mikrotik перенаправление трафика в vpn
mikrotik перенаправление трафика в vpn
MikroTik и VPN: как не утечь в публичную сеть при перенаправлении трафика
mikrotik перенаправление трафика в vpn — это не просто «включил и забыл». На роутерах MikroTik RouterOS эта задача требует понимания маршрутизации, NAT, политик безопасности и особенностей протоколов. Без правильной настройки вы получите ложное чувство защищённости: трафик частично пойдёт в обход туннеля, DNS-запросы останутся открытыми, а WebRTC раскроет ваш реальный IP даже при активном VPN. В этом материале — пошаговая инструкция без воды, честные предупреждения о подводных камнях и технические детали, которые игнорируют 90% гайдов.
Почему обычный «маршрут через интерфейс» не работает
Многие пользователи думают: добавил маршрут 0.0.0.0/0 через интерфейс pptp-out1 или wg0 — и всё готово. Это опасное заблуждение.
RouterOS использует маршрутизацию на основе таблиц, но стандартная таблица main не учитывает контекст соединения. Если у вас есть несколько интерфейсов (например, WAN от провайдера и VPN), часть трафика может уйти напрямую, особенно:
- Трафик от самого роутера (NTP, обновления, DNS-резолвер).
- Ответные пакеты на входящие соединения.
- Пакеты, проходящие через bridge или VLAN без явного правила.
Решение — использовать маршрутизацию по политике (Policy-Based Routing, PBR). Это означает создание отдельной таблицы маршрутов и привязку её к определённым источникам или типам трафика через правила в /ip route rule.
Пример:
/ip route rule
add table=vpn_table src-address=192.168.88.0/24
Здесь весь трафик из локальной сети направляется в таблицу vpn_table, где должен быть только один маршрут — через VPN-интерфейс.
Но даже этого недостаточно. Нужно убедиться, что исходящий NAT применяется правильно.
NAT: последний рубеж перед утечкой
Если вы не настроите маскарадинг (masquerade) для VPN-интерфейса, пакеты могут уйти в интернет с внутренним IP-адресом (192.168.x.x). Такие пакеты просто отбросятся на границе провайдера.
Правильная команда:
/ip firewall nat
add chain=srcnat out-interface=wg0 action=masquerade
(где wg0 — ваш WireGuard-интерфейс)
Для OpenVPN или L2TP/PPTP замените имя интерфейса на соответствующее (ovpn-out1, l2tp-out1 и т.д.).
Важно: не используйте out-interface-list=WAN в этом правиле. Иначе NAT применится и к трафику, идущему через провайдера, что нарушит работу split tunneling или локальных сервисов.
Split tunneling: когда часть трафика должна идти мимо VPN
Не всегда нужно гнать всё через туннель. Например:
- Локальные сервисы (камеры, NAS, принтеры) работают быстрее без шифрования.
- Российские сайты (Яндекс, Сбербанк, госуслуги) могут блокировать иностранные IP.
- Облачные сервисы (Google Drive, OneDrive) иногда замедляются при маршрутизации через удалённый сервер.
Split tunneling в MikroTik реализуется через исключения в PBR или маршруты с более высоким приоритетом.
Пример: исключить трафик к 10.0.0.0/8 и 192.168.0.0/16 из VPN:
/ip route rule
add dst-address=10.0.0.0/8 action=lookup table=main
add dst-address=192.168.0.0/16 action=lookup table=main
add src-address=192.168.88.0/24 action=lookup table=vpn_table
Порядок правил важен: MikroTik обрабатывает их сверху вниз. Исключения должны идти до основного правила.
Чего вам НЕ говорят в других гайдах
Большинство руководств по «mikrotik перенаправление трафика в vpn» умалчивают о критических рисках. Вот что скрывают:
- Бесплатные VPN — это сбор данных
Сервер с 1 Гбит/с стоит от $50/мес. Бесплатный сервис не может существовать без монетизации. Чаще всего — за счёт:
- Продажи логов трафика (даже если заявлено «no logs»).
- Подмены рекламы (MITM-атаки на HTTP-трафик).
-
Использования клиентских устройств как реле (как Hola VPN в 2015 году).
-
«No-log policy» — маркетинг, а не гарантия
Даже у платных провайдеров политика «без логов» не имеет юридической силы в юрисдикциях типа США, Великобритании или Австралии (участники 14 Eyes). По запросу суда они обязаны начать логирование задним числом.
- Kill switch может не сработать
На MikroTik нет встроенного kill switch. При обрыве VPN-соединения трафик автоматически пойдёт через основной интерфейс, если не настроены жёсткие firewall-правила.
Решение:
/ip firewall filter
add chain=forward out-interface-list=!WAN action=drop comment="Block non-WAN egress"
Но это правило должно активироваться только при поднятом VPN. Для этого нужен скрипт, проверяющий состояние интерфейса каждые 10 секунд и переключающий правила.
- Утечки через WebRTC и DNS — вне контроля роутера
MikroTik не может заблокировать WebRTC в браузере. Даже при идеальной маршрутизации JavaScript может раскрыть ваш реальный IP через STUN-запросы. Аналогично — DNS-over-HTTPS (DoH) в Firefox или Chrome обходит локальный DNS-резолвер.
- Поддельные аудиты безопасности
Некоторые VPN-провайдеры публикуют «аудиты», проведённые их же дочерними компаниями. Настоящие независимые проверки делают Cure53, Quarkslab, NCC Group. Их отчёты публикуются открыто на GitHub или сайте аудитора.
Выбор протокола: WireGuard vs OpenVPN vs IPsec
| Критерий | WireGuard | OpenVPN | IPsec (IKEv2) |
|---|---|---|---|
| Скорость (на ARM-роутере) | До 97% от канала | 60–80% | 70–85% |
| Задержка (пинг) | +3–7 мс | +15–40 мс | +10–25 мс |
| Поддержка NAT | Отличная | Требует TCP/UDP | Иногда проблемы с CGNAT |
| Шифрование | ChaCha20, Poly1305 | AES-256-CBC/GCM | AES-256, SHA2, DH |
| Perfect Forward Secrecy | Да (по умолчанию) | Только при GCM/DH | Да |
| Аудиты | Несколько (в т.ч. Quarkslab) | Много, но старые | Сложно проверить (IKE) |
| Совместимость с MikroTik | Полная (с v6.43+) | Через ovpn-client | Встроена (IPsec/IKEv2) |
Вывод: для MikroTik предпочтителен WireGuard — минималистичный, быстрый, легко настраивается и почти не грузит CPU даже на слабых устройствах (hAP lite, hEX).
Пошаговая настройка WireGuard на MikroTik
-
Создайте интерфейс:
bash /interface wireguard add name=wg0 listen-port=13231 private-key="ваш_приватный_ключ" -
Добавьте peer (сервер):
bash /interface wireguard peers add interface=wg0 public-key="публичный_ключ_сервера" \ endpoint-address=vpn.example.com endpoint-port=51820 \ allowed-address=0.0.0.0/0,::/0 -
Назначьте IP-адрес интерфейсу:
bash /ip address add address=10.66.66.2/24 interface=wg0 -
Создайте таблицу маршрутов:
bash /ip route add dst-address=0.0.0.0/0 gateway=wg0 table=vpn_table -
Настройте PBR:
bash /ip route rule add src-address=192.168.88.0/24 table=vpn_table -
Добавьте masquerade:
bash /ip firewall nat add chain=srcnat out-interface=wg0 action=masquerade -
(Опционально) Блокируйте fallback-трафик:
bash /ip firewall filter add chain=forward out-interface-list=WAN src-address=192.168.88.0/24 action=drop
Это правило временно отключается скриптом при поднятии VPN.
Как проверить, что всё работает
-
Проверка маршрута:
bash /tool traceroute 8.8.8.8
Первый хоп должен быть IP-адресом вашего VPN-сервера. -
Утечки DNS:
- Зайдите на ipleak.net
- Убедитесь, что DNS-серверы — те, что указаны в конфигурации VPN.
-
Если видите DNS от Ростелекома или МТС — настройте
/ip dnsна адреса VPN-провайдера. -
WebRTC-утечка:
- Откройте browserleaks.com/webrtc
-
В браузере отключите WebRTC (в Firefox:
media.peerconnection.enabled = false). -
Kill switch тест:
- Отключите кабель WAN.
- Попробуйте открыть сайт. Должен быть таймаут, а не загрузка через мобильный интернет (если используется резервный канал).
Сценарии использования в реальности
Журналист в командировке
Подключается к Wi-Fi в аэропорту. Без VPN — любой может перехватить его почту или мессенджеры. С MikroTik + WireGuard — весь трафик шифруется до доверенного сервера в ЕС. Но: Telegram и WhatsApp уже используют E2E-шифрование, поэтому для них VPN не критичен. А вот для HTTP-сайтов — обязателен.
IT-специалист в кафе
Работает с корпоративной панелью управления. Роутер с MikroTik создаёт защищённый туннель до офиса. Split tunneling позволяет одновременно использовать локальные сервисы (Slack, Zoom) без задержек.
Пользователь торрентов
Хочет скрыть IP от правообладателей. Но: если VPN-провайдер ведёт логи или находится в США — запрос DMCA приведёт к раскрытию данных. Лучше выбрать провайдера в Швейцарии или Исландии с подтверждённым no-log и аудитом.
Обход блокировок
YouTube или Instagram заблокированы? VPN помогает, но Роскомнадзор активно использует DPI для обнаружения трафика OpenVPN. WireGuard сложнее детектировать — он маскируется под обычный UDP-трафик. Однако Shadowsocks или V2Ray эффективнее против глубокой инспекции.
VPN замедляет интернет на сколько реально?
На MikroTik с WireGuard потеря скорости — 3–8% на каналах до 100 Мбит/с. На OpenVPN — до 30–40%, особенно на слабых CPU (например, hAP ac²). Задержка (пинг) растёт на 5–20 мс в зависимости от географии сервера.
Меня найдёт спецслужба при использовании VPN?
Если вы не используете Tor, не меняете поведение и не выходите в сеть с теми же аккаунтами — да, могут. Особенно если VPN-провайдер сотрудничает с правоохранительными органами (например, NordVPN в 2019 году предоставил данные по запросу ФБР). Анонимность требует комплексного подхода: отдельные аккаунты, браузер без трекинга, отключение WebRTC.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: кодовая база всего 4000 строк против 100 000+ у OpenVPN. Меньше кода — меньше уязвимостей. WireGuard использует современные криптоалгоритмы (ChaCha20, BLAKE2s), тогда как OpenVPN часто работает на устаревших (AES-CBC без PFS). Но: WireGuard не поддерживает TCP, что может быть проблемой в сетях с блокировкой UDP.
Можно ли настроить mikrotik перенаправление трафика в vpn без внешнего сервера?
Нет. VPN — это туннель между двумя точками. Один конец — ваш MikroTik, второй — сервер в интернете. Вы можете развернуть свой сервер на VPS (от $3/мес), но это требует администрирования, обновлений и защиты от DDoS. Для большинства проще использовать проверенного провайдера.
Что делать, если после настройки нет интернета?
Проверьте: 1) поднят ли интерфейс (`/interface print`), 2) есть ли маршрут в таблице `vpn_table`, 3) работает ли masquerade, 4) не блокирует ли firewall трафик. Частая ошибка — отсутствие `allowed-address=0.0.0.0/0` у peer в WireGuard.
Нужно ли отключать IPv6 при использовании VPN?
Да, если ваш провайдер раздаёт IPv6. MikroTik по умолчанию не маршрутизирует IPv6 через VPN, и трафик пойдёт напрямую. Либо настройте IPv6-туннель, либо отключите IPv6 полностью: `/ipv6 settings set disable=yes`.
Вывод
mikrotik перенаправление трафика в vpn — это мощный инструмент, но только при условии глубокого понимания сетевой стека. Простое добавление маршрута не спасёт от утечек. Нужны: Policy-Based Routing, корректный NAT, жёсткие firewall-правила и регулярная проверка на утечки. Выбирайте WireGuard для скорости и простоты, избегайте бесплатных сервисов и не верьте маркетинговым обещаниям «полной анонимности». Помните: VPN скрывает ваш IP от провайдера и сайтов, но не делает вас невидимым для государственных структур, если вы оставляете цифровые следы. Настройка на MikroTik требует времени, но результат — полный контроль над тем, куда идёт ваш трафик.
Thanks for sharing this; it sets realistic expectations about mirror links and safe access. The explanation is clear without overpromising anything.