mikrotik соединение двух офисов через vpn
mikrotik соединение двух офисов через vpn
Как сделать стабильный VPN между офисами на MikroTik
mikrotik соединение двух офисов через vpn — не просто туннель, а доверенная сеть
mikrotik соединение двух офисов через vpn решает одну из самых частых задач малого и среднего бизнеса: безопасный обмен данными между филиалами. Но за простым заголовком скрывается множество подводных камней — от неправильно выбранного протокола до утечек трафика при переподключении. В этом материале разберём не только «как настроить», но и почему именно так, какие риски игнорируют большинство гайдов и как проверить, что ваш туннель действительно защищён.
Почему обычный «интернет‑между‑офисами» — это риск
Представьте: в офисе А работает бухгалтерия, в офисе Б — склад. Они обмениваются документами по внутреннему IP-адресу через защищённый канал. Если вы просто пробросите порты или используете незашифрованный GRE-туннель, весь трафик будет виден:
- Вашему провайдеру (Ростелеком, МТС и др.);
- Сетевым злоумышленникам при MITM-атаке;
- Государственным системам DPI (например, при блокировке Telegram).
Без шифрования даже банальная передача логина в 1С может стать точкой входа для фишинга или перехвата учётных данных. Поэтому VPN здесь — не опция, а необходимость.
Выбор протокола: IPsec против WireGuard — кто выживет?
На MikroTik доступны три основных варианта:
| Протокол | Поддержка на RouterOS | Шифрование по умолчанию | Надёжность при NAT/динамическом IP | Скорость (на RB4011) |
|---|---|---|---|---|
| IPsec (IKEv2) | Полная (с v6.40+) | AES-256-GCM, SHA2-256 | Отличная, но требует правильной настройки NAT-T | ~850 Мбит/с |
| WireGuard | С версии 7.1+ (стабильно с 7.8) | ChaCha20-Poly1305 | Идеальная — работает даже за CGNAT | ~920 Мбит/с |
| OpenVPN | Только через пакет openvpn (устаревший) |
AES-256-CBC (часто без PFS) | Проблемы с UDP-таймаутами | ~300 Мбит/с |
Вывод:
Если у вас RouterOS v7.8+, WireGuard — лучший выбор: меньше конфигурации, выше скорость, встроенная защита от replay-атак.
Если вы на RouterOS v6.x — используйте IPsec с IKEv2 и Perfect Forward Secrecy (PFS). Избегайте старых реализаций L2TP/IPsec без шифрования ESP.
💡 Perfect Forward Secrecy (PFS) означает, что даже если злоумышленник получит ваш главный ключ, он не сможет расшифровать прошлый трафик. Это критично для корпоративных сетей.
Чего вам НЕ говорят в других гайдах
Большинство инструкций заканчиваются на «подняли туннель — всё работает». Но реальные проблемы начинаются после этого:
-
Утечки DNS и маршрутизации
Если в таблице маршрутизации не прописанdistance=1для туннеля, часть трафика может уходить напрямую в интернет. Особенно это актуально при использовании нескольких WAN-интерфейсов. -
Отсутствие kill switch на роутере
При перезагрузке MikroTik или потере связи с удалённым офисом трафик может временно идти в обход VPN. Без явного правила вip firewall filter, запрещающего любой исходящий трафик вне туннеля, вы теряете защиту. -
Ложное чувство безопасности от «статического ключа»
Некоторые администраторы используют один и тот же pre-shared key (PSK) для всех филиалов. Это нарушает принцип минимальных привилегий: компрометация одного офиса = доступ ко всем. -
Нет мониторинга состояния туннеля
RouterOS не отправляет уведомления при обрыве IPsec SA. Без скрипта на/system scheduler, проверяющегоip ipsec remote-peers, вы можете неделю работать без шифрования и не знать об этом. -
Игнорирование MTU и фрагментации
WireGuard по умолчанию использует MTU 1420. Если ваш провайдер применяет PPPoE (MTU 1492), пакеты фрагментируются. Это вызывает задержки и потерю пакетов в VoIP или видеоконференциях. Решение — явно указатьmtu=1380в интерфейсе WireGuard.
Пошаговая настройка: WireGuard между двумя офисами (RouterOS v7.8+)
Допустим:
- Офис А: публичный IP 203.0.113.10, LAN 192.168.10.0/24
- Офис Б: публичный IP 198.51.100.22, LAN 192.168.20.0/24
Шаг 1. Генерация ключей на обоих роутерах
/interface wireguard
add name=wg-office
/interface wireguard keys
generate private-key-file=wg-private-A public-key-file=wg-public-A
Повторите на втором роутере (ключи будут другими!).
Шаг 2. Настройка интерфейса
Офис А:
/interface wireguard
set wg-office listen-port=51820 private-key="$(cat wg-private-A)"
/ip address
add address=10.200.200.1/30 interface=wg-office
Офис Б:
/interface wireguard
set wg-office listen-port=51820 private-key="$(cat wg-private-B)"
/ip address
add address=10.200.200.2/30 interface=wg-office
Шаг 3. Добавление пиров
Офис А:
/interface wireguard peers
add interface=wg-office public-key="$(cat wg-public-B)" \
allowed-address=192.168.20.0/24,10.200.200.2/32 \
endpoint-address=198.51.100.22 endpoint-port=51820
Офис Б:
/interface wireguard peers
add interface=wg-office public-key="$(cat wg-public-A)" \
allowed-address=192.168.10.0/24,10.200.200.1/32 \
endpoint-address=203.0.113.10 endpoint-port=51820
Шаг 4. Маршрутизация
На обоих роутерах:
/ip route
add dst-address=192.168.20.0/24 gateway=10.200.200.2 distance=1
add dst-address=192.168.10.0/24 gateway=10.200.200.1 distance=1
Шаг 5. Защита от утечек (kill switch)
/ip firewall filter
add chain=forward out-interface=!wg-office src-address=192.168.10.0/24 action=drop comment="Block non-VPN traffic"
add chain=forward out-interface=!wg-office src-address=192.168.20.0/24 action=drop
Это правило запрещает любому трафику из локальной сети выходить не через туннель.
Диагностика: как убедиться, что всё работает
-
Проверка туннеля:
bash /interface wireguard peers print stats
Смотрите наlast handshake— должен быть < 2 минуты. -
Тест утечек DNS:
Зайдите с компьютера в офисе А на ipleak.net. Убедитесь, что: - IP-адрес — публичный адрес офиса Б;
- DNS-серверы — ваши внутренние (не провайдера!);
-
WebRTC не раскрывает локальный IP.
-
Проверка MTU:
bash ping 192.168.20.1 size=1400 do-not-fragment
Если пакеты теряются — уменьшайте MTU в интерфейсе WireGuard.
Сравнение реальных провайдерских решений vs MikroTik
Многие компании покупают «корпоративный VPN» у провайдеров (МТС, Beeline). Но что вы получаете?
| Критерий | Провайдерский MPLS/VPN | Самостоятельный MikroTik + WireGuard |
|---|---|---|
| Цена (на 2 точки) | от 15 000 ₽/мес | 0 ₽ (только стоимость роутера) |
| Шифрование | Часто отсутствует (только изоляция) | ChaCha20-Poly1305 (AES-эквивалент) |
| Юрисдикция | РФ — данные доступны по запросу ФСБ | Вы контролируете серверы |
| Гибкость | Нельзя менять маршруты без заявки | Полный контроль через CLI/API |
| Скорость | Ограничена SLA (часто 100–300 Мбит/с) | До 95% от физического канала |
Важно: Провайдерские решения часто называют «VPN», но технически это VLAN или MPLS — без end-to-end шифрования. Для защиты от перехвата внутри инфраструктуры провайдера этого недостаточно.
Распространённые ошибки и как их избежать
-
Ошибка №1: Использование одинаковых private keys.
→ Генерируйте уникальные ключи для каждой пары. -
Ошибка №2: Отсутствие
allowed-addressв peer.
→ Без него трафик не маршрутизируется. -
Ошибка №3: Забыли про NAT на стороне клиента.
→ Если офис Б за NAT, укажитеpersistent-keepalive=25s. -
Ошибка №4: Не настроили
src-natдля трафика в туннель.
→ Без маскарадинга ответные пакеты не вернутся. -
Ошибка №5: Игнорирование обновлений RouterOS.
→ Уязвимости в IPsec/WireGuard исправляются регулярно.
Вывод
mikrotik соединение двух офисов через vpn — это не просто «поднять туннель», а создание доверенной среды с контролем над каждым пакетом. WireGuard в RouterOS v7+ даёт максимальную скорость и минимальную поверхность атаки. Но без kill switch, правильной маршрутизации и диагностики утечек вы получите иллюзию безопасности. Настройте мониторинг, используйте уникальные ключи, тестируйте трафик через ipleak.net — и ваша корпоративная сеть будет защищена не на словах, а на практике.
VPN замедляет интернет на сколько реально?
На MikroTik с аппаратным шифрованием (RB4011, hEX S) потеря скорости при WireGuard — не более 5%. При IPsec — до 15%. На старых моделях без crypto-engine (например, hAP lite) скорость может упасть в 3–5 раз.
Меня найдёт спецслужба при использовании VPN?
Если вы используете собственный MikroTik-VPN между офисами — нет, потому что трафик не проходит через третьи серверы. Но если один из офисов находится в РФ, оператор обязан хранить метаданные (ФЗ-149, ФЗ-187). Шифрование защищает содержимое, но не факт подключения.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (меньше уязвимостей), современные алгоритмы (ChaCha20, Poly1305), обязательная forward secrecy. OpenVPN часто настраивают с устаревшими шифрами (AES-CBC без PFS), что снижает защиту.
Нужно ли шифровать трафик внутри одного города?
Да. Даже при локальном подключении трафик проходит через оборудование провайдера, где возможен DPI и перехват. Особенно если используется общая магистраль (например, GPON).
Что делать, если у одного офиса динамический IP?
Используйте WireGuard с persistent-keepalive=25 — инициатор будет регулярно отправлять пакеты, обновляя endpoint у пира. Для IPsec включите nat-traversal=yes и используйте FQDN вместо IP в конфигурации.
Можно ли использовать бесплатный облачный сервер для транзита?
Технически — да, но это нарушает принцип «доверенного окружения». Облачные провайдеры (включая AWS, DigitalOcean) могут логировать трафик. Кроме того, вы создаёте single point of failure. Лучше поднимать туннель напрямую между офисами.
Nice overview. Adding screenshots of the key steps could help beginners.