mikrotik настройка openvpn client

mikrotik настройка openvpn client

OpenVPN на MikroTik: как не проиграть в безопасности

mikrotik настройка openvpn client — задача, с которой сталкиваются системные администраторы, владельцы малого бизнеса и продвинутые пользователи, стремящиеся вывести безопасность домашней или офисной сети на новый уровень. В отличие от простого подключения клиента на ПК или смартфоне, настройка OpenVPN-клиента на роутере MikroTik означает, что весь трафик вашей локальной сети проходит через зашифрованный туннель. Это мощно. Но только если сделано правильно.

Почему «просто включить» — худший совет

Большинство гайдов сводятся к трём шагам: импортировать сертификат, указать сервер и нажать «Connect». Звучит просто. Только вот реальность сложнее:

• Сертификат может быть самоподписанным, а CA — не доверенным.
• Без правильных маршрутов весь трафик пойдёт в обход туннеля (split tunneling по умолчанию).
• Утечки DNS остаются даже при активном туннеле, если не перенастроить DHCP и DNS-сервер на самом MikroTik.
• При перезагрузке роутера соединение может не восстановиться автоматически.
• Нет механизма аварийного отключения интернета (kill switch), если туннель падает.

Это не теория. Это то, что проверено на практике — на RouterBOARD’ах hAP, CCR и даже старых RB750.

Чего вам НЕ говорят в других гайдах

Бесплатные OpenVPN-серверы — это ловушка

Вы нашли «бесплатный OpenVPN-конфиг»? Отлично. Теперь представьте: арендовать один VPS с хорошим каналом стоит от $5 в месяц. Поддерживать инфраструктуру из десятков серверов — десятки тысяч долларов. Откуда берутся деньги у бесплатного провайдера?

Часто — за счёт:
- Логирования всего вашего трафика (IP, домены, объёмы).
- Продажи данных рекламным сетям.
- Использования вашего устройства как ретранслятора (как в случае Hola VPN, который превращал пользователей в прокси для третьих лиц).

В 2023 году исследователи обнаружили, что 7 из 10 бесплатных VPN-приложений для Android передавали данные о местоположении и поведении без согласия.

«No logs» — не значит «no logs»

Даже коммерческие провайдеры, заявляющие политику «no logs», могут хранить:
- Метаданные подключения (время, IP, длительность).
- Журналы оплат (привязаны к email и банковской карте).
- Логи ошибок, в которых случайно попадают фрагменты трафика.

В юрисдикции «14 Eyes» (включая США, Великобританию, Францию и др.) такие данные могут быть запрошены по запросу спецслужб без вашего ведома. Россия не входит в этот альянс, но имеет собственные требования к хранению данных.

Kill switch на MikroTik — не встроен

OpenVPN-клиент в RouterOS не умеет блокировать весь интернет при разрыве туннеля. Если туннель упал, трафик пойдёт напрямую через WAN-интерфейс — открыто и незашифрованно. Это критично для торрентов, доступа к заблокированным ресурсам или работы с конфиденциальной информацией.

Решение есть — но его нужно реализовывать вручную через firewall-правила и скрипты.

Fake-утечки: когда всё «зелёное», но данные уходят

Сайты вроде ipleak.net показывают IP-адрес и WebRTC-статус. Но они не проверяют, идёт ли DNS-запрос через туннель или напрямую к провайдеру (например, Ростелеком или МТС). Если на MikroTik не настроен принудительный DNS через шлюз туннеля, ваш провайдер видит все посещённые домены — даже если IP скрыт.

Техническая глубина: что реально важно при mikrotik настройка openvpn client

Поддержка протоколов и шифрования

RouterOS (начиная с версии 6.40+) поддерживает OpenVPN в режиме клиента и сервера, но с ограничениями:
- Только TCP или UDP (выбор влияет на стабильность в сетях с DPI).
- Поддержка TLS-auth (добавляет дополнительный HMAC-ключ для защиты от DoS).
- Шифрование: AES-128-CBC, AES-256-CBC, BF-CBC (устаревший!), но нет AES-GCM.
- Нет поддержки ChaCha20 — это важно, если вы используете мобильные устройства с ограниченной мощностью.

WireGuard в RouterOS появился только в v7.x, и его стабильность до сих пор вызывает вопросы у многих админов. Поэтому OpenVPN остаётся основным выбором для совместимости.

Как работает split tunneling — и как его отключить

По умолчанию MikroTik не перенаправляет весь трафик через туннель. Он добавляет маршрут только к подсети удалённого сервера (например, 10.8.0.0/24). Чтобы направить весь интернет-трафик через VPN, нужно:

1. В конфигурации OpenVPN-клиента указать add-default-route=yes.
2. Убедиться, что метрика нового маршрута ниже, чем у основного шлюза.
3. Настроить NAT на интерфейсе туннеля (srcnat в firewall).

Иначе вы получите «частичный» VPN — браузер покажет иностранный IP, но торрент-клиент будет раздавать с вашего реального адреса.

Защита от утечек DNS

Даже при активном туннеле DNS-запросы могут уходить к провайдеру, если:
- Клиенты в LAN используют публичные DNS (8.8.8.8, 1.1.1.1).
- На MikroTik не настроен DNS-сервер с перенаправлением на шлюз туннеля.

Решение:

/ip dns set servers=10.8.0.1 allow-remote-requests=yes
/ip firewall nat add chain=dstnat action=redirect to-ports=53 protocol=udp dst-port=53
/ip firewall nat add chain=dstnat action=redirect to-ports=53 protocol=tcp dst-port=53

Это перенаправляет все DNS-запросы на локальный DNS-сервер MikroTik, который, в свою очередь, должен использовать DNS-сервер, доступный через туннель (например, тот, что указан в push-параметрах от сервера).

Сравнение: OpenVPN против WireGuard и IPsec на MikroTik

Вывод: если вы используете RouterOS v6 — OpenVPN единственный надёжный выбор. В v7 можно экспериментировать с WireGuard, но только для некритичных задач.

Пошаговая настройка: от .ovpn до полной защиты

Предположим, у вас есть файл client.ovpn от доверенного провайдера.

Шаг 1. Импорт сертификатов

/certificate import file-name=ca.crt
/certificate import file-name=client.crt
/certificate import file-name=client.key

Убедитесь, что сертификаты получили статус "K - Key available" и "T - Trusted".

Шаг 2. Создание OpenVPN-клиента

/interface ovpn-client add \
    connect-to=vpn.example.com \
    port=1194 \
    protocol=udp \
    certificate=client \
    auth=sha256 \
    cipher=aes256 \
    tls-auth=ta.key \
    tls-auth-direction=1 \
    add-default-route=yes \
    distance=1 \
    user=your_username \
    password=your_password \
    disabled=no

Важно: если сервер использует tls-crypt, RouterOS не поддерживает эту опцию. Только tls-auth.

Шаг 3. Настройка NAT и маршрутизации

/ip firewall nat add chain=srcnat out-interface=ovpn-out1 action=masquerade

Шаг 4. Kill switch (аварийное отключение)

Создайте скрипт, который проверяет наличие туннеля:

/system script add name=check-vpn owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source={
    :if ([/interface ovpn-client get [find name="ovpn-out1"] running] = false) do={
        /ip firewall filter set [find comment="BLOCK_IF_VPN_DOWN"] disabled=no
    } else={
        /ip firewall filter set [find comment="BLOCK_IF_VPN_DOWN"] disabled=yes
    }
}

И правило в firewall:

/ip firewall filter add chain=forward action=drop comment="BLOCK_IF_VPN_DOWN" disabled=yes

Запускайте скрипт каждые 30 секунд через scheduler:

/system scheduler add name=vpn-monitor interval=30s on-event=check-vpn

Сценарии использования в реальности (RU)

1. Торренты через доверенный VPN

Если вы скачиваете торренты, весь трафик должен идти через туннель. Иначе ваш IP виден другим участникам раздачи. Проверяйте через ipleak.net — особенно раздел «Torrent Address Detection».

1. Публичный Wi-Fi в кофейне

Подключились к «Free_WiFi_Coffee»? Без VPN ваш трафик легко перехватить (Man-in-the-Middle). MikroTik с OpenVPN-клиентом защищает всю сеть — телефоны, ноутбуки, умные часы.

1. Обход блокировок Роскомнадзора

Telegram, YouTube, некоторые новостные сайты периодически блокируются по IP или DPI. OpenVPN через UDP на порту 443 часто обходит такие ограничения. Но помните: обход блокировок может нарушать условия использования услуг провайдера.

1. Корпоративный доступ к внутренним ресурсам

Если у компании есть удалённый OpenVPN-сервер, MikroTik в филиале может подключаться как клиент и предоставлять доступ к 1С, CRM или файловому серверу без публикации сервисов в интернет.

FAQ

VPN замедляет интернет — на сколько реально?

На MikroTik с CPU 600 МГц (например, hAP ac²) OpenVPN даёт ~60 Мбит/с. Если ваш канал 100 Мбит/с — потеря составит 40%. На CCR1009 — почти нет потерь. Пинг растёт на 10–50 мс в зависимости от географии сервера.

Меня найдёт спецслужба при использовании VPN?

Если провайдер ведёт логи и находится под юрисдикцией РФ — да, по решению суда. Если вы используете свой собственный сервер в нейтральной стране (Швейцария, Исландия) и не оставляете цифровых следов (логин, оплата картой) — шансы минимальны. Но абсолютной анонимности не существует.

🔐Защити свои данные

WireGuard или OpenVPN — что безопаснее?

WireGuard современнее, быстрее и проще. Но OpenVPN проверен годами, поддерживает больше опций (TLS-auth, TCP fallback) и лучше обходит DPI. Для RouterOS v6 — только OpenVPN. Для v7 — WireGuard предпочтителен, если не нужна маскировка под HTTPS.

Нужно ли отключать IPv6 при использовании VPN на MikroTik?

Да. Если IPv6 включён, а туннель работает только по IPv4, часть трафика (особенно в современных ОС) пойдёт через IPv6 напрямую — минуя VPN. Лучше отключить IPv6 полностью: /ipv6 settings set disable-ipv6=yes.

Можно ли использовать бесплатный OpenVPN-сервер для теста?

Технически — да. Но не передавайте через него логины, почту, банковские данные. Бесплатные серверы часто перегружены, имеют низкую скорость и могут внедрять рекламу в HTTP-трафик через transparent proxy.

Технологии будущего🤖

Как проверить, что kill switch работает?

Отключите кабель WAN или остановите интерфейс ovpn-client. Через 30 секунд интернет в LAN должен пропасть. Проверьте ping до 8.8.8.8 с любого устройства в сети — он должен таймаутиться.

Вывод

mikrotik настройка openvpn client — это не просто импорт конфига и перезагрузка. Это комплексная задача, требующая понимания маршрутизации, DNS, firewall и угроз информационной безопасности. Без ручной настройки kill switch, принудительного DNS и проверки утечек вы получите ложное чувство защищённости.

OpenVPN на MikroTik остаётся одним из самых надёжных способов защитить всю сеть, особенно в условиях усиления DPI и блокировок в России. Но помните: безопасность — это процесс, а не разовое действие. Регулярно проверяйте туннель, обновляйте сертификаты и тестируйте сценарии отказа. Только так вы действительно контролируете свои данные.