настройка vpn между двумя mikrotik
настройка vpn между двумя mikrotik
VPN между двумя MikroTik: настройка без подводных камней
Подробный гайд: настройка vpn между двумя mikrotik с нуля. Выберите протокол, избегайте утечек и защитите трафик от провайдера.
настройка vpn между двумя mikrotik — задача, с которой сталкиваются системные администраторы, владельцы удалённых офисов и даже продвинутые пользователи, желающие связать две локальные сети через зашифрованный тоннель. Это не просто «включил и работает». Ошибки в конфигурации могут привести к полному отсутствию связи, утечкам трафика или уязвимостям, которые легко эксплуатировать при атаке типа Man-in-the-Middle. В этом материале разберём всё: от выбора протокола до проверки работоспособности и защиты от реальных угроз, актуальных в 2026 году для пользователей в России.
Почему IPsec — не всегда лучший выбор для MikroTik (и когда он идеален)
MikroTik RouterOS поддерживает три основных способа построения site-to-site VPN: IPsec, OpenVPN и WireGuard. Большинство официальных гайдов MikroTik делают ставку на IPsec. Он встроен, стабилен и соответствует корпоративным стандартам. Но есть нюансы.
IPsec использует IKE (Internet Key Exchange) для согласования параметров шифрования. Версия IKEv1 уязвима к downgrade-атакам. IKEv2 безопаснее, но требует аккуратной настройки proposal'ов. Если вы зададите слабый алгоритм (например, 3DES или SHA1), весь тоннель становится бесполезным. Даже AES-128 сегодня считается недостаточным для долгосрочной защиты.
Кроме того, IPsec плохо дружит с NAT. Если один из роутеров находится за CGNAT (часто у Ростелекома или МТС), установить соединение будет крайне сложно без дополнительных манипуляций с портами и keepalive-пакетами. А современные DPI-системы Роскомнадзора научились распознавать трафик IPsec по сигнатурам, особенно если используется стандартный UDP-порт 500.
Однако IPsec незаменим, если вам нужна совместимость с оборудованием Cisco, Juniper или Windows Server. Для корпоративной среды, где важна сертификация и аудит, IPsec остаётся золотым стандартом.
WireGuard: скорость, простота и скрытность
WireGuard — это современный протокол, написанный с нуля. Его ядро занимает всего ~4000 строк кода против сотен тысяч у IPsec. Это снижает поверхность атаки. WireGuard использует только современные криптопримитивы: Curve25519 для обмена ключами, ChaCha20 для шифрования и Poly1305 для аутентификации. Perfect Forward Secrecy реализован «из коробки».
Для MikroTik начиная с RouterOS v7 WireGuard полностью поддерживается. Настройка занимает 5–7 команд вместо десятков у IPsec. Протокол работает поверх UDP, легко маскируется под любой другой трафик и почти не добавляет задержек: в тестах на каналах 100 Мбит/с потеря скорости не превышает 3%, пинг растёт на 2–5 мс.
Главное ограничение: WireGuard не поддерживает динамические IP-адреса «из коробки». Если у одного из роутеров белый IP меняется (например, при переподключении PPPoE), второй должен знать новый адрес. Решение — использовать DDNS-сервис или скрипт, который автоматически обновляет peer-конфигурацию через API.
OpenVPN: гибкость ценой производительности
OpenVPN — старый, но проверенный протокол. Он работает поверх TCP или UDP, поддерживает TLS-аутентификацию и может использовать любые сертификаты. На MikroTik его можно запустить через пакет openvpn, но производительность будет ниже, чем у IPsec или WireGuard, особенно на бюджетных моделях (hAP, RB9xx).
Преимущество OpenVPN — возможность легко обходить блокировки. Трафик можно завернуть в TLS и направить на 443-й порт, что делает его похожим на обычный HTTPS. Это полезно, если ваш провайдер фильтрует всё, кроме веб-трафика. Однако настройка PKI (инфраструктуры открытых ключей) требует времени и понимания работы сертификатов.
Важно: используйте только TLS 1.3 и шифры AES-256-GCM или ChaCha20-Poly1305. Устаревшие опции (--cipher BF-CBC) создают уязвимости.
Чего вам НЕ говорят в других гайдах
Большинство инструкций по настройке vpn между двумя mikrotik обходят острые углы. Вот что реально важно:
-
Логирование на самих роутерах.
Даже если вы используете «безлоговый» протокол, RouterOS по умолчанию может писать логи подключений в/log. Проверьте:/system logging print. Отключите все правила, связанные сipsec,wireguardилиopenvpn, если не хотите оставлять следы. -
Утечки DNS и маршрутизации.
Если таблица маршрутизации настроена некорректно, часть трафика может уходить в обход тоннеля. Особенно это касается split tunneling. Убедитесь, что на обоих концах нет правил, перенаправляющих трафик в интернет напрямую. Используйте/ip route printи проверяйте gateway. -
Отсутствие kill switch «из коробки».
Ни IPsec, ни WireGuard в RouterOS не имеют встроенного механизма, который бы блокировал весь трафик при обрыве VPN. Если тоннель падает, устройства продолжат выходить в интернет через основной интерфейс — с реальным IP. Решение: настройте firewall-правило, разрешающее исходящий трафик только через интерфейс тоннеля. При его отключении правило перестанет работать, и весь трафик будет дропаться. -
Юрисдикция и физический доступ.
Если один из роутеров стоит в дата-центре, уточните, кто имеет физический доступ к оборудованию. В России по закону №149-ФЗ операторы обязаны предоставлять данные по запросу ФСБ. Даже самый надёжный шифр бесполезен, если злоумышленник получит доступ к приватному ключу напрямую. -
Fake-аудиты и маркетинговая шумиха.
Некоторые «эксперты» советуют использовать сторонние сервисы для тестирования утечек. Но помните: сайты вроде ipleak.net показывают только IP и WebRTC. Они не проверяют, не уходит ли трафик через IPv6, не отправляются ли DNS-запросы на серверы провайдера или не передаётся ли MAC-адрес через mDNS. Полная проверка требует сниффера (Wireshark) и анализа всех пакетов на выходе.
Пошаговая настройка WireGuard между двумя MikroTik
Предположим:
- Router A: белый IP 203.0.113.10, LAN 192.168.10.0/24
- Router B: белый IP 198.51.100.20, LAN 192.168.20.0/24
Шаг 1. Генерация ключей на обоих роутерах
/interface wireguard
add name=wg0 listen-port=13231 private-key=""
После выполнения скопируйте сгенерированный private-key
и получите public-key командой:
/interface wireguard
print
Шаг 2. Настройка интерфейса и пира на Router A
/ip address add address=10.0.0.1/30 interface=wg0
/interface wireguard peers
add public-key="<публичный_ключ_Router_B>" \
endpoint-address=198.51.100.20 endpoint-port=13231 \
allowed-addresses=192.168.20.0/24,10.0.0.2/32 \
interface=wg0
Шаг 3. Аналогично на Router B
/ip address add address=10.0.0.2/30 interface=wg0
/interface wireguard peers
add public-key="<публичный_ключ_Router_A>" \
endpoint-address=203.0.113.10 endpoint-port=13231 \
allowed-addresses=192.168.10.0/24,10.0.0.1/32 \
interface=wg0
Шаг 4. Маршрутизация
На Router A:
/ip route add dst-address=192.168.20.0/24 gateway=10.0.0.2
На Router B:
/ip route add dst-address=192.168.10.0/24 gateway=10.0.0.1
Шаг 5. Firewall и kill switch
Разрешите трафик через тоннель:
/ip firewall filter
add chain=forward in-interface=wg0 action=accept
add chain=forward out-interface=wg0 action=accept
Запретите прямой выход в интернет из локальной сети, если тоннель не активен (опционально, но рекомендуется):
/ip firewall filter
add chain=forward src-address=192.168.10.0/24 \
out-interface-list=!WAN action=drop
(Предварительно добавьте wg0 в интерфейс-лист WAN, если используете такой подход.)
Сравнение протоколов для site-to-site на MikroTik
| Критерий | IPsec (IKEv2) | WireGuard | OpenVPN (UDP) |
|---|---|---|---|
| Поддержка в RouterOS | Полная (с v6.0) | Полная (с v7.0) | Через пакет |
| Скорость на hAP ac² | ~85 Мбит/с | ~97 Мбит/с | ~60 Мбит/с |
| NAT traversal | Сложный (требует NAT-T) | Простой (UDP) | Простой |
| Устойчивость к DPI | Средняя | Высокая (можно маскировать) | Высокая (на 443 порту) |
| Perfect Forward Secrecy | Да (при правильной настройке) | Да (всегда) | Да (TLS 1.3) |
| Аудит безопасности | Многократно (в т.ч. правительствами) | Cure53 (2020), Quarkslab (2022) | Неоднократно, но есть уязвимости в старых версиях |
Как проверить, что тоннель работает и не даёт утечек
-
Ping между сетями:
С компьютера в 192.168.10.0/24 выполнитеping 192.168.20.1. Должен быть ответ. -
Трассировка:
traceroute 192.168.20.10должен показать прямой переход через 10.0.0.2 (или ваш IPsec-туннель). -
Проверка DNS:
Убедитесь, что DNS-запросы не уходят на серверы провайдера. Настройте на роутере свой DNS (например, 1.1.1.1 или 8.8.8.8) и отключите «разрешать запросы от клиентов» на внешних интерфейсах. -
Анализ трафика:
Используйте/tool sniffer quick interface=ether1 protocol=ipна внешнем интерфейсе. При передаче данных между сетями вы должны видеть только зашифрованные пакеты на порту 13231 (WireGuard) или ESP (IPsec), но не сам payload. -
Имитация обрыва:
Отключите кабель на одном роутере. Убедитесь, что устройства в локальной сети теряют связь с удалённой сетью и не получают доступ в интернет (если настроен kill switch).
FAQ
Можно ли использовать динамический IP у одного из роутеров?
Да, но только с дополнительными мерами. Для WireGuard — настройте DDNS (например, через freedns.afraid.org) и скрипт, который каждые 5 минут проверяет текущий IP и обновляет endpoint-address у пира. Для IPsec используйте aggressive mode и FQDN вместо IP, но это снижает безопасность.
VPN замедляет интернет на сколько реально?
На MikroTik hAP ac² (CPU 880 МГц) WireGuard даёт просадку ~3%, IPsec — ~10–15%, OpenVPN — до 40%. На мощных моделях (RB5009, CCR) разница почти незаметна. Задержка (пинг) растёт на 2–8 мс в зависимости от протокола и загрузки CPU.
Меня найдёт спецслужба при использовании такого VPN?
Site-to-site VPN между двумя вашими устройствами не скрывает ваш IP от провайдера. Он только шифрует трафик между точками. Если вы используете его для выхода в интернет (через шлюз на удалённой стороне), то ваш IP будет виден как IP удалённого роутера. Однако в России операторы обязаны хранить метаданные. Полная анонимность невозможна — только снижение рисков.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода, современные алгоритмы, отсутствие legacy-опций. OpenVPN гибче, но содержит больше потенциальных уязвимостей из-за сложности и поддержки устаревших шифров. Для site-to-site на MikroTik предпочтителен WireGuard.
Нужно ли отключать IPv6 при настройке VPN?
Да, если вы не настраиваете IPv6-туннель. Иначе трафик может уходить через IPv6 в обход VPN, особенно если провайдер раздаёт глобальные IPv6-адреса. Выполните: /ipv6 settings set disable-ipv6=yes.
Что делать, если тоннель поднимается, но трафик не идёт?
Проверьте: 1) allowed-addresses у пира — они должны включать целевые подсети; 2) маршруты на обоих концах; 3) firewall — цепочка forward должна разрешать трафик между интерфейсами; 4) MTU — для WireGuard установите 1420, чтобы избежать фрагментации.
Вывод
настройка vpn между двумя mikrotik — это не просто копирование конфигов из интернета. Это осознанный выбор протокола, учёт особенностей провайдеров в России (CGNAT, DPI, обязательное логирование), настройка защиты от утечек и реализация механизма аварийного отключения трафика. WireGuard сегодня — оптимальный баланс скорости, простоты и безопасности для большинства сценариев: от домашнего офиса до связи двух торговых точек. IPsec останется актуальным там, где требуется совместимость с корпоративной инфраструктурой. А главное — помните: шифрование защищает данные в пути, но не спасает от ошибок в конфигурации, логов на самом устройстве или физического доступа к оборудованию. Проверяйте каждый слой, тестируйте отказоустойчивость и не доверяйте «рабочим» гайдам без критического анализа.
Thanks for sharing this; the section on sports betting basics is well explained. The wording is simple enough for beginners.