настройка vpn на mikrotik и маршрутизация только определенного трафика

настройка vpn на mikrotik и маршрутизация только определенного трафика

Как настроить VPN на MikroTik: трафик только по выбору

настройка vpn на mikrotik и маршрутизация только определенного трафика — это не просто «включил и забыл». Это точечный инструмент для тех, кто хочет совместить безопасность с производительностью: пускать через шифрованный тоннель только то, что действительно требует защиты, а остальной трафик оставлять на прямом канале. В России, где провайдеры вроде Ростелеком или МТС могут внедрять DPI и ограничивать доступ к Telegram, YouTube или торрент-трекерам, такой подход особенно актуален.

Почему «весь трафик через VPN» — плохая идея (и когда это не так)

Полная маршрутизация всех пакетов через удалённый сервер выглядит надёжно на бумаге. На практике она:

• Удваивает задержку (ping) для локальных сервисов — например, стриминга с Кинопоиска или Яндекс.Музыки.
• Снижает скорость загрузки до 30–60% даже при мощном канале, особенно если сервер находится в Европе или США.
• Может вызывать проблемы с онлайн-банкингом: Сбербанк, Тинькофф и Альфа часто блокируют вход с «подозрительных» IP.
• Повышает нагрузку на CPU роутера MikroTik, особенно на бюджетных моделях (hAP, RB951).

Но! Если вы подключены к публичному Wi-Fi в аэропорту Шереметьево или кофейне в центре Москвы — тогда да, весь трафик должен идти через VPN. Здесь нет исключений. А вот дома или в офисе логичнее использовать split tunneling — маршрутизацию только определённого трафика.

Что такое split tunneling и зачем он нужен именно вам

Split tunneling — это не маркетинговый термин, а техническая возможность направлять часть соединений через VPN, а часть — напрямую. Примеры из жизни:

• Вы скачиваете торренты: весь P2P-трафик уходит через шифрованный тоннель, а YouTube работает без лагов.
• Вы журналист в командировке: мессенджеры (Telegram, Signal) и почта — через VPN, а карты и погода — локально.
• У вас корпоративный ноутбук: только корпоративные ресурсы (CRM, внутренние сайты) идут через туннель, остальное — как обычно.
• Вы обходите блокировки: только запрещённые ресурсы (например, определённые форумы или торрент-трекеры) маршрутизируются через сервер в другой стране.

Важно: split tunneling не отменяет необходимость защиты от DNS/WebRTC-утечек. Даже если браузер не в туннеле, он может раскрыть ваш реальный IP через JavaScript или системные запросы.

Выбор протокола: WireGuard vs OpenVPN vs IPsec на MikroTik

MikroTik RouterOS поддерживает все три основных протокола. Но их возможности сильно различаются.

WireGuard — лучший выбор для большинства сценариев:
- Минимальный overhead: добавляет всего 3–7 мс к пингу.
- Использует современные алгоритмы без уязвимостей типа Heartbleed.
- Конфигурация занимает 10–15 строк.

OpenVPN остаётся актуальным, если ваш провайдер блокирует UDP-трафик (WireGuard использует только UDP). Но он медленнее и сложнее в настройке на MikroTik.

IPsec — стандарт для корпоративных сетей, но требует согласования политик с удалённой стороной. Для домашнего использования — избыточен.

💡 Perfect Forward Secrecy (PFS) реализован во всех трёх протоколах, но в WireGuard он встроен «из коробки», тогда как в IPsec его нужно явно включать в phase 2.

Открой мир без границ🌍

Пошаговая настройка WireGuard с split tunneling на MikroTik

Предположим: вы хотите пускать через VPN только трафик к IP-адресам торрент-трекеров и Telegram-серверов.

Шаг 1. Создайте интерфейс WireGuard

/interface wireguard
add name=wg-vpn private-key="ваш_приватный_ключ" listen-port=13231

Шаг 2. Добавьте peer (удалённый сервер)

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=vpn.example.com endpoint-port=51820 \
    interface=wg-vpn public-key="публичный_ключ_сервера"

⚠️ allowed-address=0.0.0.0/0 означает, что весь трафик может идти через туннель. Но мы его ограничим дальше.

Шаг 3. Создайте адресные списки для «защищаемых» ресурсов

/ip firewall address-list
add address=91.108.4.0/22 list=telegram  # Telegram IPv4
add address=149.154.160.0/20 list=telegram
add address=13.32.0.0/15 list=torrent-trackers  # Пример: Amazon-хостинг популярных трекеров
add address=104.20.0.0/16 list=torrent-trackers

Совет: используйте whois или nslookup, чтобы найти актуальные подсети целевых сервисов.

Шаг 4. Настройте маршрутизацию только для этих адресов

/ip route
add dst-address-list=telegram gateway=wg-vpn routing-table=main
add dst-address-list=torrent-trackers gateway=wg-vpn routing-table=main

Теперь только указанные подсети будут уходить через туннель. Остальной трафик — напрямую.

Шаг 5. Защита от утечек DNS

Если вы используете системный DNS (например, от провайдера), запросы к telegram.org всё равно пойдут напрямую и раскроют ваш интерес.

Решение: принудительно направляйте DNS-запросы к этим доменам через туннель.

/ip dns static
add name=telegram.org address=1.1.1.1
add name=web.telegram.org address=1.1.1.1

/ip firewall nat
add chain=dstnat dst-address-list=telegram action=dst-nat to-addresses=10.0.0.2

Или проще — используйте DoH/DoT на клиентских устройствах (браузер, приложение).

Чего вам НЕ говорят в других гайдах

Большинство инструкций замалчивают критические риски:

1. Бесплатные VPN — это сбор данных

Сервер в Германии за $5/мес не покроет ваши «бесплатные» 10 ГБ трафика. Бизнес-модель таких сервисов — продажа логов, подмена рекламы или использование вашего устройства в ботнете (как Hola VPN в 2019 году).

1. «No logs» — не всегда правда

Даже уважаемые провайдеры могут хранить металоги (время подключения, объём трафика). В юрисдикции 14 Eyes (включая Германию, Францию, Канаду) такие данные могут быть переданы спецслужбам по запросу без ордера.

1. Kill switch на MikroTik — не встроен

Если туннель упадёт, MikroTik автоматически переключит весь трафик на прямой канал. Это катастрофа для торрентов. Чтобы этого избежать, нужны скрипты:

/system script
add name=kill-switch source={
    :if ([/interface get wg-vpn running] = false) do={
        /ip firewall filter add chain=forward action=drop comment="KILL SWITCH"
    } else={
        /ip firewall filter remove [find comment="KILL SWITCH"]
    }
}
/system scheduler
add name=check-vpn interval=10s on-event=kill-switch

1. DPI легко обходит «обычный» трафик

Роскомнадзор использует глубокий анализ пакетов. Простой OpenVPN на порту 443 может быть распознан. WireGuard сложнее детектировать, но не невозможно. Для максимальной стойкости используйте obfs4 или Shadowsocks поверх туннеля — но это уже выходит за рамки RouterOS.

1. WebRTC-утечки работают даже при split tunneling

Если браузер не в туннеле, JavaScript на сайте может получить ваш реальный IP через WebRTC. Отключите его в настройках Firefox/Chrome или используйте расширения вроде uBlock Origin с фильтром webrtc.

Сравнение реальных провайдеров для использования с MikroTik (2026)

* Proton хранит временные метки подключения до 14 дней в бесплатной версии.

Выбирайте провайдера с публичным аудитом и юрисдикцией вне 14 Eyes. Швейцария, Панама, Швеция — хорошие варианты.

Диагностика: как проверить, что split tunneling работает

1. Зайдите на ipleak.net — ваш IP должен быть локальным.
2. Откройте торрент-клиент и начните раздачу — на том же сайте должен отобразиться VPN-IP.
3. Проверьте DNS: nslookup telegram.org — ответ должен приходить от вашего локального резолвера, но сам трафик — через туннель.
4. Используйте ping до адреса из списка telegram — маршрут должен идти через wg-vpn (/tool traceroute).

Если всё совпадает — вы настроили правильно.

VPN замедляет интернет на сколько реально?

Зависит от протокола и расстояния до сервера. WireGuard: потеря 3–8% скорости и 5–15 мс пинга. OpenVPN: 15–30% и 20–50 мс. При split tunneling общая скорость почти не страдает — только выбранные сервисы замедляются.

Меня найдёт спецслужба при использовании VPN?

Если вы используете качественный no-log VPN вне 14 Eyes — маловероятно. Но если провайдер хранит логи или находится под юрисдикцией РФ — да, по запросу Роскомнадзора или ФСБ данные могут быть переданы. Анонимность — это цепочка: слабое звено (браузер, учётная запись, платежи) её разрывает.

🛠️Инструмент для работы

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: меньше кода (меньше уязвимостей), современное шифрование, встроенный PFS. OpenVPN проверен временем, но использует устаревшие библиотеки (OpenSSL), которые регулярно получают патчи от CVE.

Можно ли настроить split tunneling по доменам, а не по IP?

На MikroTik — нет напрямую. RouterOS не делает DNS-резолвинг в реальном времени для маршрутизации. Решение: использовать внешний прокси (Squid, AdGuard Home) или клиентские правила на устройствах (Android/iOS поддерживают split по доменам).

Что делать, если туннель отвалился, а торренты продолжают раздаваться?

Это классическая утечка. Обязательно настройте kill switch через скрипт (см. выше). Или используйте торрент-клиент с встроенной защитой (qBittorrent → Tools → Options → Connection → «Use proxy only for torrents» + «Disable all connections if proxy fails»).

🔐Защити свои данные

Нужно ли шифровать трафик внутри локальной сети при использовании MikroTik?

Если у вас WPA2/WPA3 на Wi-Fi — достаточно. Но если есть гости или IoT-устройства (камеры, чайники), лучше изолировать их в отдельный VLAN и запретить доступ к основной сети. VPN здесь не поможет — угроза внутренняя.

Вывод

настройка vpn на mikrotik и маршрутизация только определенного трафика — это баланс между безопасностью, скоростью и удобством. Она особенно ценна в условиях российской реальности: когда одни сервисы блокируются, другие требуют локального IP, а третьи (торренты, мессенджеры) нуждаются в анонимности. WireGuard — оптимальный выбор для MikroTik: быстрый, простой и безопасный. Но помните: split tunneling не отменяет необходимость защиты от DNS/WebRTC-утечек и настройки аварийного отключения (kill switch). Без этих мер даже самый точный маршрут может привести к утечке данных.