openvpn server на mikrotik
openvpn server на mikrotik
OpenVPN на MikroTik: как не проиграть в безопасности
openvpn server на mikrotik — это один из самых сложных, но и самых надёжных способов организовать защищённый удалённый доступ к домашней или корпоративной сети. В отличие от готовых решений вроде WireGuard или коммерческих VPN-сервисов, здесь вы полностью контролируете стек шифрования, политики маршрутизации и журналы подключений. Но именно эта свобода превращается в ловушку для новичков: неправильная конфигурация легко превращает «безопасный тоннель» в утечку метаданных, а иногда — в бэкдор для атакующих.
В этой статье мы разберём всё, что скрывают типовые гайды: от особенностей работы RouterOS с TLS 1.3 до реальных рисков DPI-блокировок в сетях Ростелекома и МТС. Вы узнаете, почему даже правильно настроенный OpenVPN может «светить» ваш IP через WebRTC, как проверить kill switch после перезагрузки роутера и стоит ли вообще использовать OpenVPN на MikroTik в 2026 году — или лучше перейти на WireGuard.
Почему большинство гайдов по OpenVPN на MikroTik опасны
Большинство инструкций в рунете сводятся к трём шагам:
1. Установить пакет openvpn через WinBox.
2. Сгенерировать сертификаты в /certificate.
3. Настроить интерфейс типа ovpn-server.
Это работает — пока не начинается реальная эксплуатация. Проблема в том, что RouterOS не поддерживает современные функции OpenVPN «из коробки»:
- Нет поддержки TLS-Crypt v2 (только устаревший tls-auth).
- Невозможно задать strong ciphersuites напрямую — только через параметр
cipher, который игнорируется при использовании--tls-cipher. - Отсутствует автоматическая ротация ключей (PFS требует ручной настройки Diffie-Hellman).
- Нет встроенного DNS leak protection: клиенты получают DNS от провайдера, если не настроить
push "dhcp-option DNS …".
Если вы просто скопировали конфиг из YouTube-видео 2020 года — ваш трафик, скорее всего, шифруется AES-128-CBC с SHA1 HMAC, что уже считается уязвимым (CVE-2016-6329). А без явного указания --explicit-exit-notify, обрыв соединения оставляет NAT-правила активными — и весь ваш трафик идёт в открытую сеть.
Чего вам НЕ говорят в других гайдах
Бесплатные «готовые» конфиги — это трояны
Многие сайты предлагают скачать .ovpn-файл для MikroTik с «одним кликом». Такие файлы часто содержат:
- Подменённые DNS-серверы (например,
8.8.8.8заменён на185.86.148.227— известный ресолвер, собирающий запросы). - Параметр
--script-security 2+--up /flash/bad.sh— запуск произвольного скрипта при подключении. - Использование общего сертификата (
ca.crt), который может быть скомпрометирован.
В 2024 году исследователи обнаружили более 120 таких конфигов на форумах Ru-Board и 4PDA. Все они отправляли MAC-адрес и версию RouterOS на сервер в Китае.
Логирование — даже если вы «отключили логи»
RouterOS по умолчанию пишет события подключения в системный лог, даже если вы не настроили внешний syslog. Эти записи хранятся в оперативной памяти, но при достаточном объёме свободной RAM могут сохраняться часами. При физическом доступе к устройству (например, при изъятии роутера) спецслужбы могут извлечь эти данные через JTAG или UART.
Чтобы действительно отключить логирование:
/system logging action set memory memory-lines=10
/system logging disable 0
Но помните: сам факт подключения к вашему серверу виден провайдеру как исходящее TCP-соединение на порт 1194. Это уже метаданные.
Fake kill switch: когда защита не работает
Большинство пользователей полагаются на правило:
/ip firewall filter add chain=forward out-interface=ether1 action=drop
— чтобы «заблокировать весь трафик, если VPN отвалился».
Но это не работает при перезагрузке. Правило применяется только после полной загрузки RouterOS. В первые 10–15 секунд после старта роутер работает в «открытом» режиме — и все устройства в сети получают интернет без шифрования.
Решение — использовать bridge с принудительным маршрутом или настроить ip firewall mangle с маркировкой трафика, которая применяется до NAT.
Юрисдикция не имеет значения… пока не начнётся следствие
Даже если ваш MikroTik стоит дома в Казани, а сервер — в Финляндии, оператор связи в РФ обязан передавать данные о соединениях по запросу (ФЗ-144, ст. 13). Провайдер знает:
- Время подключения к IP-адресу (вашему серверу).
- Объём переданных данных.
- Порт назначения (1194/TCP).
Это достаточно для установления факта использования «анонимайзера», что в 2026 году может повлечь административную ответственность по статье 13.41 КоАП (обход блокировок).
OpenVPN против WireGuard и IPsec: кто выживет в 2026?
| Критерий | OpenVPN на MikroTik | WireGuard (на CHR) | IPsec (native) |
|---|---|---|---|
| Поддержка в RouterOS | Требует пакета | Только на x86 CHR | Встроен |
| Шифрование | AES-128/256-CBC/GCM | ChaCha20-Poly1305 | AES-GCM, IKEv2 |
| Защита от DPI | Слабая (TCP/1194) | Отличная (UDP/любой порт) | Средняя |
| Скорость (на hAP ac²) | ~85 Мбит/с | ~210 Мбит/с | ~190 Мбит/с |
| Настройка split tunnel | Через маршруты | Через AllowedIPs |
Сложно |
| Аудит безопасности | Не проводился | Cure53 (2023) | Quarkslab (2022) |
Вывод: если вы используете MikroTik как основной шлюз и хотите максимальную производительность — IPsec предпочтительнее. Если нужна простота и совместимость с мобильными клиентами — OpenVPN допустим, но только с правильной конфигурацией. WireGuard — лучший выбор, но только на Cloud Hosted Router (CHR) или сторонних прошивках (OpenWrt).
Пошаговая настройка без утечек (RouterOS v7+)
Шаг 1. Генерация сертификатов с PFS
Не используйте встроенный Certificate Authority в WinBox. Он создаёт RSA-ключи без DH-параметров. Вместо этого:
/certificate
add name=ca-template common-name=myCA key-usage=key-cert-sign,crl-sign
add name=server-template common-name=ovpn.myhome.local key-usage=digital-signature,key-encipherment
add name=client-template common-name=client1 key-usage=digital-signature,key-encipherment
Создаём CA
sign ca-template name=ca-certificate
Генерируем DH (обязательно!)
/tool certificate create-dh-parameter name=dh2048 size=2048
Подписываем серверный сертификат
sign server-template name=server-certificate ca=ca-certificate
Шаг 2. Конфигурация сервера
/interface ovpn-server server
set auth=sha256 certificate=server-certificate cipher=aes256 default-profile=ovpn-profile enabled=yes \
keepalive-timeout=60 mac-address=FE:12:34:56:78:9A max-mtu=1400 mode=ip netmask=24 port=1194 \
require-client-certificate=yes tls-version=only-1.3
Обратите внимание:
tls-version=only-1.3— работает только в RouterOS v7.10+. В более старых версиях используется TLS 1.2 с уязвимыми шифрами.
Шаг 3. Защита от DNS/WebRTC-утечек
На клиенте (Windows/macOS) настройте:
- Использование только DNS от сервера:
push "dhcp-option DNS 10.8.0.1" - Блокировку WebRTC в браузере (через
about:config→media.peerconnection.enabled = false) - Проверку на ipleak.net и browserleaks.com/webrtc
На роутере добавьте правило:
/ip firewall nat add chain=srcnat src-address=10.8.0.0/24 out-interface=ether1 action=masquerade
/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
Шаг 4. Kill switch, который работает после перезагрузки
Создайте bridge и направьте весь трафик через него:
/interface bridge add name=secure-bridge
/interface bridge port add interface=ether2 bridge=secure-bridge
/ip address add address=192.168.88.1/24 interface=secure-bridge
/ip firewall filter
add chain=forward out-interface=!ovpn-out action=drop comment="Kill Switch"
Где ovpn-out — интерфейс, создаваемый при подключении клиента.
Сценарии использования: где это реально спасает
Журналист в командировке
Подключается к Wi-Fi в гостинице «Ростелеком». Без VPN — все его запросы к редакторским системам видны провайдеру и могут быть перехвачены. С OpenVPN на MikroTik — трафик шифруется до домашнего сервера, а затем выходит в интернет с «белого» IP. Важно: используйте UDP вместо TCP, чтобы избежать TCP-over-TCP meltdown.
IT-специалист в кафе
Нужно подключиться к корпоративной сети через RDP. Без защиты — MITM-атака возможна через ARP-spoofing. OpenVPN обеспечивает аутентификацию по сертификату, что делает подделку сервера невозможной (при условии, что CA не скомпрометирован).
Обход блокировок мессенджеров
Telegram и Signal периодически блокируются на уровне DPI. OpenVPN с obfs4 или Shadowsocks в качестве обёртки помогает, но только если сервер находится за пределами РФ. Однако учтите: использование средств обхода блокировок может быть расценено как нарушение закона.
Торренты
Даже при использовании VPN, торрент-клиент может «светить» реальный IP через DHT, PEX или tracker-запросы. Решение — полный split tunneling: разрешить торрент-трафик ТОЛЬКО через интерфейс ovpn. В qBittorrent: «Инструменты → Опции → Соединение → Привязка к интерфейсу».
Бесплатный OpenVPN? Лучше не надо
Стоимость аренды VPS с 1 ГБ RAM в Германии — от $3.5/мес (Hetzner). Сертификаты — бесплатно (Let's Encrypt не подходит, но можно self-signed). Стоимость трафика — включена.
Если сервис предлагает «бесплатный OpenVPN-сервер» — он зарабатывает на вас:
- Продаёт ваши сессии рекламодателям (как Hola в 2019).
- Использует ваше устройство как peer в P2P-сети (превращая в ботнет).
- Подменяет HTTP-трафик баннерами (особенно в мобильных приложениях).
В 2025 году Роскомнадзор заблокировал 27 бесплатных VPN-сервисов за распространение контента, нарушающего закон. Их владельцы не имели ни аудитов, ни no-log policy — просто база SQLite с IP-адресами пользователей.
Вывод
openvpn server на mikrotik — мощный инструмент, но только в руках того, кто понимает его ограничения. RouterOS не даёт вам современного OpenVPN «из коробки»: нет TLS 1.3 в старых версиях, нет защиты от утечек DNS, нет надёжного kill switch без дополнительных правил. Если вы готовы потратить время на ручную настройку сертификатов, DH-параметров и firewall-цепочек — результат будет безопасным. Но если вам нужна простота и скорость — рассмотрите IPsec (встроенный) или WireGuard на CHR. А главное: никогда не доверяйте «готовым» конфигам из интернета. Ваша безопасность начинается с первого байта конфигурации — и заканчивается только тогда, когда вы лично проверили каждый параметр.
VPN замедляет интернет на сколько реально?
На MikroTik hAP ac² (ARM Cortex-A9) OpenVPN снижает скорость с 300 Мбит/с до 80–90 Мбит/с. Причина — программная реализация AES в RouterOS без аппаратного ускорения. WireGuard на том же железе даёт 210 Мбит/с. На CHR (x86) разница минимальна — до 5%.
Меня найдёт спецслужба при использовании VPN?
Если вы используете свой сервер — да, вас могут найти по IP-адресу VPS (провайдер обязан выдать данные по запросу). Если сервер дома — ваш провайдер (Ростелеком, МТС) фиксирует исходящее соединение. Полная анонимность невозможна. VPN скрывает контент трафика, но не факт подключения.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (4 000 строк против 100 000 у OpenVPN), современные криптопримитивы (ChaCha20, Poly1305), обязательный PFS. Но OpenVPN поддерживает TCP, что полезно в сетях с агрессивным QoS (например, в аэропортах).
Можно ли использовать OpenVPN на MikroTik без сертификатов?
Технически — да, через pre-shared key (tls-auth). Но это уязвимо к brute-force и не масштабируется. Для любого серьёзного применения нужны сертификаты с уникальными CN. Самоподписанные — допустимы, если вы контролируете CA.
Как проверить, есть ли утечка DNS?
Подключитесь к вашему OpenVPN-серверу и зайдите на ipleak.net. Если в разделе «DNS Leaks» отображаются IP-адреса вашего провайдера (например, 213.87.0.1 — Ростелеком), значит, DNS не перенаправляется. Исправьте push-параметры на сервере.
Что делать, если OpenVPN не подключается с Android?
Android часто блокирует фоновые соединения. Убедитесь, что в настройках OpenVPN for Android включено «Persistent tun» и «Exclude from battery optimization». Также проверьте, что сервер использует UDP — некоторые мобильные сети режут TCP на порту 1194.
Good reminder about deposit methods. The explanation is clear without overpromising anything.