микротик соединить два офиса через vpn
микротик соединить два офиса через vpn
Как микротик соединить два офиса через vpn без рисков?
Подробный гайд: микротик соединить два офиса через vpn — настройка IPsec/WireGuard, защита от утечек и подводные камни. Начните уже сегодня!
микротик соединить два офиса через vpn — задача, с которой сталкиваются сотни ИТ-специалистов в России ежедневно. Это не просто «поднять туннель». Это про безопасность данных между филиалами, стабильность связи бухгалтерии с главным сервером и защиту от перехвата конкурентами. Ниже — всё, что работает в 2026 году на реальных MikroTik RB951, hAP, CCR и других устройствах.
Почему ваш текущий «офисный» VPN может быть дырявым мешком
Большинство руководств по MikroTik ограничиваются парой CLI-команд и скриншотом WinBox. Они не говорят, что:
- IKEv1 устарел и уязвим к downgrade-атакам.
- Preshared Key (PSK) из 8 символов взламывается за час на арендованном GPU.
- Отсутствие DPD (Dead Peer Detection) означает, что трафик может уходить в никуда минутами после обрыва связи.
- Неправильный MTU вызывает фрагментацию пакетов и лаги в видеоконференциях.
Если вы используете дефолтную конфигурацию из старого YouTube-гайда — ваши финансовые документы или CRM-данные могут быть доступны третьим лицам. Особенно если один из офисов подключен через «Ростелеком» или «МТС» с DPI-оборудованием.
Чего вам НЕ говорят в других гайдах
Бесплатные «офисные» решения — это ловушка
Некоторые компании пробуют использовать облачные сервисы вроде ZeroTier или Tailscale вместо настоящего IPsec. Проблема? Эти сервисы:
- Хранят метаданные (кто с кем соединялся и когда).
- Работают поверх UDP, который легко блокируется провайдерами в РФ.
- Не поддерживают hardware offloading на MikroTik, что убивает производительность на слабых моделях (например, hAP lite).
Ложная уверенность в «шифровании»
Да, трафик шифруется. Но если вы не настроили split DNS, запросы к внутренним ресурсам (intranet.company.local) уйдут через публичный DNS вашего провайдера. Это раскроет структуру вашей сети.
Утечки через WebRTC и IPv6
Даже при работающем туннеле браузер сотрудника может «пробросить» реальный IP через WebRTC. А если на MikroTik включён IPv6 (по умолчанию — да), а в туннеле он не прописан — весь IPv6-трафик пойдёт в обход VPN.
Юрисдикция и требования ФСБ
Если вы используете сторонний VPS для ретрансляции (например, в Германии), помните: по закону №374-ФЗ оператор обязан хранить данные пользователей. При запросе спецслужб ваш «частный» канал может быть передан вместе с логами. На MikroTik вы контролируете всё сами — но только если правильно настроите.
Выбор протокола: IPsec против WireGuard на MikroTik
| Критерий | IPsec (IKEv2) | WireGuard |
|---|---|---|
| Поддержка в RouterOS | Полная с v6.0+ | С v6.42+ (требуется лицензия Level 4+) |
| Шифрование | AES-256-GCM, SHA2-384 | ChaCha20-Poly1305 |
| Perfect Forward Secrecy | Да (при правильной настройке) | Встроен по умолчанию |
| Производительность | До 500 Мбит/с на CCR1036 | До 900 Мбит/с на том же железе |
| Сложность настройки | Высокая (много параметров) | Низкая (3 файла конфигурации) |
| Обход DPI | Требует obfuscation (stunnel) | Легко маскируется под HTTPS |
| Поддержка NAT traversal | Встроен | Требует ручной настройки keepalive |
Вывод: для новых проектов — WireGuard. Для совместимости со старыми системами (Cisco, FortiGate) — IPsec с IKEv2 и strongSwan-совместимыми параметрами.
Пошаговая настройка: соединяем офис А и офис Б
Предположим:
- Офис А: 192.168.10.0/24, внешний IP 203.0.113.10
- Офис Б: 192.168.20.0/24, внешний IP 198.51.100.20
- Роутеры: MikroTik hAP ac² с RouterOS 7.12
Шаг 1. Генерация ключей (WireGuard)
На обоих роутерах выполните в терминале:
/interface wireguard
add listen-port=13231 name=wg-office private-key="..."
Ключи генерируются командой /interface wireguard genkey. Сохраните приватный и публичный ключи.
Шаг 2. Настройка интерфейса и пиров
На офисе А:
/interface wireguard peers
add allowed-address=192.168.20.0/24 endpoint-address=198.51.100.20 endpoint-port=13231 interface=wg-office public-key="<публичный_ключ_офиса_Б>"
Аналогично на офисе Б — разрешите 192.168.10.0/24 и укажите endpoint офиса А.
Шаг 3. Маршрутизация
Добавьте статический маршрут:
/ip route
add dst-address=192.168.20.0/24 gateway=wg-office
И наоборот в офисе Б.
Шаг 4. Защита от утечек
Запретите весь трафик, кроме через туннель:
/ip firewall filter
add action=drop chain=forward out-interface=!wg-office src-address=192.168.10.0/24 dst-address=192.168.20.0/24
Это предотвратит отправку данных в интернет при падении VPN.
Шаг 5. Проверка
С любого ПК в офисе А:
tracert 192.168.20.10
ping 192.168.20.10 -t
Если пинг проходит — туннель работает. Проверьте утечки на ipleak.net — должен отображаться только внутренний IP второго офиса.
Реальные сценарии: когда это спасает бизнес
Сценарий 1. Бухгалтерия в филиале
Бухгалтер в Казани отправляет платёжные поручения в головной офис в Москве. Без VPN — трафик идёт через «Таттелеком», где возможен MITM-перехват. С туннелем — даже при компрометации канала данные остаются в секрете благодаря AES-256.
Сценарий 2. Удалённая работа из кафе
Сотрудник подключает ноутбук к Wi-Fi в «Кофе Хауз». Его RDP-сессия до внутреннего сервера шифруется дважды: сначала TLS, затем — через офисный VPN. Это блокирует снифферы вроде Wireshark у соседей.
Сценарий 3. Обход блокировок
Если Роскомнадзор временно блокирует CDN, используемый вашей CRM, трафик через офис в Армении (где блокировок нет) остаётся доступным. Но! Такой сценарий должен соответствовать корпоративной политике и законодательству РФ.
Диагностика: как понять, что туннель «умер»
-
Проверьте статус интерфейса:
bash /interface monitor wg-office
Должен бытьrunning. -
Логи IKE/IPsec:
bash /log print where topics~"ipsec" -
Тест MTU:
cmd ping -f -l 1400 192.168.20.1
Если фрагментация — уменьшайте MTU на интерфейсе туннеля. -
Kill switch:
Создайте правило в firewall, которое блокирует весь исходящий трафик, еслиwg-officedown. Без этого — данные уйдут в открытый интернет.
FAQ
VPN замедляет интернет на сколько реально?
На MikroTik с hardware offloading потеря скорости — 3–7%. Например, при 300 Мбит/с на входе вы получите 280–290 Мбит/с в туннеле. Без ускорения (на hAP lite) — до 40% потерь.
Меня найдёт спецслужба при использовании VPN?
Если вы используете собственный MikroTik-туннель между офисами — нет, потому что нет третьей стороны. Но если один из офисов находится в РФ, ФСБ может запросить данные у провайдера (IP, время сессии). Контент туннеля недоступен без ключей.
WireGuard или OpenVPN — что безопаснее?
WireGuard безопаснее: меньше кода (4000 строк против 100 000 у OpenVPN), современные криптоалгоритмы, встроенный PFS. OpenVPN уязвим к атакам через утечку времени (timing attacks), если не обновлён.
Нужно ли отключать IPv6 при использовании VPN?
Да, если вы не маршрутизируете его через туннель. Иначе все IPv6-запросы (включая DNS) пойдут в обход. Команда: /ipv6 settings set disable-ipv6=yes.
Можно ли использовать динамические IP у провайдера?
Да, но только с DDNS и настройкой peer без endpoint (в WireGuard) или с aggressive mode в IPsec. Однако это снижает безопасность — лучше арендовать статический IP за 200–300 ₽/мес у того же «Ростелекома».
Что делать, если туннель поднят, но трафик не идёт?
Проверьте: 1) маршруты на обоих концах, 2) firewall (разрешён ли forward между LAN и wg-office), 3) NAT — его не должно быть на трафике между офисами. Частая ошибка: правило masquerade применяется ко всему, включая 192.168.20.0/24.
Вывод
микротик соединить два офиса через vpn — это не «разовая настройка», а непрерывный процесс контроля. Выбирайте WireGuard для новых сетей, настраивайте принудительную маршрутизацию, отключайте IPv6 и проверяйте утечки каждую неделю. Избегайте бесплатных решений и облаков с неясной юрисдикцией. На MikroTik вы получаете полный контроль: от шифрования до kill switch. Но только если делаете всё правильно — без «быстрых гайдов» и упрощений.
Well-structured structure and clear wording around max bet rules. Nice focus on practical details and risk control. Clear and practical.