объединение двух офисов по vpn на mikrotik
объединение двух офисов по vpn на mikrotik
VPN на MikroTik между офисами: инструкция без упрещений
объединение двух офисов по vpn на mikrotik — задача, с которой сталкивается почти каждый ИТ-специалист в малом и среднем бизнесе. Это не просто «подключил и забыл». Реальная практика показывает: даже опытные администраторы допускают ошибки, из-за которых трафик просачивается в обход туннеля, возникают петли маршрутизации или соединение рвётся при перезагрузке одного из роутеров. В этом материале — не очередной набор скриншотов из WinBox, а глубокий разбор того, как сделать межофисный канал стабильным, безопасным и соответствующим реалиям российской инфраструктуры.
Почему обычный «гайд из YouTube» вас подведёт
Большинство видеоуроков по настройке IPsec между двумя MikroTik RouterOS ограничиваются базовой конфигурацией: задают pre-shared key, выбирают фазы IKEv1/IKEv2 и радуются зелёному статусу. Но в продакшене всё сложнее. Например:
- Провайдеры Ростелекома и МТС часто блокируют UDP-порт 500 (IKE), особенно в сегменте «домашний интернет», который нередко используют для филиалов.
- NAT-трансляция на стороне клиента ломает стандартный IPsec без включения NAT-T (UDP-encapsulation), что требует дополнительных правил в firewall.
- Отсутствие DPD (Dead Peer Detection) приводит к тому, что после кратковременного обрыва связи один роутер продолжает отправлять трафик в никуда, пока админ вручную не перезапустит туннель.
Это лишь верхушка айсберга. Дальше — больше.
Чего вам НЕ говорят в других гайдах
Многие источники умалчивают о критических рисках, которые могут компрометировать всю сеть компании. Вот что действительно важно знать:
Бесплатные «корпоративные» решения — это ловушка
Некоторые поставщики предлагают «бесплатные» облачные контроллеры для управления MikroTik. На деле они:
- Перехватывают все логи трафика через Cloud Hosted Router (CHR).
- Собирают информацию о ваших внутренних IP-адресах и доменных именах.
- Имеют юрисдикцию в странах «14 Eyes» (например, Нидерланды), где по запросу спецслужб обязаны передавать данные.
Не путайте официальный CHR от MikroTik с подобными сервисами. Первый вы разворачиваете сами на своём железе или VPS; второй — чужой SaaS.
Фейковые kill switch’и
В RouterOS нет встроенного механизма «аварийного отключения интернета при падении VPN», как в клиентских приложениях. Многие пытаются имитировать его через скрипты, проверяющие состояние интерфейса. Но если скрипт не учитывает:
- Задержку переподключения,
- Возможность частичной работоспособности (например, только IPv6),
- Изменение MAC-адреса при перезагрузке,
то он либо не сработает, либо отключит доступ к локальным ресурсам (принтерам, NAS).
Логирование по требованию закона
Даже если вы используете собственные серверы и не храните логи, провайдер канала связи обязан сохранять метаданные в соответствии с законом № 197-ФЗ («пакет Яровой»). Это значит:
- IP-адреса входа и выхода фиксируются.
- Время подключения к VPN-серверу известно.
- При наличии судебного запроса оператор может предоставить эти данные.
VPN скрывает содержимое трафика, но не факт самого подключения.
Подделка сертификатов и MITM-атаки
Если вы используете самоподписанные сертификаты для IPsec или OpenVPN без строгой проверки fingerprint’ов, злоумышленник в локальной сети (например, в кафе рядом с филиалом) может:
- Подменить DNS-запрос к вашему VPN-серверу.
- Представить свой сертификат.
- Расшифровать весь трафик между офисами.
WireGuard в этом плане надёжнее: там используется статическая пара ключей, и MITM невозможен без доступа к приватному ключу.
Выбор протокола: не всё так однозначно
RouterOS поддерживает три основных способа объединения сетей:
| Протокол | Поддержка в RouterOS | Шифрование по умолчанию | Скорость (на CCR1036) | Устойчивость к DPI | Требует сертификатов |
|---|---|---|---|---|---|
| IPsec (IKEv2) | Полная | AES-256 + SHA256 | ~92% от линка | Средняя | Нет (можно PSK) |
| OpenVPN | Через пакет ovpn | AES-256-CBC | ~78% от линка | Низкая | Да |
| WireGuard | Начиная с v6.45+ | ChaCha20 + Poly1305 | ~97% от линка | Высокая | Нет |
Ключевые детали:
- IPsec — стандарт де-факто для корпоративных решений. Поддерживает perfect forward secrecy (PFS) через Diffie-Hellman группы (рекомендуется modp2048 или выше).
- OpenVPN — гибкий, но медленный из-за TLS-оверхеда и отсутствия аппаратного ускорения шифрования на большинстве устройств MikroTik.
- WireGuard — самый быстрый и простой в настройке, но требует статических IP или использования keepalive для NAT-устройств.
⚠️ Важно: если хотя бы один из офисов находится за CGNAT (часто у «домашних» тарифов МТС или Билайн), WireGuard и IPsec будут работать только в режиме инициатора с активным keepalive. Серверная сторона должна иметь белый IP.
Пошаговая настройка IPsec между двумя офисами (реальный сценарий)
Предположим:
- Офис А: белый IP 203.0.113.10, сеть 192.168.10.0/24
- Офис Б: серый IP за NAT провайдера, сеть 192.168.20.0/24, роутер с WAN-интерфейсом ether1
На офисе А (сервер)
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=ike2 passive=yes \
secret="SuperSecretPSK2026!" name=office-b
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 \
tunnel=yes sa-src-address=203.0.113.10 sa-dst-address=%any
На офисе Б (клиент)
/ip ipsec peer
add address=203.0.113.10 exchange-mode=ike2 \
secret="SuperSecretPSK2026!" name=office-a \
dpd-interval=30s
/ip ipsec policy
add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
tunnel=yes sa-src-address=%any sa-dst-address=203.0.113.10
/ip firewall nat
add chain=srcnat action=accept dst-address=192.168.10.0/24 \
comment="Bypass NAT for VPN"
Обязательно добавьте правило в NAT! Без него трафик в удалённую сеть будет маскироваться под WAN-IP, и ответные пакеты не найдут обратный путь.
Диагностика: как убедиться, что всё работает
-
Проверка состояния туннеля:
/ip ipsec active-proposals print— должен отображать SA с обоих сторон. -
Тест утечки через WebRTC:
Откройте browserleaks.com/webrtc с компьютера в офисе Б. Если отображается локальный IP192.168.20.x— всё в порядке. Если внешний IP провайдера — трафик идёт мимо VPN. -
Пинг между сетями:
ping 192.168.10.1 src=192.168.20.5— должен проходить без потерь. -
Логирование событий:
Включите логи IPsec:
/system logging add topics=ipsec action=memory
Затем смотрите:/log print where topics~"ipsec"
Split tunneling: когда нужен частичный туннель
Не всегда целесообразно гнать весь трафик через VPN. Например:
- Облачные сервисы (Google Workspace, Яндекс.360) работают быстрее напрямую.
- Локальные стриминги (ivi.ru, Okko) могут блокировать «иностранные» IP.
В RouterOS реализуется через маршрутизацию по адресам назначения:
/ip route
add dst-address=192.168.10.0/24 gateway=ipsec-tunnel-interface
остальной трафик уйдёт через основной шлюз
Такой подход снижает нагрузку на CPU роутера и экономит трафик.
Юридические и технические рамки в РФ
Важно понимать: объединение двух офисов по vpn на mikrotik не является обходом блокировок, если вы не используете его для доступа к запрещённым ресурсам (например, Telegram до 2023 года). Это легитимная корпоративная практика.
Однако:
- Использование зарубежных VPS для организации такого туннеля может попадать под регулирование ФСТЭК.
- Хранение ключей шифрования за пределами РФ требует уведомления Роскомнадзора при работе с персональными данными (ФЗ-152).
Рекомендация: размещайте оба роутера внутри РФ или используйте российские дата-центры (Selectel, Rusonyx, МТС Data).
Вывод
объединение двух офисов по vpn на mikrotik — это не просто настройка пары правил в WinBox. Это комплексная задача, требующая понимания сетевой инфраструктуры, особенностей провайдеров, законодательства и угроз информационной безопасности. Выбор протокола (IPsec vs WireGuard), корректная настройка NAT и маршрутизации, диагностика утечек и учёт юридических ограничений — всё это определяет, будет ли ваш канал надёжным или станет точкой проникновения для атакующих. Не экономьте на тестировании: потратьте день на полную проверку сценариев отказа, и вы сэкономите недели простоя в будущем.
VPN замедляет интернет на сколько реально?
Зависит от протокола и железа. На MikroTik hAP ac² (ARM CPU) IPsec даёт ~180 Мбит/с, WireGuard — до 450 Мбит/с. На CCR1036 — почти линейная скорость (95–98%). В реальных условиях потеря 5–15% — норма.
Меня найдёт спецслужба при использовании VPN?
Если вы используете собственный VPN между офисами — нет, содержимое трафика недоступно. Но факт подключения к вашему серверу виден провайдеру. При наличии судебного решения они могут предоставить временные метки и IP-адреса.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (меньше уязвимостей), современные криптопримитивы (ChaCha20, Poly1305), отсутствие сложных состояний. OpenVPN использует устаревшие режимы шифрования (CBC), подвержен атакам типа SWEET32 без правильной настройки.
Нужен ли мне сертификат для IPsec на MikroTik?
Нет. IPsec поддерживает pre-shared key (PSK), что проще для небольших сетей. Сертификаты нужны только при масштабировании (более 10 точек) или требованиях compliance (PCI DSS).
Что делать, если один офис на Wi-Fi провайдера без белого IP?
Используйте WireGuard с активным keepalive (например, 25 секунд) и настройте инициатором именно этот офис. Серверная сторона должна принимать подключения с любого IP (%any).
Можно ли использовать бесплатный VPS для межофисного VPN?
Технически — да. Но бесплатно VPS не бывает: такие сервисы (например, некоторые предложения на AWS Free Tier) собирают метрики, могут отключить инстанс без предупреждения и не гарантируют uptime. Для бизнеса — только коммерческие решения.
One thing I liked here is the focus on deposit methods. The checklist format makes it easy to verify the key points. Clear and practical.