vpn через mikrotik

vpn через mikrotik

MikroTik + VPN: ловушки, о которых молчат

Настройка vpn через mikrotik — задача, с которой сталкиваются как системные администраторы, так и продвинутые пользователи. Но за кажущейся простотой скрываются десятки нюансов: от утечек DNS до юридических рисков при использовании оборудования в России. Эта статья раскрывает всё: реальные протоколы, настройку без «дыр», сравнение шифрования и то, почему даже правильный конфиг может подвести.

Почему MikroTik — не всегда лучший выбор для персонального VPN

MikroTik RouterOS изначально создавалась для провайдеров и корпоративных сетей. Её сила — в гибкости маршрутизации, а не в удобстве для конечного пользователя. Встроенные инструменты IPsec, L2TP, PPTP и OpenVPN (только в версиях 7+) работают, но требуют глубокого понимания стека TCP/IP.

Главное заблуждение: «раз роутер умеет делать VPN — значит, он безопасен». На деле:

• PPTP полностью скомпрометирован (уязвимость MS-CHAPv2 позволяет взломать пароль за минуты).
• L2TP/IPsec без строгой настройки использует слабые алгоритмы шифрования (например, DES или SHA1).
• OpenVPN в RouterOS 7 работает, но не поддерживает все опции из .ovpn-файлов коммерческих провайдеров.
• WireGuard официально не поддерживается до версии RouterOS 7.12+ (и то — только на устройствах с архитектурой arm64/x86).

Если вы пытаетесь сделать vpn через mikrotik для обхода блокировок РКН или защиты в публичном Wi-Fi — вы рискуете получить «полумеру»: трафик шифруется, но метаданные остаются открытыми.

Чего вам НЕ говорят в других гайдах

Большинство инструкций в рунете сводятся к трём командам в WinBox и радостному «готово!». Но реальность жестче:

1. Логирование по умолчанию — включено
   RouterOS по умолчанию пишет логи подключений в раздел /log. Если злоумышленник получит доступ к вашему роутеру (а это случается при слабом пароле или уязвимости в WinBox), он увидит:
2. IP-адреса всех подключённых клиентов,
3. время сессий,
4. типы трафика (если включён accounting).

Это особенно опасно, если вы используете MikroTik как сервер для удалённых сотрудников.

1. DNS-утечки почти неизбежны без ручной настройки
   Даже при активном VPN-туннеле Windows и Android продолжают отправлять DNS-запросы провайдеру, если вы не прописали явные правила в /ip firewall nat и не отключили «автоматическое определение DNS» в ОС. Проверить можно на ipleak.net — часто видно «DNS leak detected».

2. Kill switch — миф без скриптов
   В отличие от коммерческих клиентов (NordVPN, Mullvad), MikroTik не имеет встроенного kill switch. При обрыве туннеля весь трафик пойдёт напрямую через провайдера. Чтобы этого избежать, нужно писать скрипты, которые:

   Открой мир без границ🌍
3. следят за состоянием интерфейса (/interface monitor),
4. блокируют весь исходящий трафик при отвале (/ip firewall filter add action=drop),
5. восстанавливают правила после восстановления соединения.

Один сбой — и ваш торрент-клиент раздаёт файлы под реальным IP.

1. Юрисдикция и закон «о хранении данных»
   Если вы используете MikroTik как сервер внутри РФ, помните: согласно закону №398-ФЗ («пакет Яровой»), операторы связи обязаны хранить метаданные 3 года. Хотя частное лицо формально не является оператором, ФСБ может запросить данные у вашего провайдера, который видит, что вы поднимаете VPN-сервер. Это не запрещено, но привлекает внимание.

2. Бесплатные «облачные» MikroTik — ловушка
   Некоторые сервисы предлагают «бесплатный MikroTik в облаке» для быстрого старта. На деле — это виртуальный роутер на чужом сервере. Админ имеет полный доступ к вашему трафику. Пример: в 2023 году один такой сервис слил логи 12 000 пользователей на форумах.

   Технологии будущего🤖

Технический разбор: какие протоколы реально работают

Примечание: скорость измерена в локальной сети с шифрованием, без NAT. Реальная скорость в интернете будет ниже из-за загрузки CPU на слабых моделях (hEX, hAP).

WireGuard — единственный протокол, который сочетает скорость, простоту и современное шифрование. Но его нельзя использовать в RouterOS 6.x — только в v7.12 и новее. Если у вас старая прошивка, обновление может «сломать» текущую конфигурацию.

OpenVPN требует ручного импорта сертификатов и ключей. Файл .ovpn от провайдера придётся разбирать на части: CA, cert, key, tls-auth. Ошибки в порядке следования — и соединение не поднимется.

IPsec — самый сложный. Требует синхронизации proposal'ов на клиенте и сервере. Распространённая ошибка: на стороне MikroTik стоит aes256-sha256-modp2048, а на клиенте — aes128-sha1-modp1024. Туннель не поднимется, а лог покажет только phase1 negotiation failed.

Сценарии использования: когда vpn через mikrotik оправдан

1. Корпоративный удалённый доступ
   Вы — ИТ-специалист компании. Нужно дать сотрудникам доступ к внутренней CRM с любого места. MikroTik идеален: поднимаете IPsec/IKEv2, настраиваете split tunneling (только трафик в сеть 192.168.10.0/24 идёт через туннель), добавляете двухфакторную аутентификацию через RADIUS. Безопасно, масштабируемо, без зависимости от сторонних сервисов.

2. Обход блокировок в публичных сетях
   Вы в кафе с Wi-Fi от «МегаФона». Не хотите, чтобы провайдер видел, что вы заходите на YouTube или Telegram. Поднимаете WireGuard-туннель до своего VPS в Германии. Важно: отключите WebRTC в браузере (в Firefox — media.peerconnection.enabled = false), иначе реальный IP «просочится».

3. Защита IoT-устройств
   Умные камеры, термостаты, колонки часто не поддерживают VPN. Но их можно посадить в отдельный VLAN на MikroTik и направить весь трафик через туннель. Так даже «умная» лампочка не сможет звонить домой в Китай без шифрования.

   Открой мир без границ🌍

4. Торренты — с оговорками
   Да, можно качать торренты через MikroTik. Но:

5. Используйте только UDP-трафик (TCP медленнее и легче детектируется),
6. Включите DHT и PEX только внутри туннеля,
7. Никогда не используйте PPTP/L2TP — они не скрывают метаданные,
8. Лучше арендуйте VPS в юрисдикции без anti-piracy laws (Румыния, Нидерланды).

Важно: в РФ распространение контента без лицензии — административное правонарушение. Техническая возможность ≠ легальность.

Пошаговая настройка WireGuard на RouterOS 7.12+

1. Обновите RouterOS до версии 7.12 или новее через System → Packages.
2. Перейдите в Interfaces → WireGuard и нажмите «+».
3. Укажите:
4. Name: wg0
5. Listen Port: 51820
6. Private Key: сгенерируйте через /interface wireguard genkey
7. Добавьте peer:
8. Public Key: публичный ключ вашего клиента (сгенерирован на ПК/телефоне)
9. Allowed Address: 0.0.0.0/0 (весь трафик) или 10.0.0.0/24 (split tunneling)
10. Endpoint: ваш_публичный_IP:порт (если клиент за NAT — оставьте пустым)
11. Настройте firewall:
    routeros /ip firewall filter add chain=input protocol=udp dst-port=51820 action=accept comment="Allow WG" add chain=forward out-interface=wg0 action=accept comment="WG forward"
12. Включите NAT для выхода в интернет:
    routeros /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Проверка:
- На клиенте подключитесь.
- Зайдите на browserleaks.com/webrtc — должен показывать IP VPS, а не ваш.
- На MikroTik выполните /interface wireguard peers print — статус latest handshake должен обновляться каждые 2 минуты.

Бесплатный VPN? Посчитайте стоимость сервера

Арендовать VPS с 1 Гбит/с портом в Европе стоит от $5/мес (Hetzner, Contabo). Трафик — от 20 до 100 ТБ. Это реальная цена инфраструктуры.

Бесплатные VPN-сервисы:
- Продают ваши данные рекламным сетям (AdTech),
- Внедряют JavaScript-трекеры в HTTP-трафик,
- Используют устаревшие протоколы без PFS,
- Могут быть частью ботнета (пример: Hola VPN в 2015 году превратил пользователей в прокси для DDoS).

Если вы видите «бесплатный VPN через MikroTik» — спросите: кто платит за сервер? Ответ всегда один: вы — своими данными.

Split tunneling: как направить только нужное через VPN

Не всегда хочется гнать весь трафик через туннель. Например, стриминг Netflix лучше идти напрямую, а банковские операции — через VPN.

На MikroTik это делается через маркировку маршрутов:

/ip route
add dst-address=192.168.10.0/24 gateway=wg0 routing-table=vpn_table

/ip firewall mangle
add chain=prerouting src-address=192.168.88.100 dst-address=192.168.10.0/24 \
    action=mark-routing new-routing-mark=to_vpn

/ip route rule
add routing-mark=to_vpn table=vpn_table

Теперь только устройство с IP 192.168.88.100 будет ходить в сеть 192.168.10.0/24 через VPN. Остальное — напрямую.

Диагностика утечек: чек-лист после настройки

1. IP-утечка: ipleak.net — должен показывать только IP вашего сервера.
2. DNS-утечка: тот же сайт — все DNS-серверы должны быть вашими (например, 1.1.1.1 или 8.8.8.8, если вы их прописали).
3. WebRTC-утечка: browserleaks.com/webrtc — «Local IP» не должен совпадать с вашим реальным.
4. Kill switch: отключите кабель от WAN-порта на 10 секунд. Попробуйте открыть сайт. Если страница грузится — kill switch не работает.
5. Логи: проверьте /log — нет ли записей о подключениях после отключения клиента.

VPN замедляет интернет на сколько реально?

Зависит от протокола и железа. На MikroTik RB4011 с WireGuard потеря — 5–8%. На hAP ac² — до 40% из-за слабого CPU. OpenVPN на том же hAP — 60–70% падения скорости. Измеряйте через speedtest.net до и после.

Меня найдёт спецслужба при использовании VPN?

Если вы используете свой VPS и не оставляете цифровых следов (логины, платежи, cookies) — найти сложно. Но если VPN-провайдер ведёт логи и находится в юрисдикции 14 Eyes (США, Великобритания и др.), он обязан передать данные по запросу. MikroTik у вас дома — логи только у вас.

📖Свобода информации

WireGuard или OpenVPN — что безопаснее?

WireGuard использует современные криптопримитивы (ChaCha20, Poly1305, Curve25519) и меньше кода — меньше уязвимостей. OpenVPN проверен годами, но использует OpenSSL, который регулярно получает патчи. Оба безопасны при правильной настройке. WireGuard быстрее и проще.

Можно ли использовать MikroTik как клиент для NordVPN?

Только в RouterOS 7+. Вам нужно извлечь из .ovpn-файла CA, cert, key и tls-auth, затем настроить OpenVPN-клиент вручную. Но NordVPN не гарантирует работу с третьими устройствами. Лучше использовать их приложение на ПК.

Что делать, если туннель падает каждые 5 минут?

Проверьте MTU. MikroTik по умолчанию ставит 1500, но при инкапсуляции (особенно IPsec) пакеты фрагментируются. Уменьшите MTU на интерфейсе туннеля до 1420. Для WireGuard — 1420, для OpenVPN — 1300.

⚙️Технология доступа

Нужно ли отключать IPv6 при использовании VPN?

Да. Если IPv6 включён, а VPN его не поддерживает, браузер может отправить запросы по IPv6 напрямую, минуя туннель. В RouterOS отключите IPv6: /ipv6 settings set disable=yes.

Вывод

vpn через mikrotik — мощный инструмент, но только в руках того, кто понимает его ограничения. Это не «волшебная кнопка приватности», а сложная система, требующая ручной настройки DNS, firewall, kill switch и диагностики утечек. Для обхода блокировок РКН или защиты в публичных сетях он подходит, если использовать WireGuard или правильно настроенный IPsec. Но для обычного пользователя проще и безопаснее взять проверенный коммерческий VPN с аудитами и no-log policy. MikroTik оправдан в корпоративной среде, для IoT или когда вы контролируете оба конца туннеля. В остальных случаях — считайте риски.