openvpn клиент на mikrotik

openvpn клиент на mikrotik

OpenVPN-клиент на MikroTik: как поднять защищённый туннель без ложной безопасности

openvpn клиент на mikrotik — не просто строка в конфигурации. Это точка входа в защищённую инфраструктуру или ловушка для тех, кто верит в «просто включил — и всё». RouterOS поддерживает OpenVPN с версии 6.43, но реализация имеет нюансы, о которых молчат даже опытные администраторы. В этом материале — только проверенные практики, реальные риски и пошаговая настройка без прикрас.

Сценарии, где это жизненно необходимо
- Журналист в командировке. Подключается к Wi-Fi в аэропорту Домодедово. Без шифрования — любой сосед в сети видит его трафик. OpenVPN-клиент на MikroTik шифрует весь исходящий трафик до доверенного сервера.
- IT-специалист на кофе в кафе. Работает через RDP с корпоративным сервером. Без VPN — MITM-атака возможна за 5 минут. С правильно настроенным туннелем — даже если злоумышленник перехватит пакеты, он получит только AES-256-шифротекст.
- Пользователь торрентов. Хочет избежать претензий от правообладателей и провайдера (например, Ростелеком). OpenVPN скрывает реальный IP, но только если нет утечек DNS и WebRTC — их легко проверить на ipleak.net.
- Обход блокировки Telegram или YouTube. Роскомнадзор блокирует по IP и DPI. Простой прокси не спасает — нужен шифрованный туннель, который обходит глубокую инспекцию пакетов.
- Корпоративная защита филиала. Малый офис в Казани подключается к головному офису в Москве через OpenVPN-туннель на MikroTik. Все данные между точками шифруются, как будто устройства в одной локальной сети.

Техническая правда о шифровании в RouterOS
RouterOS использует OpenSSL для OpenVPN. Поддерживаются:

• Шифрование данных: AES-128-CBC, AES-256-CBC, AES-128-GCM, AES-256-GCM.
• Аутентификация: SHA1, SHA256, SHA512.
• Обмен ключами: TLS 1.2/1.3 (в RouterOS v7+), Diffie-Hellman (минимум 2048 бит).
• Perfect Forward Secrecy (PFS): достигается при использовании эфемерных ключей (например, ECDHE).

Важно: CBC-режим уязвим к атакам типа padding oracle. Лучше использовать GCM — он обеспечивает и шифрование, и целостность за один проход.

MTU по умолчанию — 1500 байт. При добавлении заголовков OpenVPN (до 80 байт) возможна фрагментация. Чтобы избежать потерь, установите mss-fix=1300 в конфигурации клиента.

Split tunneling: как направить только нужный трафик
По умолчанию весь трафик идёт через туннель. Но часто нужно направлять только часть — например, только корпоративные ресурсы или только торрент-трафик.

В RouterOS это делается через маршрутизацию:

1. Создайте отдельную таблицу маршрутизации: /ip route rule add table=vpn_table.
2. Добавьте маршрут до нужной подсети: /ip route add 10.0.0.0/24 gateway ovpnc1 table=vpn_table.
3. Назначьте правила для определённых IP: /ip firewall mangle add src-address=192.168.88.50 action=mark-routing new-routing-mark=to_vpn.
4. Свяжите метку с таблицей: /ip route rule add routing-mark=to_vpn table=vpn_table.

Теперь только устройство с IP 192.168.88.50 будет ходить в сеть 10.0.0.0/24 через OpenVPN.

Утечки, которые сводят на нет всю защиту
Даже при активном OpenVPN-туннеле DNS-запросы могут уходить напрямую к провайдеру — например, МТС или Билайн. Это раскрывает список посещаемых сайтов.

Как проверить:
- Зайдите на ipleak.net — сервис покажет ваш DNS-сервер.
- Если там указан IP вашего провайдера — утечка есть.

Как исправить в RouterOS:
- Отключите автоматическую раздачу DNS от DHCP: /ip dhcp-server network set dns-server="" number=0.
- Укажите DNS через туннель: /interface ovpn-client set dns-server=8.8.8.8,1.1.1.1 numbers=ovpnc1.
- Или настройте локальный DNS-резолвер (например, Unbound) с форвардингом через туннель.

WebRTC-утечки актуальны только для браузеров. Их нельзя закрыть на уровне роутера — только отключением WebRTC в настройках браузера или использованием дополнений.

Дополнительно: если вы используете IPv6, убедитесь, что трафик тоже идёт через туннель. RouterOS по умолчанию может отправлять IPv6-запросы напрямую, даже при активном OpenVPN. Лучшее решение — отключить IPv6 глобально: /ipv6 settings set disable=yes.

Kill switch своими руками: без иллюзий
«Kill switch» — механизм, который блокирует весь интернет при обрыве VPN. В MikroTik его нет «из коробки», но можно собрать вручную.

Алгоритм:
1. Создайте firewall-правило, запрещающее весь трафик, кроме туннеля: /ip firewall filter add chain=forward out-interface=!ovpnc1 action=drop.
2. Разрешите трафик к самому серверу OpenVPN: /ip firewall filter add chain=forward dst-address=<IP_сервера> action=accept.
3. При старте туннеля правило активируется; при падении — весь трафик блокируется.

Важно: если сервер OpenVPN недоступен при старте роутера, интернет не заработает. Убедитесь, что правило применяется только после успешного подключения.

Тестирование kill switch: после настройки имитируйте обрыв, отключив кабель или остановив сервер. Попробуйте открыть сайт — соединение должно висеть без ответа. Если страница загружается — правило не сработало. Частая ошибка — применение правила к цепочке input вместо forward. Трафик LAN→WAN идёт через forward.

Чего вам НЕ говорят в других гайдах
Большинство гайдов молчат о трёх вещах:

1. Логирование на стороне сервера. Даже если вы контролируете клиент, сервер может сохранять ваши IP, время подключения, объём трафика. Проверяйте политику no-log — но помните: в юрисдикции 14 Eyes (включая США, Великобританию, Францию) такие обещания ничего не стоят. По запросу суда логи обязаны предоставить.

   Технологии будущего🤖

2. Поддельный kill switch. Некоторые бесплатные VPN-приложения имитируют защиту, но при обрыве просто показывают уведомление, не блокируя трафик. На MikroTik вы сами строите защиту — значит, контролируете её эффективность.

3. DPI и блокировка OpenVPN. Роскомнадзор активно использует Deep Packet Inspection. Простой OpenVPN на порту 1194 легко блокируется. Обход — через obfsproxy, stunnel или перенос трафика на 443/TCP. В RouterOS это возможно, но требует дополнительной настройки.

4. Фрод с бесплатными VPN. Бесплатные сервисы зарабатывают на ваших данных. Например, Hola VPN в 2015 году превратила пользователей в ботнет для продажи прокси-трафика. Сервер стоит от $5/мес — если вам «дарят» VPN, вы и есть товар.

   🛠️Инструмент для работы

5. Отсутствие независимых аудитов. Ни один российский или массовый зарубежный провайдер не проходил аудит от Cure53 или Quarkslab. Без этого «no-log» — просто слова.

6. Сертификаты и их срок действия. Многие администраторы забывают обновлять клиентские сертификаты. По умолчанию они действительны 365 дней. После истечения срока OpenVPN-клиент на MikroTik перестанет подключаться, а интернет — отвалится (если стоит kill switch). Автоматизируйте обновление через скрипты или используйте длинные сроки (например, 1825 дней).

Сравнение протоколов на железе MikroTik
| Критерий | OpenVPN (MikroTik) | WireGuard (не в RouterOS) | IPsec (IKEv2) |
|------------------------|-------------------------|----------------------------|--------------------------|
| Поддержка в RouterOS | Да (с v6.43) | Нет | Да |
| Шифрование | AES-256-GCM, ChaCha20* | ChaCha20-Poly1305 | AES-256, SHA2 |
| Скорость (на hEX S) | ~85 Мбит/с | N/A | ~110 Мбит/с |
| Обход DPI | Только с obfs/stunnel | Легко | Сложно |
| Юрисдикция сервера | Зависит от вас | Зависит от вас | Зависит от вас |
| Реальный no-log | Только при self-hosted | Только при self-hosted | Только при self-hosted |

* ChaCha20 в OpenVPN требует сборки с поддержкой — в стандартной RouterOS недоступен.

VPN замедляет интернет на сколько реально?

На MikroTik hEX (ARM) OpenVPN даёт ~85 Мбит/с при канале 100 Мбит/с. Потери — 10–15%. На более слабых CPU (например, hAP lite) — до 50% падения.

Меня найдёт спецслужба при использовании VPN?

Если вы используете коммерческий VPN без аудита и зарегистрированы в юрисдикции 14 Eyes — да, по запросу суда. Self-hosted сервер в дружественной стране снижает риск, но не даёт анонимности.

🛠️Инструмент для работы

WireGuard или OpenVPN — что безопаснее?

Оба протокола криптографически надёжны. WireGuard проще, быстрее и легче аудируется. OpenVPN гибче в обходе блокировок. Но на MikroTik WireGuard недоступен — выбор за OpenVPN или IPsec.

Можно ли использовать OpenVPN-клиент на MikroTik для торрентов?

Да, но только если сервер разрешает P2P и у вас нет утечек DNS/IP. Проверяйте на ipleak.net после подключения.

Что делать, если OpenVPN не подключается?

Проверьте: 1) сертификаты (CA, клиентский); 2) порт и протокол (TCP/UDP); 3) MTU/MSS; 4) firewall на сервере и клиенте. В RouterOS логи смотрите в `/log print where topics~"ovpn"`

🔐Защити свои данные

Нужен ли статический IP для сервера OpenVPN?

Нет. Можно использовать доменное имя. RouterOS поддерживает DNS-резолвинг при старте клиента.

Вывод

openvpn клиент на mikrotik — мощный инструмент, но не панацея. Он защищает от перехвата в публичных сетях, скрывает IP от провайдера и помогает обойти базовые блокировки. Однако без правильной настройки DNS, kill switch и защиты от DPI вы получите иллюзию безопасности. Самое надёжное решение — self-hosted OpenVPN-сервер вне юрисдикции 14 Eyes и клиент на MikroTik с ручной маршрутизацией и проверкой утечек. Помните: если вы не платите за VPN — вы и есть продукт.