mikrotik как сделать прокси сервер
mikrotik как сделать прокси сервер
MikroTik как сделать прокси сервер: пошаговая настройка без иллюзий
Подробный гайд: mikrotik как сделать прокси сервер — с нуля, с проверкой утечек и советами по безопасности. Настрой за 10 минут.
mikrotik как сделать прокси сервер — вопрос, который чаще всего задают администраторы малого бизнеса и продвинутые пользователи, пытающиеся организовать фильтрацию трафика или ускорить загрузку сайтов. Но не всё так просто.
Забудь про «VPN»: MikroTik делает именно прокси, а не шифрованный туннель
Первое, что путают новички: встроенный прокси-сервер в RouterOS не является VPN. Он не шифрует весь трафик, не скрывает IP от внешних ресурсов и не защищает от DPI (Deep Packet Inspection) провайдера. Это классический HTTP/HTTPS-прокси с опциональным кэшированием и базовой фильтрацией.
Если ты хочешь обойти блокировку Telegram или YouTube — прокси через MikroTik не поможет, если только ты не направишь его трафик через внешний зашифрованный канал (например, через WireGuard до удалённого сервера). А вот для внутренней сети офиса он идеален: ускоряет повторные загрузки, блокирует рекламу, ограничивает доступ к соцсетям в рабочее время.
MikroTik поддерживает:
- Прозрачный прокси (transparent proxy) — клиенты даже не знают, что их трафик перехватывается.
- Явный прокси (explicit proxy) — браузер или приложение настраивается вручную на порт 8080 (по умолчанию).
- Кэширование статических объектов (картинки, CSS, JS) — экономит трафик при медленном канале.
- Базовую авторизацию по логину/паролю или IP-адресу.
Но нет SOCKS5, нет TLS-терминации «из коробки», нет защиты от утечек WebRTC. Это важно понимать до начала настройки.
Пошаговая настройка: от нуля до работающего прокси за 7 шагов
Предположим, у тебя есть MikroTik hAP ac² с RouterOS v7.5+. Цель — поднять прозрачный HTTP-прокси с кэшированием для локальной сети 192.168.88.0/24.
Шаг 1. Включи сам прокси-сервис
/ip proxy
set enabled=yes port=8080 cache-on-disk=yes max-cache-size=1024MiB
Здесь:
- port=8080 — стандартный порт, можно изменить.
- cache-on-disk=yes — кэш будет сохраняться после перезагрузки.
- max-cache-size=1024MiB — ограничение дискового кэша (подбери под объём NAND/USB).
⚠️ На устройствах без SSD (например, hAP lite) кэширование на диск не рекомендуется — быстро изнашивает память.
Шаг 2. Настрой правила NAT для прозрачного перехвата
/ip firewall nat
add chain=dstnat src-address=192.168.88.0/24 protocol=tcp dst-port=80 \
action=redirect to-ports=8080 comment="Transparent HTTP Proxy"
Это правило перенаправляет весь HTTP-трафик (порт 80) с локальных устройств на внутренний прокси.
❗ HTTPS (порт 443) так не перехватить — нужен SSL Bump, которого в RouterOS нет. Попытки перенаправить 443 сломают все защищённые сайты.
Шаг 3. Ограничь доступ (опционально)
/ip proxy access
add src-address=!192.168.88.0/24 action=deny comment="Block external access"
Теперь прокси недоступен извне — только из локальной сети.
Шаг 4. Добавь фильтрацию по URL (через регулярки)
/ip proxy access
add dst-host="*vk.com*" action=deny comment="Block VK during work hours"
add dst-host="*youtube.com*" action=deny
Работает только для HTTP. Для HTTPS — бесполезно.
Шаг 5. Настрой расписание (если нужно)
/system scheduler
add name="allow-socials" start-date=jan/01/1970 start-time=18:00:00 interval=1d \
on-event="/ip proxy access disable [find comment=\"Block VK during work hours\"]"
add name="block-socials" start-date=jan/01/1970 start-time=09:00:00 interval=1d \
on-event="/ip proxy access enable [find comment=\"Block VK during work hours\"]"
Шаг 6. Проверь нагрузку на CPU
Прокси — одна из самых ресурсоёмких функций в RouterOS. Выполни:
/tool profile
Если CPU загружен на 80%+ при обычном трафике — отключи кэширование или используй внешний прокси.
Шаг 7. Протестируй
- Открой браузер на клиенте — зайди на любой HTTP-сайт (например, http://example.com).
- Зайди в WinBox → IP → Proxy → Cache — должен появиться список закэшированных объектов.
- Проверь IP на ipleak.net — твой реальный IP останется виден, потому что это не VPN.
Чего вам НЕ говорят в других гайдах
Большинство инструкций молчат о трёх критических моментах:
-
Прокси ≠ анонимность
Твой провайдер (Ростелеком, МТС, Билайн) видит всё: домены, объёмы трафика, время сессий. MikroTik не шифрует исходящие соединения. Если ты качаешь торренты через HTTP-прокси — раздачи всё равно будут видеть твой реальный IP. -
Кэширование может стать уязвимостью
RouterOS хранит кэш в открытом виде. Любой, кто получит доступ к файловой системе (например, через уязвимость в WinBox), увидит историю посещений всех пользователей. Это особенно опасно в общих сетях. -
Прозрачный прокси ломает современные сайты
Многие ресурсы (Google, Cloudflare) используют HSTS и автоматически перенаправляют на HTTPS. Твой прокси обрабатывает только HTTP — значит, фильтрация и кэширование не работают для 95% современного веба. -
Бесплатные «облачные прокси» — ловушка
Некоторые предлагают настроить MikroTik на внешний прокси (например, через 3proxy на VPS за $2/мес). Но: - Такие сервисы часто ведут полные логи.
- Нет гарантии, что трафик не анализируется.
-
При DDoS или отключении VPS — вся сеть теряет интернет.
-
Нет защиты от DNS/WebRTC-утечек
Даже если ты настроил прокси в браузере, JavaScript на сайте может через WebRTC раскрыть твой локальный IP. А DNS-запросы по умолчанию идут напрямую к провайдеру. MikroTik не решает эту проблему без дополнительных правил фаервола.
Когда MikroTik-прокси реально полезен (и когда — нет)
| Сценарий | Подходит? | Почему |
|---|---|---|
| Ускорение загрузки HTTP-сайтов в офисе | ✅ Да | Кэширование картинок и скриптов экономит трафик |
| Фильтрация контента для детей | ⚠️ Частично | Только для HTTP; YouTube и TikTok — не блокируются |
| Обход блокировок РКН | ❌ Нет | Нужен зашифрованный туннель (VPN, Shadowsocks) |
| Защита в публичном Wi-Fi | ❌ Нет | Прокси не шифрует трафик — MITM-атаки возможны |
| Логирование посещений сотрудников | ✅ Да | История доступна в кэше и логах прокси |
Альтернативы: когда лучше использовать не MikroTik
Встроенный прокси хорош для простых задач. Но если нужны серьёзные функции — смотри в сторону:
| Решение | Юрисдикция | Логи | Протоколы | Цена | Реальная скорость |
|---|---|---|---|---|---|
| MikroTik встроенный прокси | Твоя локальная сеть | Да (кэш = лог) | HTTP/HTTPS | Бесплатно | До 100 Мбит/с (на hAP ac²) |
| Squid на внешнем сервере | Любая (выбираешь VPS) | Настраивается | HTTP/HTTPS/SOCKS | От 300 ₽/мес | До 900 Мбит/с |
| 3proxy на Raspberry Pi | Твоя локальная сеть | Опционально | HTTP/SOCKS | От 1500 ₽ за устройство | До 80 Мбит/с |
| Cloudflare WARP | США | Минимальные | HTTPS | Бесплатно / $5/мес | Зависит от региона |
| Shadowsocks через Docker | Любая | Нет (если настроено правильно) | SOCKS5 | Зависит от VPS | До 500 Мбит/с |
💡 Совет: для обхода блокировок в РФ используй связку MikroTik + WireGuard до VPS в Европе. Прокси тогда работает как локальный фильтр, а весь трафик шифруется на выходе.
Как не устроить себе утечку данных
- Не включай кэширование на устройствах с малым NAND — износ памяти приведёт к отказу роутера.
- Ограничь доступ к прокси только локальной сетью — иначе твой MikroTik станет открытым прокси в интернете.
- Не используй прокси для HTTPS без SSL Bump — это технически невозможно в RouterOS.
- Регулярно чисти кэш:
routeros /ip proxy cache flush - Мониторь логи:
routeros /log print where topics~"proxy"
Можно ли использовать MikroTik прокси для обхода блокировок РКН?
Нет. Встроенный прокси не шифрует трафик и не маскирует конечный IP. Для обхода блокировок нужен полноценный VPN (WireGuard, OpenVPN) или Shadowsocks, настроенный на внешнем сервере.
Замедлит ли прокси интернет?
Да, но незначительно — на 5–15 мс для HTTP-трафика. Однако при включённом кэшировании повторные загрузки будут быстрее. На слабых моделях (hAP lite) возможна просадка скорости до 30 Мбит/с.
Будет ли виден мой трафик провайдеру?
Да. Провайдер видит все домены (SNI в TLS), объёмы и временные метки. Прокси не скрывает ничего от провайдера — только от локальных устройств (если используется для фильтрации).
Как проверить, работает ли кэширование?
Зайди в WinBox → IP → Proxy → Cache. Или открой в браузере два раза один и тот же HTTP-сайт и сравни время загрузки. Также можно включить логирование: /system logging add topics=proxy.
Поддерживает ли MikroTik SOCKS5?
Нет. Встроенный прокси работает только с HTTP и HTTPS (без расшифровки). Для SOCKS5 нужно ставить стороннее ПО (например, 3proxy) на отдельное устройство и направлять трафик через него.
Что делать, если прокси перестал пускать трафик?
Проверь: 1) включён ли сервис (/ip proxy print), 2) не переполнен ли диск (/file print), 3) не блокируют ли правила фаервола доступ. Часто проблема в том, что кэш занял всё место и прокси завис.
Вывод
mikrotik как сделать прокси сервер — задача выполнимая, но с жёсткими границами возможного. Это инструмент для локального управления трафиком, а не средство анонимности или обхода цензуры. Он отлично справляется с кэшированием, фильтрацией HTTP и учётом трафика внутри сети. Но если ты ищешь защиту от слежки, обход блокировок или шифрование — смотри в сторону полноценных VPN-решений. Настрой прокси на MikroTik только тогда, когда понимаешь его пределы. И никогда не считай его заменой безопасному туннелю.
Good reminder about responsible gambling tools. The explanation is clear without overpromising anything.