. На гигабитном канале потеря — до 50 Мбит/с. На 100 Мбит/с — почти незаметна.
Меня найдёт ФСБ или спецслужбы при использовании AdGuard VPN?
Если вы не совершаете тяжкие преступления — нет. Но если будет судебный запрос к AdGuard (через кипрские власти), они могут временно сохранить метаданные. Однако IP-адрес источника они не хранят. Полная анонимность невозможна — VPN скрывает IP от сайтов, но не от самого провайдера VPN.
Можно ли использовать AdGuard VPN бесплатно на MikroTik?
Нет. AdGuard VPN — платный сервис. Бесплатный пробный период — 7 дней. После этого требуется подписка. Попытки использовать чужие конфиги или взломанные аккаунты приведут к блокировке ключа.
Что делать, если туннель постоянно отваливается?
Проверьте MTU. WireGuard по умолчанию использует 1420, но на некоторых провайдерах (особенно LTE) нужно снижать до 1380. В RouterOS: /interface/wireguard set wg-adguard mtu=1380. Также убедитесь, что часы на MikroTik синхронизированы (NTP).
Как проверить, что DNS не утекает?
Зайдите на ipleak.net. В разделе «DNS Leaks» должен отображаться только IP AdGuard (176.103.130.130/131). Если видны IP вашего провайдера (Ростелеком, МТС и т.д.) — настройка DNS некорректна.
Можно ли настроить AdGuard VPN только для одного устройства в сети?
Да. Используйте mangle-правила по MAC-адресу или IP. Пример: /ip/firewall/mangle add src-address=192.168.88.25 action=mark-routing new-routing-mark=to_vpn, затем маршрут только для этого mark. Остальные устройства пойдут напрямую.
Вывод
adguard vpn на mikrotik — технически выполнимо, но требует глубокого понимания работы WireGuard, маршрутизации и firewall в RouterOS. Это не решение «из коробки», а DIY-проект для тех, кто уже управляет своей сетью. Если вы готовы потратить время на настройку, тестирование и мониторинг — вы получите быстрый, чистый от рекламы и зашифрованный канал. Но если вам нужна надёжность «на автомате» — лучше выбрать провайдера с официальной поддержкой роутеров. AdGuard здесь — ниша для энтузиастов, а не массовый инструмент.
Question: Is live chat available 24/7 or only during certain hours?