mikrotik vpn между офисами
mikrotik vpn между офисами
Надёжный MikroTik VPN между офисами — пошагово
Готовое решение: mikrotik vpn между офисами. Без воды, только рабочие конфигурации и скрытые угрозы.
mikrotik vpn между офисами — не просто модное словосочетание для ИТ-директора. Это реальный инструмент, который либо защищает корпоративные данные от перехвата в публичных сетях, либо становится точкой входа для атаки, если настроен «на глазок». В этой статье разберём, как сделать туннель между филиалами так, чтобы он выдержал проверку DPI от провайдера, не слил DNS-запросы и не превратился в бэкдор из-за ошибки в ACL.
Почему ваш «рабочий» туннель может быть дырявым
Многие администраторы считают: если ping проходит, значит, всё в порядке. Это опасное заблуждение. Трафик между офисами может шифроваться слабым алгоритмом (например, DES или SHA1), что делает его уязвимым к brute-force уже сегодня. Или хуже — вообще не шифроваться, если в IPsec используется режим transport без ESP.
Проверьте:
- Используется ли AES-256-GCM или ChaCha20-Poly1305?
- Включена ли Perfect Forward Secrecy (PFS) с группой DH не ниже 14 (2048 бит)?
- Есть ли rekey-interval меньше 3600 секунд?
Если хотя бы один пункт «нет» — ваш трафик можно расшифровать при компрометации ключа. А это случается чаще, чем кажется: через утечку конфигурационного файла, фишинг или уязвимость в WinBox.
WireGuard vs IPsec: что выбрать для связи филиалов
MikroTik поддерживает оба протокола. Но они решают разные задачи.
IPsec — стандарт де-факто для корпоративных сетей. Поддерживается всеми производителями: Cisco, Juniper, Fortinet. Плюсы:
- Глубокая интеграция с PKI (сертификаты вместо паролей).
- Возможность NAT-T для работы за CGNAT (часто у Ростелекома и МТС).
- Поддержка IKEv2 с MOBIKE для мобильных клиентов.
Минусы:
- Сложная отладка (часто требует логов /log ipsec).
- Большой оверхед при малых пакетах.
- Уязвимости в реализациях (например, CVE-2023-38737 в некоторых прошивках).
WireGuard — современный протокол, встроенный в RouterOS v7+. Плюсы:
- Простота: конфигурация — 10 строк.
- Высокая скорость: до 97% от скорости канала даже на hAP lite.
- Минимальный код (≈4000 строк), что снижает поверхность атаки.
Минусы:
- Нет встроенной поддержки сертификатов (только pre-shared keys).
- Не маскируется под HTTPS — легко блокируется DPI.
- Отсутствие динамической смены endpoint’а без внешнего скрипта.
Для большинства российских компаний с фиксированными IP-адресами филиалов WireGuard — оптимальный выбор. Если же один из офисов работает через LTE-роутер с динамическим IP — берите IPsec с IKEv2.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в интернете молчат о трёх критических моментах:
- Утечки через DNS и NTP
Даже при активном туннеле устройства могут отправлять DNS-запросы напрямую провайдеру. Особенно это актуально для Windows-машин и IoT-устройств. Решение — принудительный DNS через DHCP-option 6 на MikroTik и firewall-правило:
/ip firewall nat
add chain=srcnat out-interface=your_vpn_tunnel action=masquerade
/ip firewall filter
add chain=forward dst-port=53 protocol=udp action=drop comment="block external DNS"
- Ложный kill switch
Многие считают, что если туннель падает, трафик автоматически блокируется. На самом деле без явного правила вfilterвесь трафик пойдёт в интернет напрямую. Обязательно добавьте:
/ip firewall filter
add chain=forward out-interface-list=!WAN action=accept comment="allow only via tunnel or LAN"
add chain=forward action=drop comment="KILL SWITCH"
Здесь WAN — список интерфейсов, ведущих в интернет. Всё, что не в LAN и не в туннель — блокируется.
- Юрисдикция и логи самого MikroTik
RouterOS по умолчанию не сохраняет логи трафика, но: - Логи аутентификации (логин/пароль) пишутся в
/log. - При включённой опции
store-leasesв DHCP — сохраняются MAC-адреса. - Если вы используете Cloud Hosted Router (CHR) на сервере в США или Германии — данные подпадают под юрисдикцию 14 Eyes.
Никакой «no-log policy» у MikroTik нет. Это оборудование, а не коммерческий VPN-сервис. Ответственность за логирование — на вас.
Сравнение реальных решений для связи офисов
| Критерий | MikroTik (собственный туннель) | Коммерческий VPN (NordLayer) | SD-WAN (Cisco Meraki) | Бесплатный WireGuard-хостинг |
|---|---|---|---|---|
| Юрисдикция | Ваша (RU) | Панама | США | Неизвестна |
| Хранение логов | Только если включено | Зависит от политики | Полные логи | Часто — полные логи + продажа данных |
| Протоколы | IPsec, WireGuard, L2TP | WireGuard, IPSec | Proprietary + IPsec | Только WireGuard |
| Реальная скорость (на 100 Мбит/с) | 92–97 Мбит/с | 60–80 Мбит/с | 85–95 Мбит/с | 10–40 Мбит/с (ограничение) |
| Цена (месяц на 2 офиса) | 0 ₽ (оборудование уже есть) | ≈3 500 ₽ | ≈15 000 ₽ | «Бесплатно» → реклама/ботнет |
| Защита от DPI | Требует доп. настройки | Встроена (Obfuscation) | Да | Нет |
Бесплатные решения — ловушка. Один из популярных WireGuard-хостингов в 2024 году оказался частью ботнета, перенаправлявшего трафик через Tor-выходные ноды для DDoS.
Пошаговая настройка: WireGuard между двумя офисами
Предположим:
- Офис А: статический IP 203.0.113.10, сеть 192.168.10.0/24
- Офис Б: статический IP 198.51.100.20, сеть 192.168.20.0/24
Шаг 1. Генерация ключей на обоих роутерах
/interface wireguard
add name=wg-office
/interface wireguard keys
generate private-key="officeA_private" public-key="officeA_public"
Аналогично на офисе Б. Сохраните приватные ключи в защищённом месте.
Шаг 2. Настройка интерфейса
На офисе А:
/interface wireguard peers
add interface=wg-office public-key="officeB_public" \
allowed-address=192.168.20.0/24 endpoint=198.51.100.20:51820
/ip address
add address=10.255.255.1/30 interface=wg-office
На офисе Б:
/interface wireguard peers
add interface=wg-office public-key="officeA_public" \
allowed-address=192.168.10.0/24 endpoint=203.0.113.10:51820
/ip address
add address=10.255.255.2/30 interface=wg-office
Шаг 3. Маршрутизация
На обоих роутерах:
/ip route
add dst-address=192.168.20.0/24 gateway=10.255.255.2 # на офисе А
add dst-address=192.168.10.0/24 gateway=10.255.255.1 # на офисе Б
Шаг 4. Фаервол и kill switch
/ip firewall filter
add chain=forward src-address=192.168.10.0/24 \
dst-address=192.168.20.0/24 action=accept
add chain=forward src-address=192.168.20.0/24 \
dst-address=192.168.10.0/24 action=accept
add chain=forward out-interface-list=WAN action=drop comment="KILL SWITCH"
Шаг 5. Проверка утечек
- Зайдите с компьютера в офисе А на ipleak.net.
- Убедитесь, что:
- IP-адрес — 198.51.100.20 (офис Б)
- DNS — ваш внутренний (например, 192.168.10.1)
- WebRTC — не раскрывает локальный IP
Если всё зелёное — туннель безопасен.
Когда MikroTik VPN между офисами — плохая идея
Не используйте собственный туннель, если:
- Один из офисов находится в стране с активным DPI (Китай, Иран). Там ваш WireGuard/IPsec быстро заблокируют.
- Нет ИТ-специалиста на месте. При падении туннеля бизнес остановится.
- Требуется аудит соответствия (ФСТЭК, PCI DSS). Самописные решения часто не проходят проверку без документации и сертификатов.
В таких случаях лучше арендовать MPLS-канал или использовать управляемый SD-WAN от провайдера (например, «Ростелеком» предлагает такие услуги для бизнеса).
Вывод
mikrotik vpn между офисами — мощный и экономичный способ связать филиалы, но только при условии глубокого понимания сетевой безопасности. Это не «включил и забыл». Требуется настройка фаервола, защита от DNS-утечек, контроль маршрутов и регулярная проверка работоспособности kill switch. WireGuard предпочтителен для стабильных сетей, IPsec — для динамических. Главное — помнить: оборудование MikroTik не спасёт от человеческой ошибки. Документируйте каждое правило, тестируйте сценарии отказа и никогда не доверяйте «рабочему» туннелю без проверки на утечки.
VPN замедляет интернет на сколько реально?
На MikroTik с аппаратным шифрованием (например, hEX S, RB5009) потеря скорости — 3–8%. На старых моделях без crypto-accelerator (hAP lite) — до 40%. WireGuard почти всегда быстрее IPsec.
Меня найдёт спецслужба при использовании VPN?
Если вы используете собственный MikroTik-туннель между офисами — да, вас найдут. Все IP известны, трафик не анонимен. Это не Tor. Цель такого VPN — защита от перехвата, а не скрытие личности.
WireGuard или OpenVPN — что безопаснее?
OpenVPN уязвим к атакам через утечку памяти (CVE-2023-45567), требует OpenSSL и сложнее в настройке. WireGuard использует современные криптопримитивы (Curve25519, ChaCha20) и имеет меньший код. На 2026 год WireGuard считается безопаснее.
Нужен ли сертификат для IPsec на MikroTik?
Нет, можно использовать PSK (pre-shared key). Но для крупных сетей с десятками узлов лучше внедрить PKI: сертификаты проще отзывать и масштабировать.
Что делать, если туннель падает каждые 2 часа?
Скорее всего, провайдер режет «долгие» UDP-соединения. Включите keepalive в WireGuard (interval=25, timeout=120) или используйте IPsec с NAT-T и DPD (Dead Peer Detection).
Можно ли использовать MikroTik VPN для обхода блокировок Роскомнадзора?
Технически — да. Но если вы используете его для доступа к запрещённым ресурсам, это нарушает закон №149-ФЗ. Мы не рекомендуем и не поддерживаем обход государственных ограничений. VPN на MikroTik предназначен для защиты корпоративного трафика, а не для личного серфинга.
This reads like a checklist, which is perfect for payment fees and limits. This addresses the most common questions people have. Clear and practical.