vpn между 2 mikrotik настройка
vpn между 2 mikrotik настройка
Настройка VPN между двумя MikroTik: как не остаться без связи и данных
vpn между 2 mikrotik настройка — задача, с которой сталкиваются системные администраторы, владельцы удалённых офисов и технари, желающие соединить две локальные сети через защищённый туннель. Это не просто «подключил и забыл»: ошибка в конфигурации может привести к полной потере доступа, утечке трафика или блокировке DPI-системами провайдера. В этом гайде разберём реальные сценарии, подводные камни и пошаговую настройку трёх протоколов: IPsec, WireGuard и OpenVPN — с учётом особенностей российской инфраструктуры.
Почему обычный «интернет‑кабель» не подходит для связи офисов
Представьте: у вас есть офис в Москве и склад в Екатеринбурге. Оба подключены к интернету через Ростелеком и МТС соответственно. Вы хотите, чтобы сотрудники из Москвы могли свободно обращаться к базе данных на сервере в Екатеринбурге, как будто он находится в той же локальной сети. Просто открыть порты на роутерах — плохая идея:
- Провайдеры могут применять DPI (Deep Packet Inspection) и блокировать трафик к определённым портам.
- Все данные передаются в открытом виде, что делает их лёгкой мишенью для MITM-атак в публичных сетях или даже на уровне провайдера.
- В России действуют требования ФСБ к хранению метаданных — ваш трафик может быть записан и проанализирован без вашего ведома.
VPN решает эти проблемы, шифруя весь трафик между двумя точками и маскируя его под обычное HTTPS-соединение (особенно при использовании обфускации в OpenVPN или стандартного UDP-трафика в WireGuard).
Выбор протокола: не всё то золото, что называется «шифрованием»
Многие гайды рекомендуют IPsec «потому что он встроенный». Но это не всегда лучший выбор. Давайте сравним три варианта с точки зрения безопасности, скорости и совместимости с российскими условиями.
| Критерий | IPsec (IKEv2) | WireGuard | OpenVPN |
|---|---|---|---|
| Шифрование | AES-256 + SHA256 (можно слабее) | ChaCha20-Poly1305 | AES-256-CBC/GCM, TLS-AUTH |
| Perfect Forward Secrecy | Да (при правильной настройке) | Да (встроено) | Да (через Diffie-Hellman) |
| Скорость (на RB951) | ~85 Мбит/с | ~140 Мбит/с | ~60 Мбит/с |
| Устойчивость к DPI | Низкая (UDP 500 легко блокируется) | Средняя (порт можно менять) | Высокая (обфускация через obfs4) |
| Поддержка NAT | Требует NAT-T | Работает «из коробки» | Работает, но требует push route |
| Юрисдикция влияния | Не применимо (локальный туннель) | Не применимо | Не применимо |
Важно: При настройке между двумя своими устройствами юрисдикция и политика логирования не важны — вы сами контролируете оба конца туннеля. Это принципиальное отличие от коммерческих VPN-сервисов.
Когда что использовать?
- IPsec — если оба роутера MikroTik находятся за статическими IP и вам нужна максимальная совместимость с корпоративными сетями.
- WireGuard — если скорость критична, а оба устройства имеют хотя бы один публичный IP (или вы используете облачный ретранслятор).
- OpenVPN — если один из роутеров находится за CGNAT (например, у домашнего провайдера типа Билайн), и нужно обойти DPI через TCP 443 с обфускацией.
Пошаговая настройка: от нуля до рабочего туннеля
Ниже — универсальный чек-лист, который работает на RouterOS v7 (актуально на июнь 2026 года). Мы рассмотрим WireGuard, как наиболее современное решение.
Шаг 1. Генерация ключей на обоих роутерах
На каждом MikroTik выполните:
/interface wireguard
add name=wg0 listen-port=13231 private-key=""
Система автоматически сгенерирует приватный ключ. Чтобы получить публичный:
/interface wireguard peers
print
Запишите public-key с каждого роутера — они понадобятся друг другу.
Шаг 2. Настройка интерфейса и пира
На Router A (Москва):
/ip address
add address=10.10.0.1/24 interface=wg0
/interface wireguard peers
add interface=wg0 public-key="<публичный_ключ_Router_B>" \
allowed-address=10.10.0.2/32 endpoint=<публичный_IP_Router_B>:13231
На Router B (Екатеринбург):
/ip address
add address=10.10.0.2/24 interface=wg0
/interface wireguard peers
add interface=wg0 public-key="<публичный_ключ_Router_A>" \
allowed-address=10.10.0.1/32 endpoint=<публичный_IP_Router_A>:13231
Шаг 3. Маршрутизация
Чтобы трафик из локальной сети одного офиса попадал в другой, добавьте статические маршруты:
Router A:
/ip route
add dst-address=192.168.2.0/24 gateway=10.10.0.2
Router B:
/ip route
add dst-address=192.168.1.0/24 gateway=10.10.0.1
(Предполагается, что LAN в Москве — 192.168.1.0/24, в Екатеринбурге — 192.168.2.0/24)
Шаг 4. Проверка и диагностика
- Убедитесь, что туннель поднят:
/interface monitor-traffic wg0 - Проверьте пинг между внутренними IP:
ping 192.168.2.10 src=192.168.1.5 - Используйте
tcpdumpна одном из роутеров, чтобы убедиться, что трафик действительно идёт через wg0.
Совет: Если один из роутеров за NAT, укажите в
endpointтолько IP удалённой стороны. Локальный NAT обрабатывается автоматически благодаря keepalive-пакетам.
Чего вам НЕ говорят в других гайдах
Большинство руководств замалчивают критические риски, которые могут свести на нет всю пользу от туннеля.
- Утечки через DNS и WebRTC — даже в «закрытой» сети
Если на компьютерах в локальной сети настроен публичный DNS (например, 8.8.8.8), запросы будут уходить вне туннеля, раскрывая активность пользователей. В России это особенно опасно: провайдеры обязаны блокировать запрещённые ресурсы, и ваш DNS-запрос к таким сайтам может быть зафиксирован.
Решение: Настройте локальный DNS-резолвер (например, dns-cache в MikroTik) и принудительно перенаправляйте все DNS-запросы на него через firewall:
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53
- Отсутствие kill switch на роутере
Если туннель падает, весь трафик может начать идти напрямую в интернет — особенно если используется split tunneling. В отличие от клиентских приложений, RouterOS не имеет встроенного kill switch.
Обход: Запретите весь исходящий трафик, кроме туннеля:
/ip firewall filter
add chain=forward out-interface=!wg0 action=drop
(Это правило должно быть последним в цепочке forward.)
- Ложное чувство безопасности при использовании IPsec
Многие администраторы используют IPsec с предустановленными параметрами, включая слабые алгоритмы шифрования (например, DES или SHA1). Такой туннель легко взломать методом brute-force или downgrade-атаки.
Проверка: Убедитесь, что в /ip ipsec proposal указаны только сильные алгоритмы:
/ip ipsec proposal
set [ find ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
- Проблемы с MTU и фрагментацией
WireGuard по умолчанию использует MTU 1420. Если ваш провайдер применяет PPPoE (часто у Ростелекома), реальный MTU может быть 1492 → 1420 – 80 = 1340, иначе пакеты будут фрагментироваться, что вызывает лаги и обрывы.
Фикс: Явно укажите MTU на интерфейсе:
/interface wireguard
set wg0 mtu=1340
Реальные сценарии использования в РФ
Сценарий 1: Удалённый доступ к бухгалтерской базе
Компания в Казани арендует сервер в дата-центре в Санкт-Петербурге. Через WireGuard-туннель сотрудники получают доступ к 1С без риска перехвата данных. DPI провайдера не видит разницы между трафиком и обычным Zoom-звонком.
Сценарий 2: Обход блокировок Telegram в корпоративной сети
Хотя Telegram официально не заблокирован в 2026 году, некоторые провайдеры (особенно региональные) продолжают ограничивать MTProto. Туннель через MikroTik позволяет обойти это, направляя весь трафик через доверенный канал.
Сценарий 3: Защита IoT-устройств на производстве
Камеры и датчики в цеху подключены к локальной сети. Через VPN-туннель данные отправляются на облачный сервер аналитики. Без шифрования такие устройства — лёгкая цель для промышленного шпионажа.
FAQ
VPN между двумя MikroTik замедлит мой канал?
Зависит от модели. На старых устройствах (RB750Gr3) IPsec даёт ~50 Мбит/с, WireGuard — до 90 Мбит/с. На новых (hAP ax³) WireGuard достигает 600+ Мбит/с. Потери неизбежны, но при правильной настройке составляют 5–15% от теоретической скорости.
Могут ли спецслужбы расшифровать мой трафик?
При использовании AES-256 или ChaCha20 — нет, если не скомпрометированы ключи. Однако они могут установить факт соединения между двумя IP-адресами. В России операторы обязаны предоставлять метаданные по запросу, но не содержимое зашифрованного трафика.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (меньше уязвимостей), современные криптопримитивы, встроенный PFS. OpenVPN надёжен, но уязвим к устаревшим конфигурациям (CBC без TLS-AUTH).
Что делать, если оба роутера за CGNAT?
Используйте облачный VPS с публичным IP как ретранслятор. Настройте два туннеля: Router A → VPS и Router B → VPS, затем соедините их через маршрутизацию на VPS. Это увеличит задержку, но решит проблему.
Нужно ли обновлять RouterOS для VPN?
Да. В версиях до v6.49 были уязвимости в IPsec (CVE-2021-3490). WireGuard стабильно работает только с v7.1+. Всегда проверяйте changelog перед обновлением.
Можно ли использовать бесплатный облачный сервер для ретрансляции?
Технически — да (например, Oracle Cloud Free Tier). Но бесплатно — не значит безопасно: такие серверы часто сканируются, а трафик может логироваться. Для критичных данных лучше арендовать VPS за $5/мес с no-log policy.
Вывод
vpn между 2 mikrotik настройка — это не просто копирование конфигов из интернета. Это осознанный выбор протокола, учёт особенностей провайдеров в России, защита от утечек DNS и создание отказоустойчивого туннеля с kill switch на уровне роутера. WireGuard сегодня — лучший баланс скорости и безопасности, но только при условии правильного MTU, генерации ключей и маршрутизации. Не экономьте на тестировании: проверяйте туннель через ipleak.net и tcpdump, прежде чем запускать в продакшен. Помните: в условиях российской инфраструктуры даже «простой» туннель может стать точкой отказа, если не учесть DPI, CGNAT и требования законодательства.
Solid explanation of responsible gambling tools. The checklist format makes it easy to verify the key points. Overall, very useful.