настройка vpn сервера mikrotik

настройка vpn сервера mikrotik

Как правильно настроить MikroTik как VPN-сервер

Подробный гайд: настройка vpn сервера mikrotik с нуля. Безопасно, быстро, без утечек. Настрой за 20 минут!

настройка vpn сервера mikrotik — задача, с которой сталкиваются администраторы малого бизнеса, фрилансеры и даже продвинутые домашние пользователи в России. Это не просто «поднять туннель». Это про защиту от перехвата в публичных сетях «Мегафона», обход блокировок РКН, шифрование трафика от провайдера «Ростелеком» и контроль над собственными данными. В этом материале разберём всё: от выбора протокола до проверки утечек DNS и WebRTC.

Почему MikroTik — не всегда лучший выбор для личного VPN

MikroTik RouterOS — мощная ОС для маршрутизации. Но использовать её как личный VPN-сервер — решение с подвохом. Да, вы контролируете железо. Нет, вы не получаете автоматическую ротацию IP или защиту от DPI (Deep Packet Inspection), которую применяют российские провайдеры при блокировке Telegram.

Главный риск: вы сами становитесь точкой сбора логов. Даже если в настройках стоит no logging, сам факт подключения к вашему серверу фиксируется в системных журналах по умолчанию. Удалённые логи — это не «политика конфиденциальности», это техническая реальность.

Если вы настраиваете корпоративную сеть — отлично. Для личного использования лучше рассмотреть WireGuard на VPS в нейтральной юрисдикции. Но если вы всё же решили использовать MikroTik — делайте это правильно.

Выбор протокола: L2TP/IPsec против PPTP против OpenVPN

MikroTik поддерживает три основных VPN-протокола:

1. PPTP — устаревший, сломан ещё в 2012 году. Использует слабое шифрование (MPPE) и уязвим к атакам MS-CHAPv2. Не используйте его ни при каких обстоятельствах.
2. L2TP/IPsec — стандарт де-факто для Windows и iOS. Требует IPSec в режиме транспорта или туннеля. Поддерживает AES-256, SHA2, perfect forward secrecy (PFS). Но часто блокируется DPI в РФ из-за фиксированных портов (UDP 500, 4500).
3. OpenVPN — через дополнительные пакеты (openvpn в Package List). Гибкий, работает поверх TCP/UDP, легко маскируется под HTTPS (порт 443). Но требует ручной установки сертификатов и больше ресурсов CPU.

WireGuard не поддерживается в стоковой RouterOS до версии 7.1+. Даже в v7 его реализация ограничена и не рекомендована для production без глубокого тестирования.

Практический совет: для обхода блокировок в РФ используйте L2TP/IPsec с NAT-T и фрагментацией пакетов. Или настройте OpenVPN поверх UDP 443 с obfsproxy (Shadowsocks не встроен, но можно пробросить через внешний прокси).

📖Свобода информации

Пошаговая настройка L2TP/IPsec на RouterOS 6.x/7.x

Шаг 1. Включите IPsec и создайте peer

/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp secret=YourStrongPSK

• secret — общий PSK (pre-shared key). Минимум 20 символов, смесь букв, цифр, спецсимволов.
• address=0.0.0.0/0 — принимать подключения от любого клиента. Для большей безопасности укажите IP вашего офиса или диапазон.

Шаг 2. Настройте proposal (политики шифрования)

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

Избегайте aes-128-cbc и sha1 — они уязвимы к downgrade-атакам.

Шаг 3. Создайте профиль L2TP

/ppp profile
add name=l2tp-vpn local-address=192.168.99.1 remote-address=192.168.99.100-200 \
    use-encryption=required dns-server=8.8.8.8,1.1.1.1

• local-address — виртуальный IP сервера.
• remote-address — пул для клиентов.
• use-encryption=required — без этого трафик может идти в открытом виде!

Шаг 4. Включите L2TP-сервер

/interface l2tp-server server
set enabled=yes default-profile=l2tp-vpn authentication=mschap2

Только mschap2 — никакого PAP или CHAP.

Шаг 5. Добавьте пользователей

/ppp secret
add name=user1 password=StrongPass123 service=l2tp profile=l2tp-vpn

Никогда не используйте один пароль для всех. Каждый пользователь — отдельная учётная запись.

Шаг 6. Настройте NAT и firewall

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade src-address=192.168.99.0/24

/ip firewall filter
add chain=input protocol=udp dst-port=500,4500,1701 action=accept comment="L2TP/IPsec"

Без этих правил клиенты подключатся, но интернета не будет.

Чего вам НЕ говорят в других гайдах

Большинство инструкций молчат о трёх критических моментах:

1. Логи хранятся даже при «no logging»

RouterOS по умолчанию пишет события в /log. При подключении VPN создаются записи вида:

ppp,info,user1 logged in from x.x.x.x via l2tp

Эти логи не удаляются автоматически. Чтобы отключить:

/system logging
set topics=!ppp,!info

Но тогда вы потеряете диагностические данные при сбоях.

1. Утечки DNS и WebRTC — реальны

Даже при успешном подключении к вашему MikroTik-серверу браузер может отправлять DNS-запросы напрямую провайдеру. Проверьте на ipleak.net и browserleaks.com/webrtc.
Решение: принудительно направляйте DNS через туннель (dns-server в профиле PPP) и отключайте WebRTC в Firefox/Chrome.

1. Kill switch — иллюзия на роутере

Если туннель падает, MikroTik не блокирует весь трафик. Он просто перестаёт маршрутизировать через интерфейс L2TP. Остальной трафик пойдёт напрямую в интернет — с реальным IP.
Настоящий kill switch требует сложных правил в /ip firewall filter с маркировкой соединений и drop всех немаркированных пакетов. Это нетривиально и часто ломает локальную сеть.

1. Юрисдикция вас не спасёт

Вы думаете: «Я дома, значит, меня не достанут». Но если ваш MikroTik подключен к провайдеру в РФ, оператор обязан хранить метаданные 3 года по закону №149-ФЗ. При запросе ФСБ он предоставит IP, время подключения, объём трафика. Ваш сервер — не анонимайзер.

1. Бесплатные альтернативы — ловушка

Многие ищут «бесплатный VPN вместо MikroTik». Hola, Betternet, Opera VPN — это не VPN, а P2P-прокси. Они используют ваше устройство как выходной узел для других пользователей. В 2019 году Hola продавала доступ к корпоративным сетям за $2/час. Не повторяйте эту ошибку.

Сравнение: самодельный MikroTik vs коммерческие провайдеры

Вывод: MikroTik хорош для внутреннего доступа к NAS или камерам. Для защиты в публичных сетях или обхода блокировок — выбирайте провайдера с аудитами и WireGuard.

Диагностика утечек после настройки

1. Подключитесь к вашему VPN.
2. Зайдите на ipleak.net:
3. Проверьте IPv4/IPv6.
4. Убедитесь, что DNS-серверы — ваши (например, 8.8.8.8).
5. Отсутствие WebRTC-утечек.
6. Запустите тест на dnsleaktest.com.
7. В RouterOS выполните:
   routeros /tool bandwidth-test target-address=8.8.8.8 direction=transmit
   Сравните скорость с и без VPN.

Если видите реальный IP или DNS провайдера — перепроверьте NAT и профиль PPP.

Сценарии использования в реальных условиях РФ

Журналист в командировке
Подключается к своему MikroTik дома через L2TP/IPsec. Защищает от перехвата в аэропорту Шереметьево. Но если его задержат — ФСБ запросит у «МТС» логи подключения к домашнему IP. Риск остаётся.

IT-специалист в кофейне
Использует MikroTik как шлюз для SSH-доступа к серверам. Безопасно, если включено шифрование и отключён PPTP. Но лучше добавить двухфакторную аутентификацию через RADIUS.

Пользователь торрентов
Опасно! Если торрент-клиент не привязан к интерфейсу L2TP, он будет раздавать через основной канал. Настройте bind-to-interface в qBittorrent или используйте firewall-mark.

Обход блокировки YouTube
MikroTik не поможет, если РКН блокирует по SNI. Нужен TLS-обфускация или Shadowsocks. RouterOS этого не умеет «из коробки».

Вывод

настройка vpn сервера mikrotik — технически выполнимая задача, но она не решает проблему приватности в условиях российского законодательства. Вы получаете шифрование «до своего роутера», но не защиту от государственного уровня. Для личного использования лучше арендовать VPS в Германии или Нидерландах и поднять там WireGuard. MikroTik оставьте для управления локальной сетью, удалённого администрирования и безопасного доступа к домашним сервисам. Если же вы всё равно настраиваете VPN на RouterOS — строго следуйте шагам выше, отключайте логи, проверяйте утечки и никогда не используйте PPTP.

VPN замедляет интернет на сколько реально?

На MikroTik с L2TP/IPsec потеря скорости — 20–40% из-за двойного шифрования (IPsec + MPPE). На современных моделях (hEX S, RB5009) при 100 Мбит/с вы получите 60–80 Мбит/с. WireGuard на VPS даёт 95%+.

Меня найдёт спецслужба при использовании VPN?

Если ваш VPN-сервер находится в РФ — да. Провайдер передаст IP, время и объём трафика по запросу. Если сервер за границей и провайдер не хранит логи — шансов почти нет. Но поведенческая аналитика (время активности, привычки) всё равно может идентифицировать вас.

⚙️Технология доступа

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: меньше кода (меньше уязвимостей), современные криптопримитивы (Curve25519, ChaCha20), обязательная perfect forward secrecy. OpenVPN гибче, но сложнее настраивать и медленнее на слабых CPU.

Можно ли настроить split tunneling на MikroTik?

Да, но только через маршруты. В профиле PPP укажите routes=192.168.1.0/24, чтобы только локальный трафик шёл через туннель. Весь остальной — напрямую. Но это не domain-based split tunneling, как в коммерческих клиентах.

Что делать, если VPN не подключается с Android?

Android 12+ требует строгих настроек IPsec. Убедитесь, что в /ip ipsec peer стоит exchange-mode=main-l2tp, а в proposal — aes-256-cbc и sha256. Также отключите IPv6 на клиенте — он часто ломает подключение.

🔐Защити свои данные

Нужен ли сертификат для L2TP/IPsec?

Нет. L2TP/IPsec использует pre-shared key (PSK), а не PKI. Сертификаты нужны только для pure IPsec или OpenVPN. Это упрощает настройку, но снижает безопасность при утечке PSK.