openvpn настройка mikrotik
openvpn настройка mikrotik
OpenVPN на MikroTik: как не устроить себе брешь в безопасности
Подробный гайд: openvpn настройка mikrotik — шаг за шагом с учётом реальных рисков и скрытых подводных камней.
openvpn настройка mikrotik — это не просто импорт .ovpn-файла и перезагрузка. На MikroTik RouterOS даже корректно работающий туннель может стать лазейкой для утечки трафика, если не учесть нюансы маршрутизации, DNS и обработки исключений. В этом материале разберём всё: от выбора шифрования до защиты от DPI-блокировок Ростелекома и МТС.
Почему OpenVPN на MikroTik — не всегда лучший выбор
MikroTik поддерживает OpenVPN начиная с RouterOS v6.41, но реализация имеет ограничения:
- Поддерживается только TCP (UDP недоступен до RouterOS v7.13+ beta).
- Нет встроенного управления сертификатами — всё делается вручную через /certificate.
- Отсутствует родной split tunneling: приходится городить правила маршрутизации.
- Шифрование ограничено набором алгоритмов, доступных в OpenSSL версии, вшитой в RouterOS.
Для пользователей в России это критично: провайдеры вроде Ростелеком активно применяют DPI (Deep Packet Inspection) для блокировки OpenVPN-over-TCP из-за его предсказуемого поведения. Обход требует дополнительных слоёв маскировки (stunnel, obfsproxy), что усложняет конфигурацию и снижает скорость.
Чего вам НЕ говорят в других гайдах
Большинство гайдов молчат о трёх вещах:
-
Логирование на стороне сервера. Даже если ваш MikroTik не пишет логи, удалённый OpenVPN-сервер может сохранять IP-адреса подключений, временные метки и объёмы трафика. Юрисдикция сервера (например, США или Великобритания) позволяет передавать эти данные по запросу спецслужб — особенно в рамках соглашений 14 Eyes.
-
Утечки через DNS. По умолчанию MikroTik использует DNS-серверы провайдера. Если вы не пропишете
allow-remote-requests=noи не назначите DNS через DHCP или скрипт, все запросы пойдут в открытом виде — даже при активном туннеле. -
Kill switch — не работает «из коробки». При обрыве связи MikroTik продолжит отправлять трафик в интернет напрямую, если не настроены строгие firewall-правила с action=drop для всего, кроме туннеля. Это классическая ошибка новичков.
Кроме того, бесплатные OpenVPN-конфиги (особенно с форумов) часто содержат закладки: изменённые DNS-сертификаты, перенаправление на рекламные страницы или даже вредоносные CA-сертификаты.
| Критерий | OpenVPN (TCP) | OpenVPN (UDP) | WireGuard | IPsec/IKEv2 |
|---|---|---|---|---|
| Поддержка в RouterOS | v6.41+ | v7.13+ (beta) | Нет | Да |
| Скорость (на 100 Мбит/с) | ~45 Мбит/с | ~85 Мбит/с | — | ~90 Мбит/с |
| Устойчивость к DPI | Низкая | Средняя | Высокая* | Средняя |
| Perfect Forward Secrecy | Да | Да | Да | Да |
| Простота настройки | Сложная | Сложная | Очень простая (на других платформах) | Средняя |
* WireGuard легко маскируется под обычный UDP-трафик, но на MikroTik его нет — придётся ставить CHR или использовать сторонний шлюз.
Пошаговая настройка без «чёрных ящиков»
Этап 1. Подготовка сертификатов
На MikroTik нет GUI для PKI. Генерируйте CA, серверный и клиентский сертификаты на ПК (например, через EasyRSA), затем импортируйте:
/certificate import file-name=ca.crt
/certificate import file-name=client.crt
/certificate import file-name=client.key
Убедитесь, что сертификаты имеют правильные флаги: CA для центра сертификации, tls-client для клиентского.
Этап 2. Создание OpenVPN-интерфейса
/interface ovpn-client add connect-to=your-vpn.example.com \
port=443 protocol=tcp \
certificate=client \
auth=sha256 cipher=aes-256-cbc \
mode=ip user=vpnuser password=secret
Обратите внимание:
- Используйте cipher=aes-256-gcm, если сервер поддерживает (меньше нагрузка на CPU).
- auth=sha256 безопаснее старого sha1.
Этап 3. Маршрутизация и DNS
Добавьте маршрут по умолчанию через туннель:
/ip route add gateway=ovpn-out1 distance=1 check-gateway=ping
Заблокируйте утечки DNS:
/ip dns set allow-remote-requests=no
/ip firewall nat add chain=srcnat out-interface=ovpn-out1 action=masquerade
Этап 4. Kill switch
Создайте правило, запрещающее любой трафик, кроме туннеля:
/ip firewall filter add chain=forward out-interface-list=!WAN action=drop
(Предварительно добавьте интерфейс ovpn-out1 в список WAN или создайте отдельный список VPN_ONLY.)
Как проверить, что трафик действительно шифруется
Проверка — неотъемлемая часть настройки. Не доверяйте глазам.
- IP-утечка: зайдите на ipleak.net. Должен отображаться IP вашего VPN-сервера, а не провайдера.
- DNS-утечка: на том же сайте проверьте DNS. Все серверы должны принадлежать вашему VPN-провайдеру.
- WebRTC-утечка: откройте browserleaks.com/webrtc. Если вы используете браузер на устройстве за MikroTik, утечка маловероятна, но проверить стоит.
- Тест обрыва: отключите кабель от WAN на 10 секунд. После восстановления соединения убедитесь, что трафик не пошёл напрямую (повторите проверку на ipleak.net).
Если хоть один тест провален — возвращайтесь к firewall-правилам.
Альтернативы: WireGuard, IPsec и когда их использовать
Когда выбирать IPsec вместо OpenVPN?
- У вас стабильное соединение (IPsec плохо переживает смену IP).
- Нужна максимальная скорость (IPsec аппаратно ускоряется на многих MikroTik с CPU ARM).
- Сервер поддерживает IKEv2 с MOBIKE (плавный переход между сетями).
А что насчёт WireGuard?
На «железных» MikroTik (RB, hAP) WireGuard не поддерживается. Единственный вариант — Cloud Hosted Router (CHR) на VPS. Но тогда теряется смысл: зачем ставить CHR, если можно поднять полноценный WireGuard-сервер?
Shadowsocks и другие обфускационные протоколы
Если ваш провайдер блокирует OpenVPN даже через 443 порт, рассмотрите связку:
MikroTik → Shadowsocks (на VPS) → OpenVPN
Это снижает скорость, но обходит DPI. Однако настройка требует продвинутых знаний Linux и работы с iptables.
Вывод
openvpn настройка mikrotik — задача для тех, кто готов копать глубже стандартных инструкций. MikroTik даёт полный контроль, но взамен требует понимания маршрутизации, firewall и особенностей шифрования. Если вы настраиваете OpenVPN только ради обхода блокировок — возможно, проще купить коммерческий VPN с приложением для ПК/телефона. Но если цель — построить защищённый шлюз для всей сети с гарантией от утечек, то ручная настройка на MikroTik оправдана. Главное — не забывайте тестировать каждый этап и никогда не доверяйте «рабочему» конфигу без проверки на ipleak.net.
VPN замедляет интернет на сколько реально?
На MikroTik с CPU 650 МГц (например, hAP ac²) OpenVPN-over-TCP даёт ~45 Мбит/с при шифровании AES-256. Это потеря 55% от канала в 100 Мбит/с. Переход на AES-128 или GCM-режим ускоряет на 15–20%. WireGuard (на CHR) — 90–95% скорости.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий VPN с юрисдикцией в 14 Eyes и без политики no-log — да, по запросу суда. Самостоятельно развёрнутый OpenVPN на своём VPS в нейтральной юрисдикции (Швейцария, Панама) снижает риск, но не даёт 100% анонимности. MikroTik здесь ни при чём — всё зависит от сервера.
WireGuard или OpenVPN — что безопаснее?
Оба протокола используют современные криптоалгоритмы и поддерживают perfect forward secrecy. WireGuard проще, меньше кода — значит, меньше уязвимостей. OpenVPN гибче в настройке, но сложнее аудировать. На практике разница минимальна, если оба правильно настроены.
Можно ли использовать бесплатный OpenVPN-сервер?
Технически — да. Практически — нет. Бесплатные сервисы зарабатывают на ваших данных: продают логи, внедряют рекламу, используют ваш трафик для ретрансляции (как Hola). Стоимость аренды VPS от $3/мес — это цена приватности.
Почему OpenVPN не подключается через 443 порт?
Провайдер может применять SSL-инспекцию и блокировать трафик, не похожий на HTTPS. Попробуйте обфускацию (obfs4) или перенос трафика в WebSocket. На MikroTik это требует внешнего прокси (например, nginx на VPS).
Нужно ли отключать IPv6 при использовании VPN на MikroTik?
Да. MikroTik по умолчанию может отправлять IPv6-трафик в обход туннеля, так как OpenVPN не поддерживает IPv6 в клиентском режиме. Лучше отключить IPv6 глобально: /ipv6 settings set disable-ipv6=yes.
Great summary. Adding screenshots of the key steps could help beginners. Clear and practical.