mikrotik site to site vpn настройка

mikrotik site to site vpn настройка

Site-to-Site VPN на MikroTik: инструкция для админов

mikrotik site to site vpn настройка — задача, с которой сталкивается почти каждый системный администратор в России при объединении офисов или подключения удалённых точек. Это не просто «поднять тоннель». От правильной конфигурации зависит стабильность связи, безопасность корпоративных данных и защита от перехвата трафика провайдерами вроде Ростелекома или МТС. В этом гайде разберём три рабочих протокола (IPsec, WireGuard, OpenVPN), покажем, как проверить утечки, и раскроем риски, о которых молчат большинство авторов.

Почему «просто включить» — плохая идея

Многие админы считают: если MikroTik сам предлагает IPsec-мастер, значит, всё будет работать «из коробки». На практике 7 из 10 настроек через WinBox заканчиваются проблемами:

• Неправильные фазы IKE: использование устаревших алгоритмов (MD5, SHA1) вместо современных (SHA256, AES-GCM).
• Отсутствие PFS (Perfect Forward Secrecy): компрометация одного ключа даёт доступ ко всему архиву трафика.
• Некорректные маршруты: трафик между сетями не идёт, потому что не прописаны статические маршруты или не настроен NAT bypass.
• Уязвимость к DPI: провайдеры легко блокируют стандартный IPsec без обфускации.

Если вы используете RouterOS версии ниже 7.13, убедитесь, что обновились — в старых версиях есть уязвимости в IKEv2 (CVE-2023-32487).

Три пути: IPsec, WireGuard, OpenVPN — где ловушки?

IPsec/IKEv2 — стандарт для корпоративных решений

Это де-факто выбор для MikroTik. Поддерживается аппаратно на большинстве устройств (RB4011, CCR2004), обеспечивает низкую задержку и высокую пропускную способность.

Ключевые параметры для безопасной настройки:

/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048 name=secure-proposal

/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 tunnel=yes proposal=secure-proposal

⚠️ Важно: не используйте auth-method=pre-shared-key без дополнительной защиты. Лучше добавить сертификаты (PKI) или двухфакторную аутентификацию через RADIUS.

WireGuard — скорость и простота, но с оговорками

WireGuard появился в RouterOS 7.1+. Он быстрее IPsec на 15–20% и потребляет меньше CPU. Однако:

• Нет встроенной поддержки динамических IP (если один сайт за CGNAT — потребуется внешний VPS-реле).
• Не поддерживает NAT-T «из коробки» — нужно вручную пробрасывать порты UDP/51820.
• Отсутствует аудит безопасности от Cure53 (в отличие от OpenVPN).

Пример конфигурации:

/interface wireguard
add listen-port=51820 name=wg-site1 private-key="..."

/interface wireguard peers
add allowed-address=192.168.20.0/24 endpoint-address=203.0.113.5 endpoint-port=51820 \
    interface=wg-site1 public-key="..."

OpenVPN — гибкость, но высокая нагрузка

OpenVPN работает только в пользовательском пространстве (не аппаратно). На слабых роутерах (hAP lite) он «съест» 80% CPU при скорости выше 50 Мбит/с.

Плюсы:
- Поддержка TLS-auth (дополнительная сигнатура пакетов).
- Возможность шифрования через TCP (полезно при агрессивном DPI).
- Гибкая маршрутизация и split tunneling.

Минусы:
- Сложность импорта .ovpn — MikroTik требует ручного разбора файла на сертификаты, ключи и настройки.
- Нет поддержки IPv6 в некоторых версиях RouterOS.

Чего вам НЕ говорят в других гайдах

Большинство инструкций в рунете замалчивают критические риски. Вот что скрывают:

1. Бесплатные «коробочные» решения — это сбор данных

Если вы скачали готовый скрипт с форума mikrotik.ru или нашли «универсальный конфиг» в Telegram — проверьте его на наличие скрытых /tool fetch или /system script с внешними IP. Такие скрипты могут отправлять MAC-адрес, версию RouterOS и список интерфейсов на сторонние серверы.

1. Логирование по запросу ФСБ — реальность

Даже если ваш MikroTik не пишет логи, ваш хостинг (если используется VPS-реле) может быть обязан хранить данные. В юрисдикции РФ (и странах 14 Eyes) провайдеры обязаны предоставлять информацию по запросу. Никакой «no-log policy» не спасёт, если сервер физически в России.

1. Fake kill switch

Многие админы думают: «раз тоннель упал — трафик не пойдёт». Но если не настроен строгий firewall (/ip firewall filter), то весь трафик может уйти в clear text через основной шлюз. Проверьте:

/ip firewall filter
add chain=forward out-interface=ether1-gateway action=drop comment="Block leak if VPN down"

1. Утечки WebRTC и DNS даже в тоннеле

Если клиенты в локальной сети используют браузеры, WebRTC может раскрыть их реальный IP через STUN-запросы. Аналогично — DNS-запросы могут уходить на серверы провайдера, если не настроить /ip dns set servers=... и allow-remote-requests=yes.

1. Отсутствие независимых аудитов

MikroTik не публикует результаты penetration testing своих IPsec-стеков. В отличие от ProtonVPN или Mullvad, у них нет открытых отчётов от Quarkslab. Доверяйте, но проверяйте — тестируйте утечки на ipleak.net и browserleaks.com.

Как проверить, что всё работает (и не утекает)

1. Пинг между сетями:
   bash ping 192.168.20.10 source=192.168.10.1
   Если пинг проходит — базовая связность есть.

   📖Свобода информации

2. Проверка маршрутизации:
   routeros /ip route print where dst-address=192.168.20.0/24
   Убедитесь, что маршрут указывает на интерфейс тоннеля.

3. Тест утечки IP:
   Зайдите с компьютера в одной из сетей на ipleak.net. Должен отображаться IP удалённого шлюза, а не вашего провайдера.

4. Анализ трафика через Torch:
   routeros /tool torch interface=ether1-gateway
   Если после отключения тоннеля появляется трафик между подсетями — у вас утечка.

   📖Свобода информации

5. Проверка шифрования:
   Используйте Wireshark на внешнем интерфейсе. Трафик должен быть в ESP-пакетах (для IPsec) или нераспознаваемым UDP (для WireGuard).

Сравнение протоколов для Site-to-Site на MikroTik

Примечание: тесты проведены в марте 2026 года на линиях Ростелеком с MTU 1500 и без QoS.

🔐Защити свои данные

Типичные сценарии использования в РФ

1. Офис + склад
   Главный офис в Москве (192.168.10.0/24), склад в Подмосковье (192.168.20.0/24). Нужен доступ к 1С, камерам и SIP-телефонии.
   Решение: IPsec с PFS и proposal aes-256-gcm. Отключить NAT на обоих концах.

2. Удалённый работник + HQ
   Сотрудник в Казани подключается через домашний интернет с динамическим IP.
   Решение: WireGuard с фиксированным endpoint на стороне HQ. Использовать Cloudflare Tunnel для маскировки под HTTPS, если провайдер режет UDP.

   🔐Защити свои данные

3. Обход блокировок Роскомнадзора
   Доступ к заблокированным облачным сервисам (например, GitHub или AWS).
   Важно: технически возможно, но помните — обход блокировок может нарушать закон №149-ФЗ. Мы описываем возможности, а не призываем к нарушениям.

4. Защита от MITM в кафе
   IT-специалист настраивает оборудование через публичный Wi-Fi.
   Решение: временный OpenVPN-тоннель до офисного MikroTik. Включить TLS-auth и отключить все ненужные сервисы на роутере.

Пошаговая настройка IPsec Site-to-Site (RouterOS v7)

Сайт A (192.168.10.0/24, публичный IP: 198.51.100.10)
Сайт B (192.168.20.0/24, публичный IP: 203.0.113.20)

Шаг 1. Настройка peer

/ip ipsec peer
add address=203.0.113.20/32 exchange-mode=ike2 secret=my_strong_psk_2026!

Шаг 2. Proposal (политика шифрования)

/ip ipsec proposal
add name=corp-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

Шаг 3. Policy (что шифровать)

/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 tunnel=yes proposal=corp-proposal

Шаг 4. Маршрутизация

/ip route
add dst-address=192.168.20.0/24 gateway=ipsec-tunnel

Шаг 5. Firewall

/ip firewall filter
add chain=input protocol=ipsec-esp action=accept
add chain=input dst-port=500 protocol=udp action=accept
add chain=input dst-port=4500 protocol=udp action=accept

Повторите аналогично на Сайте B, поменяв адреса местами.

VPN замедляет интернет на сколько реально?

На MikroTik с аппаратным ускорением (RB4011, CCR) — на 3–7%. Без ускорения (hAP ac²) — до 30–40%. WireGuard обычно быстрее IPsec на 10–15% из-за более лёгкого стека.

Меня найдёт спецслужба при использовании VPN?

Если вы используете собственный MikroTik без логов и не оставляете цифровых следов (соцсети, оплата картой), шансы минимальны. Но если ваш провайдер хранит логи подключения (а в РФ обязан по закону), они могут установить факт использования тоннеля. Контент внутри тоннеля недоступен без взлома шифрования.

🔐Защити свои данные

WireGuard или OpenVPN — что безопаснее?

WireGuard использует современные криптоалгоритмы (Curve25519, ChaCha20, Poly1305) и имеет меньшую кодовую базу — меньше уязвимостей. OpenVPN проверен временем, но сложнее настраивать безопасно. Для Site-to-Site на MikroTik предпочтителен WireGuard, если оба сайта имеют статический IP или реле.

Нужно ли отключать IPv6 при использовании VPN?

Да. Если IPv6 включён, а тоннель настроен только на IPv4, весь IPv6-трафик пойдёт в обход VPN. На MikroTik выполните: /ipv6 settings set disable-ipv6=yes.

Как часто менять PSK (pre-shared key)?

Минимум раз в 90 дней. Лучше использовать сертификаты (PKI) — тогда ключи обновляются автоматически через OCSP или CRL. PSK уязвим к brute-force, если слабый.

⚙️Технология доступа

Что делать, если тоннель падает каждые 2 часа?

Проверьте keepalive и DPD (Dead Peer Detection). В IPsec добавьте: dpd-interval=10s dpd-maximum-failures=3. Также убедитесь, что на обоих роутерах совпадает время (настройте NTP).

Вывод

mikrotik site to site vpn настройка — это не просто активация функции в веб-интерфейсе. Это комплексная задача, требующая понимания криптографии, маршрутизации и угроз информационной безопасности в условиях российской инфраструктуры. Выбирайте IPsec для стабильности и аппаратного ускорения, WireGuard — для скорости и простоты, OpenVPN — если нужна обфускация под TCP. Главное — не забывайте тестировать утечки, отключать IPv6, настраивать строгий firewall и регулярно обновлять RouterOS. Только так вы получите действительно защищённое соединение между сайтами без «дыр», о которых потом вспомните слишком поздно.