как настроить openvpn на mikrotik

как настроить openvpn на mikrotik

Как настроить OpenVPN на MikroTik: инструкция без прикрас

Подробный гайд: как настроить openvpn на mikrotik — шаг за шагом, с ловушками, утечками и реальными рисками. Защити свой трафик правильно.

как настроить openvpn на mikrotik — задача не для новичков, но выполнимая даже при базовых знаниях сетей. В этом материале разберём всё: от генерации сертификатов до защиты от DPI и утечек DNS. Без воды, без «просто включи и забудь», с честным взглядом на ограничения и риски.

Почему OpenVPN на MikroTik — это боль (и когда она оправдана)

MikroTik RouterOS поддерживает OpenVPN только в режиме клиента. Сервер запустить нельзя — только через сторонние решения или внешний хост. Это ключевое ограничение, о котором молчат 90% гайдов. Если вы надеялись создать собственный VPN-сервер на hAP lite — забудьте. Но если ваша цель — направить весь трафик из локальной сети через внешний OpenVPN-сервер (например, корпоративный шлюз или доверенный провайдер), тогда MikroTik справится.

OpenVPN здесь работает поверх TCP или UDP, поддерживает TLS-аутентификацию, шифрование AES-128/256-CBC/GCM и сжатие (хотя его лучше отключить из соображений безопасности). Однако RouterOS использует устаревший OpenSSL и не поддерживает современные опции вроде --tls-crypt-v2 или ChaCha20. Это важно, если вы подключаетесь к серверу с жёсткими требованиями к безопасности.

Типичные сценарии использования:
- Корпоративный доступ: сотрудники из филиала подключаются к головному офису через зашифрованный туннель.
- Обход блокировок: трафик уходит через зарубежный сервер, обходя РКН-фильтры (Telegram, YouTube и пр.).
- Защита в публичных сетях: если MikroTik используется как точка доступа в кафе или отеле, весь исходящий трафик можно направить в туннель.

Но помните: настройка не делает вас анонимным. Провайдер видит, что вы используете OpenVPN, а конечный сервер — ваш IP и активность. Анонимность требует Tor, а не просто шифрования.

Подготовка: что нужно до первой команды

Перед тем как настроить openvpn на mikrotik, соберите следующее:

1. Файл конфигурации .ovpn от вашего OpenVPN-провайдера или администратора. Он должен содержать:
2. remote — адрес и порт сервера;
3. ca, cert, key — сертификаты и ключи;

4. tls-auth или tls-crypt — дополнительный ключ (если используется).

   ⚙️Технология доступа

5. Сертификаты в формате PEM, а не PKCS#12. RouterOS не принимает .p12.

6. Пароль от закрытого ключа, если он зашифрован. MikroTik не умеет его запрашивать динамически — придётся расшифровать заранее.

7. Статический IP или DDNS на стороне сервера. Динамические IP усложнят переподключение.

   Открой мир без границ🌍

8. Правила маршрутизации и NAT, чтобы трафик из LAN уходил через интерфейс OpenVPN.

⚠️ Важно: если в .ovpn есть строки setenv opt block-outside-dns или redirect-gateway def1, они игнорируются RouterOS. Управление маршрутами и DNS — полностью в ваших руках.

Пошаговая настройка OpenVPN-клиента на RouterOS

Шаг 1. Импорт сертификатов

Зайдите в WinBox → System → Certificates. Нажмите Import трижды:

• Сначала импортируйте CA-сертификат (ca.crt);
• Затем клиентский сертификат (client.crt);
• И наконец — закрытый ключ (client.key).

Убедитесь, что у ключа стоит галочка "Key", а у сертификата — "CRL" не требуется, если вы не используете списки отзыва.

Если ключ зашифрован паролем, расшифруйте его заранее:

openssl rsa -in client.key -out client_decrypted.key

Шаг 2. Создание OpenVPN-интерфейса

Перейдите в Interface → Add New → OVPN Client.

Заполните поля:

• Connect To: IP или домен сервера;
• Port: обычно 1194 (UDP) или 443 (TCP);
• Mode: ip (не ethernet);
• User: имя пользователя, если требуется (редко для сертификатной аутентификации);
• Password: пароль, если используется;
• Certificate: выберите импортированный клиентский сертификат;
• Auth: sha1 или sha256 — должно совпадать с настройками сервера;
• Cipher: aes-128-cbc, aes-256-cbc или aes-256-gcm (последнее предпочтительнее);
• Protocol: udp (быстрее) или tcp (надёжнее при плохом соединении).

Остальные параметры оставьте по умолчанию, кроме:

• Add Default Route: не ставьте галочку — мы настроим маршруты вручную;
• Use Peer DNS: тоже отключите — DNS будем контролировать сами.

Нажмите OK.

Шаг 3. Настройка маршрутов

Чтобы весь трафик из локальной сети шёл через VPN, добавьте маршрут по умолчанию:

/ip route add dst-address=0.0.0.0/0 gateway=ovpn-out1 distance=2

Где ovpn-out1 — имя вашего OpenVPN-интерфейса.

Если вы хотите использовать split tunneling (только часть трафика через VPN), укажите конкретные подсети:

/ip route add dst-address=192.168.10.0/24 gateway=ovpn-out1

Шаг 4. NAT для выхода в интернет

Добавьте правило маскарадинга для OpenVPN-интерфейса:

/ip firewall nat add chain=srcnat out-interface=ovpn-out1 action=masquerade

Без этого устройства в LAN не смогут получить ответ от внешних серверов.

Шаг 5. Контроль DNS и защита от утечек

RouterOS не перехватывает DNS-запросы автоматически. Чтобы избежать утечек:

1. Настройте локальный DNS-резолвер (например, через IP → DNS);
2. Укажите в настройках DHCP-сервера DNS-адрес самого MikroTik;
3. Заблокируйте прямые DNS-запросы к внешним серверам:

/ip firewall filter add chain=forward dst-port=53 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop

Это заставит все устройства использовать только ваш локальный DNS, который вы можете направить через туннель или на защищённый резолвер (Cloudflare 1.1.1.1, Quad9 и т.д.).

Чего вам НЕ говорят в других гайдах

Большинство инструкций заканчиваются на «всё работает!». Но реальность сложнее.

Бесплатные OpenVPN-серверы — это ловушка

Многие пользователи скачивают «бесплатные .ovpn-файлы» с форумов. Это опасно:
- Такие серверы часто логируют весь трафик;
- Некоторые внедряют рекламу через HTTP-инъекции;
- Есть случаи, когда трафик перепродавался третьим лицам (например, Hola VPN в 2015 году).

Стоимость аренды VPS с хорошим каналом — от $5/мес. Если сервис бесплатный, вы — товар.

Утечки WebRTC и IPv6

Даже при идеальной настройке MikroTik, браузер может раскрыть ваш реальный IP через WebRTC. RouterOS не блокирует это — только клиентские настройки (расширения, флаги в Chrome/Firefox).

Аналогично с IPv6: если у вас включен IPv6 в LAN, а OpenVPN работает только по IPv4, трафик пойдёт напрямую. Отключите IPv6 глобально:

/ipv6 settings set disable=yes

Kill Switch не работает «из коробки»

Если OpenVPN-соединение оборвётся, MikroTik не блокирует интернет — трафик пойдёт напрямую через основной шлюз. Это критично для торрентов или конфиденциальных задач.

Решение — настроить маршрут с высоким distance и правило firewall:

/ip route add dst-address=0.0.0.0/0 gateway=main-gw distance=1  # основной шлюз
/ip route add dst-address=0.0.0.0/0 gateway=ovpn-out1 distance=2  # VPN

/ip firewall filter add chain=forward out-interface=main-gw action=drop

Теперь, если VPN отвалится, весь трафик будет блокироваться.

Юрисдикция и логи

Даже если вы используете «нелогирующий» провайдер, находящийся в юрисдикции 14 Eyes (включая Германию, Францию, Нидерланды), он обязан выдать данные по запросу суда. Россия не входит в этот список, но местные провайдеры обязаны хранить метаданные 3 года по закону №374-ФЗ.

Поддельные аудиты

Многие «проверенные» VPN рекламируют «no logs policy», но независимых аудитов нет. Реальные проверки проводят компании вроде Cure53 или Quarkslab. Если аудита нет — политика конфиденциальности — просто текст.

OpenVPN против WireGuard и IPsec: кто быстрее и безопаснее?

Вывод: если MikroTik обновлён до RouterOS v7+, WireGuard — лучший выбор. Он проще, быстрее и безопаснее. OpenVPN оправдан только при подключении к legacy-инфраструктуре.

Диагностика: как проверить, что всё работает

1. Проверка интерфейса:
   routeros /interface ovpn-client monitor ovpn-out1
   Должен показывать running: yes.

   Технологии будущего🤖

2. Проверка маршрута:
   routeros /ip route print where gateway~"ovpn"

3. Тест утечек DNS:

4. Зайдите на ipleak.net с устройства в LAN;

5. Убедитесь, что DNS-серверы — те, что вы настроили.

   🛠️Инструмент для работы

6. Тест WebRTC:

7. Используйте browserleaks.com/webrtc;

8. Реальный IP не должен отображаться.

9. Проверка kill switch:

   📖Свобода информации
10. Отключите OpenVPN вручную;
11. Попробуйте открыть сайт — должен быть недоступен.

Распространённые ошибки и как их избежать

• Ошибка 1: «TLS handshake failed».
  Причина: несовпадение cipher, auth или устаревший CA. Сверьте настройки с сервером.

• Ошибка 2: «No route to host».
  Возможно, фаервол на стороне сервера блокирует порт. Проверьте ufw или iptables.

  📖Свобода информации

• Ошибка 3: Интернет есть, но сайты не грузятся.
  Скорее всего, DNS утекает. Заблокируйте внешние DNS, как описано выше.

• Ошибка 4: Высокая задержка при использовании TCP.
  OpenVPN поверх TCP вызывает TCP meltdown. Используйте UDP, если возможно.

• Ошибка 5: Сертификат «not trusted».
  Убедитесь, что CA-сертификат импортирован и имеет статус "trusted" в RouterOS.

  🔐Защити свои данные

VPN замедляет интернет — на сколько реально?

На MikroTik c CPU 1 ГГц OpenVPN даёт просадку до 40–50% от исходной скорости (например, с 100 Мбит/с до 50–60 Мбит/с). WireGuard — всего 5–10%. На старых моделях (hAP lite) скорость может упасть до 10–15 Мбит/с.

Меня найдёт спецслужба при использовании VPN?

Если вы используете коммерческий VPN без аудита и находящийся в юрисдикции, сотрудничающей с РФ (например, Германия), — да, по запросу. Если же вы подключены к своему собственному серверу в нейтральной стране (Исландия, Швейцария) и не оставляете цифровых следов — шансы минимальны. Но абсолютной анонимности не существует.

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: меньше кода (меньше уязвимостей), современные криптопримитивы, обязательный perfect forward secrecy. OpenVPN уязвим к атакам на CBC-режим, если не настроен GCM. Однако WireGuard не маскирует трафик под HTTPS, что важно при обходе DPI в России.

Технологии будущего🤖

Можно ли обойти блокировку Telegram через OpenVPN на MikroTik?

Да. Поскольку трафик шифруется и уходит на IP, не входящий в реестр РКН, мессенджер будет работать. Но учтите: Роскомнадзор может блокировать IP-адреса известных VPN-провайдеров. Используйте собственные серверы или редкие локации.

Нужно ли отключать UPnP и SSDP при использовании VPN?

Да. Эти протоколы могут раскрывать внутреннюю структуру сети и устройства. Отключите UPnP в IP → UPnP и блокируйте SSDP (порт 1900/UDP) в firewall.

Как часто нужно менять сертификаты OpenVPN?

Рекомендуется раз в 1–2 года. Но если сертификат скомпрометирован (утёк ключ), — немедленно. Используйте короткие сроки жизни (например, 90 дней) в автоматизированных системах с Easy-RSA или certbot.

Открой мир без границ🌍

Вывод

как настроить openvpn на mikrotik — технически выполнимо, но требует понимания ограничений платформы и рисков самого протокола. MikroTik не поддерживает серверную часть, уязвим к утечкам DNS и не обеспечивает kill switch без ручной настройки. Если ваша цель — максимальная безопасность и скорость, рассмотрите переход на WireGuard (доступен с RouterOS v7). Если же вы подключаетесь к корпоративной или legacy-инфраструктуре, OpenVPN остаётся рабочим решением — при условии, что вы контролируете маршрутизацию, DNS и поведение при обрыве соединения. Не верьте «простым гайдам»: настоящая защита начинается там, где заканчиваются стандартные настройки.