маркировка трафика mikrotik vpn

маркировка трафика mikrotik vpn

Маркировка трафика MikroTik VPN: как не утонуть в правилах

маркировка трафика mikrotik vpn — это не просто раскраска пакетов. Это механизм приоритезации, фильтрации и маршрутизации, без которого даже правильно настроенный туннель может стать источником лагов, утечек или полного отвала связи. Особенно когда вы используете роутер MikroTik для организации корпоративного или домашнего VPN-доступа.

Почему ваш «безопасный» трафик всё равно виден провайдеру

Большинство пользователей думают: поставил WireGuard — и всё, я в броне. Но если вы не настроили маркировку трафика (traffic marking) в RouterOS, часть пакетов может пойти в обход туннеля. Провайдер Ростелеком или МТС продолжит видеть DNS-запросы, WebRTC-соединения, а иногда и весь HTTP-трафик.

MikroTik работает на уровне ядра Linux с собственным стеком netfilter. Здесь нет автоматической «магии», как в некоторых коммерческих клиентах. Всё, что не помечено правилом mangle, будет обрабатываться по умолчанию — то есть минуя ваш VPN.

Пример типичной ошибки:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=vpn passthrough=no

Это правило помечает все входящие пакеты под один routing-mark. Но оно не учитывает:
- Исключения для локальных сервисов (NTP, DNS, обновления самого роутера)
- Разделение трафика по приложениям (split tunneling)
- Приоритеты для VoIP или онлайн-игр

Итог — либо всё идёт через туннель (включая ping до шлюза), либо ничего не идёт (при ошибке в цепочке). Ни то, ни другое не годится.

Как правильно пометить трафик: от теории к практике

В RouterOS маркировка трафика реализуется через три типа меток:

1. Connection mark — привязка к соединению (полезна для последующих правил)
2. Packet mark — пометка отдельных пакетов (часто используется в очередях QoS)
3. Routing mark — указание, через какой маршрут отправлять пакет (ключевой для VPN)

Для работы с VPN вам нужен именно routing mark. Он позволяет создать отдельную таблицу маршрутизации, где шлюз по умолчанию — ваш удалённый сервер.

Базовая схема для OpenVPN

1. Создаём интерфейс OpenVPN
/interface ovpn-client
add name=ovpn-out user=myuser password=mypass \
    connect-to=185.123.45.67 port=1194 \
    certificate=none auth=sha1 cipher=aes128

2. Маркируем соединения, которые должны идти через VPN
/ip firewall mangle
add chain=prerouting src-address=192.168.88.0/24 \
    dst-address=!192.168.88.0/24 \
    action=mark-connection new-connection-mark=vpn_conn

add chain=prerouting connection-mark=vpn_conn \
    action=mark-routing new-routing-mark=to_vpn

3. Добавляем маршрут в отдельную таблицу
/ip route
add dst-address=0.0.0.0/0 gateway=ovpn-out routing-table=to_vpn

Обратите внимание на dst-address=!192.168.88.0/24 — это исключение для локальной сети. Без него вы потеряете доступ к самому роутеру.

WireGuard: меньше строк, больше скорости

WireGuard проще в настройке, но требует аккуратности с allowed-addresses:

/interface wireguard
add name=wg0 listen-port=13231 private-key="..."

/interface wireguard peers
add interface=wg0 public-key="..." endpoint-address=185.123.45.67 \
    endpoint-port=51820 allowed-address=0.0.0.0/0

/ip firewall mangle
add chain=prerouting src-address=192.168.88.0/24 \
    dst-address=!192.168.88.0/24 \
    action=mark-routing new-routing-mark=wg_route

/ip route
add dst-address=0.0.0.0/0 gateway=wg0 routing-table=wg_route

Здесь ключевой момент — allowed-address=0.0.0.0/0. Без этого параметра WireGuard откажет в передаче трафика.

Чего вам НЕ говорят в других гайдах

Большинство инструкций молчат о трёх смертельных рисках:

1. Утечки при переподключении

Когда туннель падает (например, из-за потери связи с сервером), MikroTik не блокирует трафик автоматически. Все пакеты снова идут через основной шлюз — и провайдер видит всё. Это называется VPN leak on disconnect, и его нельзя решить только маркировкой.

Решение — добавить правило DROP в цепочку forward:

/ip firewall filter
add chain=forward out-interface=!ovpn-out src-address=192.168.88.0/24 \
    action=drop

Но будьте осторожны: если имя интерфейса изменится (например, при перезагрузке), правило сломается.

1. DNS-трафик уходит в обход

Даже если весь IP-трафик идёт через туннель, DNS-запросы могут уходить напрямую к провайдеру. MikroTik по умолчанию использует dns servers из DHCP или явно заданные в /ip dns.

Если вы не перенаправили DNS на сервер внутри туннеля (например, через allow-remote-requests=yes и настройку static записей), браузер будет использовать провайдерские резолверы.

Проверить можно так:

/tool fetch url="https://ipleak.net/json" mode=https

Если в ответе указан IP вашего провайдера — у вас утечка.

1. Бесплатные «VPN-сервисы» — это сборщики данных

Многие пользователи в РФ пробуют подключить «бесплатный» сервер из Telegram-каналов. На деле такие конфиги часто содержат:

• Подмену DNS на рекламные резолверы
• Перехват трафика через MITM-сертификаты
• Отправку логов на сторонние хостинги

Например, в 2023 году исследователи обнаружили, что некоторые «бесплатные» OpenVPN-конфиги из пабликов СНГ включали скрипты, отправляющие MAC-адрес и список открытых портов каждые 5 минут.

Не верьте файлам .ovpn без проверки содержимого.

Split tunneling: когда не всё должно идти через туннель

Полный туннель (full tunnel) — это перестраховка. Для большинства задач достаточно разделения трафика:

• Торренты → через VPN в Нидерландах
• YouTube → напрямую (чтобы не терять скорость)
• Банковские приложения → только через доверенную сеть

В MikroTik это делается через дополнительные правила mangle с указанием dst-address-list:

/ip firewall address-list
add list=torrent-sites address=104.28.14.0/24
add list=torrent-sites address=185.71.65.0/24
... и другие диапазоны торрент-трекеров

/ip firewall mangle
add chain=prerouting src-address=192.168.88.0/24 \
    dst-address-list=torrent-sites \
    action=mark-routing new-routing-mark=to_vpn

Так вы экономите трафик, сохраняете скорость стриминга и снижаете нагрузку на CPU роутера.

Сравнение: как разные протоколы ведут себя при маркировке

Примечание: все протоколы требуют ручной настройки kill switch через firewall. Никакой «автоматики» нет.

WireGuard лидирует по скорости и простоте, но требует RouterOS v7+. На старых устройствах (например, hAP lite) остаётся только OpenVPN.

Диагностика: как проверить, что всё работает

1. Проверка маршрута:
   routeros /ip route print where routing-table=to_vpn
   Должен быть маршрут 0.0.0.0/0 через ваш интерфейс.

2. Тест утечек DNS:
   Зайдите на ipleak.net с любого устройства в локальной сети. Убедитесь, что:

   🔐Защити свои данные
3. IP совпадает с IP вашего VPN-сервера

4. DNS-серверы принадлежат провайдеру VPN, а не Ростелекому

5. Проверка WebRTC:
   Используйте browserleaks.com/webrtc. Если отображается ваш реальный IP — браузер игнорирует системные настройки. Решение — отключить WebRTC в настройках или использовать Firefox с media.peerconnection.enabled = false.

6. Тест при отвале туннеля:
   Отключите кабель WAN на 10 секунд. Попробуйте загрузить сайт. Если страница открылась — у вас нет kill switch.

   📖Свобода информации

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и железа. На MikroTik hAP ac²:
— WireGuard: потеря ~3–5% скорости (до 900 Мбит/с из 1 Гбит/с)
— OpenVPN/UDP: ~25–30% (до 320 Мбит/с)
— OpenVPN/TCP: до 50% из-за double encryption и TCP-over-TCP.
На слабых CPU (например, RB750Gr3) даже WireGuard даёт всего 80–100 Мбит/с.

Меня найдёт спецслужба при использовании VPN?

Если вы используете легальный сервис с no-log policy и не совершаете преступлений — маловероятно. Но:
— Провайдер знает, что вы используете VPN (видит зашифрованный трафик к одному IP)
— Если суд потребует данные от VPN-провайдера, а тот ведёт логи (даже временные) — вас могут идентифицировать
— В РФ использование VPN для доступа к запрещённым ресурсам формально нарушает закон «о запрете обхода блокировок» (ФЗ-187), но уголовная ответственность применяется редко — чаще блокируют IP.

⚙️Технология доступа

WireGuard или OpenVPN — что безопаснее?

С точки зрения криптографии — WireGuard. Он использует современные алгоритмы (Curve25519, ChaCha20, Poly1305) и имеет минимальный код (4000 строк против 100 000+ у OpenVPN).
Но OpenVPN поддерживает TLS-аутентификацию, двойную факторную авторизацию и лучше маскируется под HTTPS (через obfs4).
Для MikroTik предпочтителен WireGuard — быстрее, стабильнее и проще в настройке маркировки.

Нужно ли отключать IPv6 при использовании VPN?

Да. Если у вас включён IPv6, а VPN-туннель настроен только на IPv4, весь IPv6-трафик пойдёт напрямую — и это классическая утечка.
В MikroTik просто отключите IPv6 глобально:
/ipv6 settings set disable-ipv6=yes

Можно ли использовать несколько VPN-серверов одновременно?

Да, но только с разными routing-mark и таблицами маршрутизации. Например:
— to_vpn1 — для торрентов
— to_vpn2 — для банков
— default — для всего остального
Главное — не допускать пересечения правил в mangle, иначе трафик пойдёт в первый подходящий туннель.

🔐Защити свои данные

Что делать, если после настройки пропал доступ к роутеру?

Скорее всего, вы пометили трафик к самому роутеру (192.168.88.1) под routing-mark. Решение:
1. Подключитесь по MAC-Winbox или консоли
2. Удалите правило mangle, затрагивающее dst-address=192.168.88.0/24
3. В будущем всегда добавляйте исключение: dst-address=!192.168.88.0/24

Вывод

маркировка трафика mikrotik vpn — это не опциональная «фишка», а обязательный этап настройки, без которого ваш туннель либо не работает, либо работает с утечками. Правильная конфигурация требует понимания трёх уровней: соединения (connection mark), пакета (packet mark) и маршрута (routing mark).

Не верьте «однострочным» гайдам. Проверяйте каждый шаг:
— Исключены ли локальные адреса?
— Есть ли kill switch на уровне firewall?
— Куда уходят DNS-запросы?
— Что происходит при обрыве туннеля?

Только так вы получите не просто «работающий» VPN, а действительно защищённое соединение, соответствующее принципам информационной безопасности. И помните: никакой VPN не спасёт от фишинга, вредоносов или глупых действий в браузере. Защита начинается с осознанности — а не с одного клика.