shadowsocks микротик

shadowsocks микротик

Shadowsocks на MikroTik: как не утонуть в трафике

shadowsocks микротик — это не просто пара слов в поисковой строке. Это техническая задача, которая встаёт перед теми, кто хочет обойти ограничения провайдера, защитить трафик от DPI или настроить прозрачный прокси на уровне роутера. В России, где с 2018 года регулярно блокируют мессенджеры, торрент-трекеры и даже YouTube, такие решения становятся не опцией, а необходимостью для продвинутых пользователей.

Но большинство гайдов сводится к «скопируй конфиг — всё заработает». Они умалчивают о том, что Shadowsocks — не полноценный VPN, что MikroTik RouterOS требует особого подхода к NAT и mangle-правилам, и что без правильной маршрутизации вы получите утечки DNS или полный разрыв соединения при перезагрузке. Эта статья — для тех, кто готов разобраться глубже.

Почему MikroTik? И почему именно Shadowsocks?

MikroTik — не просто «белая коробка» в серверной. Это операционная система RouterOS, способная заменить собой целый стек сетевого оборудования: файрволл, шейпер, DHCP-сервер, точку доступа и даже прокси. У неё есть CLI, WinBox, мощные правила firewall и поддержка Layer7-фильтрации. Но нет встроенного клиента для OpenVPN, WireGuard или Shadowsocks.

Shadowsocks же — это прокси-протокол, созданный в Китае для обхода Great Firewall. Он не создаёт туннель уровня ядра, как IPsec или WireGuard. Вместо этого он шифрует TCP/UDP-трафик между клиентом и сервером, маскируя его под обычный HTTPS. Для провайдера (например, Ростелекома или МТС) такой трафик выглядит как соединение с неизвестным TLS-хостом — без явных признаков VPN.

Это даёт два преимущества:

1. Обход DPI — Deep Packet Inspection не распознаёт паттерны Shadowsocks так легко, как OpenVPN.
2. Низкие накладные расходы — особенно при использовании шифрования ChaCha20, которое быстрее AES на процессорах без AES-NI (часто в бюджетных MikroTik).

Но есть и ловушки. Например, Shadowsocks не шифрует метаданные: IP-адрес назначения виден до установки соединения. А если ваш сервер находится в юрисдикции 14 Eyes — данные могут быть переданы спецслужбам по запросу.

Чего вам НЕ говорят в других гайдах

Большинство инструкций по «shadowsocks микротик» заканчиваются на этапе установки ss-redir через пакетный менеджер. Но реальные проблемы начинаются потом.

1. Бесплатные Shadowsocks-серверы — это ловушка

Многие сайты предлагают «бесплатные SS-ноды». На деле это:
- Прокси, которые логируют весь ваш трафик (включая HTTP-заголовки).
- Серверы, используемые для DDoS-атак или ботнетов.
- Точки, где подменяется реклама или внедряется JavaScript-трекинг.

Помните: аренда VPS с хорошим каналом стоит от $5/мес. Если вам предлагают «бесплатно» — вы сами являетесь товаром.

1. DNS-утечки — даже при правильном NAT

Даже если вы настроили dst-nat на порт Shadowsocks, DNS-запросы могут уходить напрямую провайдеру. Почему? Потому что большинство устройств в локальной сети используют DNS от DHCP-сервера MikroTik, который указывает на IP самого роутера или на публичные DNS (8.8.8.8). Без принудительного перехвата UDP-53 вы теряете анонимность.

Решение — использовать ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=<SS_IP> to-ports=<SS_PORT> и на стороне Shadowsocks-сервера настроить DNS-over-TCP или DoH.

1. Kill switch — миф без скриптов

RouterOS не имеет встроенного механизма «аварийного отключения интернета» при падении Shadowsocks. Если туннель рухнет, весь трафик пойдёт в обход — напрямую к провайдеру. Чтобы этого избежать, нужны:
- Маркировка трафика (mangle) только для маршрутизации через SS.
- Отдельная routing table.
- Скрипт, который проверяет доступность SS-сервера каждые 10 секунд и блокирует WAN-интерфейс при недоступности.

Иначе ваш торрент-клиент продолжит раздавать файлы под реальным IP — даже если вы «уверены», что всё зашифровано.

1. Логирование по решению суда — даже у «no-log» провайдеров

Многие хостинги заявляют «no logs», но при получении судебного запроса от компетентных органов (особенно в США, Германии, Франции) они обязаны сохранить данные на будущее. Это значит: если вас начнут искать после того, как вы уже прекратили использовать сервер — ваши действия могут быть восстановлены из временных логов.

Выбирайте юрисдикции вне 14 Eyes: Швейцария, Исландия, Сейшельские острова. Но помните: даже там возможны технические утечки.

Как на самом деле работает Shadowsocks на MikroTik

Shadowsocks состоит из двух частей:
- ss-server — запускается на удалённом VPS.
- ss-redir — клиент, который перенаправляет трафик. Именно его нужно запустить на MikroTik.

Но RouterOS не поддерживает Linux-бинарники напрямую. Поэтому есть три пути:

1. Использовать CHR (Cloud Hosted Router) — виртуальную версию RouterOS на VPS, где можно установить ss-redir через пакетный менеджер.
2. Запустить Shadowsocks на отдельном устройстве в сети (Raspberry Pi, x86-сервер) и направлять трафик с MikroTik на него через NAT.
3. Использовать внешний VPS как шлюз и настроить GRE/IPIP-туннель до него, а уже там — Shadowsocks.

Наиболее практичный вариант для домашнего использования — второй. Вы ставите Raspberry Pi с Raspbian, устанавливаете shadowsocks-libev, настраиваете ss-redir, а в MikroTik пишете:

/ip firewall nat
add chain=dstnat action=dst-nat dst-address-list=!local_nets \
    protocol=tcp to-addresses=192.168.88.10 to-ports=1080

Где 192.168.88.10 — IP вашего Pi, а 1080 — порт ss-redir.

Но! Это работает только для TCP. Для UDP (например, VoIP, онлайн-игры) нужен ss-tunnel или ss-udprelay, что усложняет схему.

Сравнение: Shadowsocks против классических VPN на MikroTik

Примечание: Реальная скорость измерялась на MikroTik hAP ac² с внешним Pi 4B (для Shadowsocks) и VPS в Амстердаме. Все тесты — через iPerf3.

Технологии будущего🤖

Пошаговая настройка: от нуля до рабочей схемы

Шаг 1. Подготовка VPS

1. Купите VPS у провайдера вне 14 Eyes (например, в Нидерландах у Hetzner или во Франции у Online.net).
2. Установите Ubuntu 22.04.
3. Выполните:

sudo apt update && sudo apt install shadowsocks-libev -y

1. Отредактируйте /etc/shadowsocks-libev/config.json:

{
  "server": "0.0.0.0",
  "server_port": 8388,
  "password": "strong_password_here",
  "timeout": 300,
  "method": "chacha20-ietf-poly1305",
  "fast_open": true
}

1. Запустите: sudo systemctl enable --now shadowsocks-libev

Шаг 2. Настройка Raspberry Pi (как прокси-шлюз)

1. Установите Raspbian Lite.
2. Выполните те же команды, что выше, но с конфигом клиента:

{
  "server": "ВАШ_VPS_IP",
  "server_port": 8388,
  "local_address": "0.0.0.0",
  "local_port": 1080,
  "password": "strong_password_here",
  "timeout": 300,
  "method": "chacha20-ietf-poly1305",
  "mode": "tcp_and_udp"
}

1. Запустите ss-redir: sudo ss-redir -c /etc/shadowsocks-libev/client.json -u

Флаг -u включает поддержку UDP.

Шаг 3. Настройка MikroTik

1. Создайте список локальных сетей (чтобы не проксировать LAN):

/ip firewall address-list
add list=local_nets address=192.168.88.0/24
add list=local_nets address=10.0.0.0/8
add list=local_nets address=172.16.0.0/12

1. Настройте NAT для перенаправления:

/ip firewall nat
add chain=dstnat action=dst-nat \
    dst-address-list=!local_nets \
    protocol=tcp \
    to-addresses=192.168.88.10 to-ports=1080

add chain=dstnat action=dst-nat \
    dst-address-list=!local_nets \
    protocol=udp dst-port=!53 \
    to-addresses=192.168.88.10 to-ports=1080

add chain=dstnat action=dst-nat \
    protocol=udp dst-port=53 \
    to-addresses=192.168.88.10 to-ports=53

1. Убедитесь, что в /ip route шлюз по умолчанию ведёт в интернет (а не в Pi).

Шаг 4. Проверка утечек

1. Зайдите на ipleak.net — должен отображаться IP вашего VPS.
2. Проверьте WebRTC-утечку — она возможна, если браузер использует локальный IP. Отключите WebRTC в настройках Firefox или используйте расширение.
3. Проверьте DNS: на том же сайте должен быть указан DNS вашего VPS или Cloudflare/Google, но не провайдера.

Сценарии использования в реальных условиях

Журналист в командировке

Вы в отеле с публичным Wi-Fi. MikroTik в вашем рюкзаке (например, hAP mini) раздаёт защищённую сеть. Весь трафик уходит через Shadowsocks на ваш VPS. Провайдер отеля видит только зашифрованное соединение с одним IP. Даже если сеть прослушивается — контент недоступен.

Айтишник в кофейне

Вы подключаетесь к Wi-Fi в «Кофемании». Без защиты любой может перехватить куки сессии GitHub или Jira. С Shadowsocks на MikroTik — весь трафик шифруется до VPS. MITM-атака невозможна без взлома самого VPS.

Пользователь торрентов

В России регулярно приходят письма от правообладателей через провайдеров. Если вы раздаёте торренты без защиты — ваш IP в открытых трекерах. С Shadowsocks — виден только IP VPS. Но! Убедитесь, что клиент не использует DHT, PEX или LSD — только трекер через зашифрованное соединение.

Обход блокировки Telegram

Хотя Telegram использует собственное шифрование, Роскомнадзор блокирует его IP-адреса. Shadowsocks позволяет обойти это, так как трафик идёт на другой IP и выглядит как обычный HTTPS.

Технические нюансы: MTU, фрагментация и handshake

Shadowsocks не имеет механизма согласования MTU, как WireGuard. При использовании через PPPoE (часто у домашних провайдеров) стандартный MTU 1500 приводит к фрагментации пакетов. Это снижает скорость и увеличивает задержки.

Решение: установите MTU на клиентском устройстве (Pi) в 1400:

sudo ip link set eth0 mtu 1400

Также Shadowsocks не поддерживает Perfect Forward Secrecy (PFS). Каждое соединение использует один и тот же мастер-ключ (ваш пароль). Если злоумышленник перехватит трафик и позже получит пароль — он расшифрует всё. WireGuard и современный OpenVPN (с TLS 1.3) генерируют новые ключи для каждой сессии.

Shadowsocks — это полноценный VPN?

Нет. Это прокси-протокол на уровне приложения. Он не создаёт виртуального сетевого интерфейса, не маршрутизирует весь трафик автоматически и не защищает от ARP-spoofing в локальной сети. Для полной защиты лучше использовать WireGuard или IPsec.

Меня найдёт спецслужба при использовании Shadowsocks?

Если ваш VPS находится в юрисдикции, сотрудничающей с РФ (например, США, Германия), и поступит официальный запрос — хостер может предоставить логи. Даже при «no-log» политике могут быть временные записи. Анонимность не гарантируется.

Открой мир без границ🌍

Как проверить, работает ли kill switch?

Отключите питание Raspberry Pi или остановите ss-redir. Попробуйте открыть сайт. Если страница загружается — kill switch не настроен. Правильная настройка должна полностью блокировать WAN-трафик при недоступности прокси.

VPN замедляет интернет — на сколько реально?

На MikroTik с внешним Pi: потеря скорости 5–10% при использовании ChaCha20. При AES-256 на слабом CPU — до 30%. WireGuard быстрее: всего 2–3% потерь даже на старых роутерах.

Можно ли использовать Shadowsocks без Raspberry Pi?

Только если у вас CHR (Cloud Hosted Router) на VPS. На обычных железных MikroTik (RB, hAP) запустить ss-redir невозможно — нет поддержки Linux-бинарников.

Открой мир без границ🌍

Что делать, если MikroTik перезагружается и трафик идёт напрямую?

Настройте скрипт автозапуска проверки SS-сервера. Пример: каждые 10 секунд ping до VPS. Если недоступен — добавлять правило drop в forward chain. При восстановлении — убирать. Без этого вы рискуете утечкой данных.

Вывод

shadowsocks микротик — это мощный, но хрупкий инструмент. Он отлично подходит для обхода DPI и geo-блокировок, особенно в условиях российской цензуры. Но он не заменяет полноценный VPN. Чтобы избежать утечек, нужно вручную настраивать NAT, DNS, kill switch и следить за юрисдикцией сервера.

Если вы готовы потратить время на настройку Raspberry Pi, написание скриптов и тестирование утечек — решение будет работать стабильно. Если же вам нужна «коробка, которая просто работает» — лучше рассмотреть роутер с поддержкой WireGuard или готовое решение на базе OpenWrt.

Главное — не верить обещаниям «полной анонимности». Информационная безопасность строится на многослойной защите, а не на одном протоколе. И даже самый продуманный shadowsocks микротик не спасёт, если вы сами раскроете свой IP в Telegram или через WebRTC.