весь трафик через vpn mikrotik
весь трафик через vpn mikrotik
Как направить весь трафик через VPN на MikroTik
Подробный гайд: весь трафик через vpn mikrotik. Без утечек DNS, с kill switch и проверкой на DPI. Настройка за 15 минут.
весь трафик через vpn mikrotik — это не просто галочка в интерфейсе RouterOS. Это комплексная задача по маршрутизации, фильтрации и контролю соединений, где одна ошибка превращает «полный туннель» в иллюзию безопасности. Вы думаете, что всё шифруется? А ваш DNS-запрос к yandex.ru ушёл напрямую провайдеру. Или WebRTC выдал реальный IP в браузере. Или при обрыве связи трафик хлынул мимо VPN. В этом материале — не теория, а боевые практики для тех, кто ставит безопасность выше удобства.
Почему «маршрут по умолчанию» — это недостаточно
RouterOS позволяет задать маршрут по умолчанию (0.0.0.0/0) через интерфейс VPN. Казалось бы — готово. Но MikroTik работает на нескольких уровнях: маршрутизация, NAT, firewall, mangle. Если вы не прописали правила в IP > Firewall > NAT и IP > Routes, часть трафика пойдёт в обход.
Классическая ошибка:
— Подняли OpenVPN-клиент.
— Добавили маршрут 0.0.0.0/0 gateway=ovpn-out1.
— Забыли отключить default route от провайдера.
Результат: при падении VPN трафик автоматически переключится на основной шлюз. Никакого kill switch. Провайдер снова видит всё.
Чтобы этого избежать, нужно:
- Удалить или деактивировать маршрут от провайдера.
- Прописать маршрут только через VPN.
- Настроить маркер соединения (connection mark) и маршрут по маркеру (route mark).
- Добавить правило в Firewall > Filter для блокировки всего, что не идёт через туннель.
Это называется policy-based routing. Без него «весь трафик через vpn mikrotik» — просто надежда.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в рунете ограничиваются скриншотами WinBox и фразой «включите default route». Но реальные риски гораздо глубже.
Бесплатные серверы — это ловушка
Многие пользователи подключают MikroTik к «бесплатным» OpenVPN-серверам с GitHub или Telegram-каналов. Цена таких сервисов — ваши данные. Они:
- Логируют IP, время подключения, объём трафика.
- Продают статистику рекламным сетям.
- Используют слабое шифрование (AES-128-CBC без PFS).
- Не имеют никаких аудитов.
Стоимость аренды одного сервера в Европе — от $5/мес. Если сервис бесплатный, вы — продукт.
Kill switch можно подделать
Некоторые «готовые конфиги» рекламируют «автоматический kill switch». На деле он часто реализован через простой скрипт, который проверяет наличие интерфейса раз в 30 секунд. За это время может уйти несколько мегабайт незашифрованного трафика. Настоящий kill switch — это жёсткое правило в firewall, блокирующее любой выход, кроме туннеля.
DNS-утечки даже при правильном маршруте
RouterOS по умолчанию использует DNS-серверы, полученные от провайдера. Даже если весь трафик идёт через VPN, DNS-запросы могут уходить напрямую. Решение — явно указать DNS в настройках DHCP-сервера или использовать DNS over TLS/HTTPS на клиентских устройствах.
Юрисдикция имеет значение
Если ваш VPN-провайдер зарегистрирован в стране «14 Eyes» (например, США, Великобритания), он обязан передавать логи по запросу спецслужб. Даже при наличии политики no-log, суд может обязать сохранять данные. Для MikroTik это критично: вы доверяете всю сеть одному туннелю.
Fake-утечки через NTP и ICMP
Даже при отключённом DNS трафик может выдать вас через:
- Запросы времени (NTP) — отправляются на pool.ntp.org.
- Ping и traceroute — используют ICMP, который не всегда попадает под правила маршрутизации.
Проверяйте всё через ipleak.net и browserleaks.com/webrtc.
Выбор протокола: WireGuard vs OpenVPN vs IPsec
Не все протоколы одинаково полезны для MikroTik. RouterOS поддерживает все три, но с разной степенью зрелости.
| Критерий | WireGuard | OpenVPN | IPsec (IKEv2) |
|---|---|---|---|
| Поддержка в RouterOS | с v6.43+ | полная | полная |
| Скорость (на RB750Gr3) | ~95 Мбит/с | ~70 Мбит/с | ~85 Мбит/с |
| Шифрование | ChaCha20, AES-128 | AES-256-GCM | AES-256, SHA2 |
| Perfect Forward Secrecy | Да | Да (при настройке) | Да |
| Обход DPI | Требует obfs4 | Поддерживает TCP | Часто блокируется |
| Потребление CPU | Очень низкое | Среднее | Высокое |
| Kill switch | Требует ручной настройки | То же | То же |
WireGuard — самый быстрый и легковесный, но требует ручной настройки правил firewall для полного туннеля.
OpenVPN — гибкий, поддерживает TCP (обход блокировок), но жрёт CPU на слабых роутерах.
IPsec — стандарт для корпоративных сетей, но сложен в настройке и часто детектится DPI-системами Роскомнадзора.
Совет: если ваш провайдер (например, Ростелеком) активно блокирует UDP-трафик, используйте OpenVPN поверх TCP на порту 443. Это медленнее, но проходит как HTTPS.
Пошаговая настройка: весь трафик через WireGuard на MikroTik
Предположим, у вас есть аккаунт у доверенного провайдера (например, Mullvad, IVPN). Мы настроим полный туннель без утечек.
Шаг 1. Создание интерфейса WireGuard
/interface wireguard
add name=wg0 private-key="ВАШ_ПРИВАТНЫЙ_КЛЮЧ"
Шаг 2. Добавление пира
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=IP_СЕРВЕРА endpoint-port=51820 interface=wg0 public-key="ПУБЛИЧНЫЙ_КЛЮЧ_СЕРВЕРА"
allowed-address=0.0.0.0/0— именно так мы форсируем весь IPv4-трафик через туннель.
Шаг 3. Настройка маршрута
/ip route
add dst-address=0.0.0.0/0 gateway=wg0 distance=1
Удалите или деактивируйте старый маршрут от провайдера!
Шаг 4. NAT для туннеля
/ip firewall nat
add chain=srcnat out-interface=wg0 action=masquerade
Шаг 5. Жёсткий kill switch
/ip firewall filter
add chain=forward out-interface-list=!WAN action=drop comment="Block non-VPN traffic"
Создайте список интерфейсов:
/interface list
add name=WAN
/interface list member
add interface=ether1 list=WAN # ваш внешний интерфейс
Теперь любое соединение, не идущее через wg0, будет жёстко блокироваться.
Шаг 6. DNS
Настройте DHCP-сервер на раздачу DNS от провайдера VPN:
/ip dhcp-server network
set 0 dns-server=10.0.0.1 # или IP вашего VPN-DNS
Или используйте Cloudflare DoH на клиентах: 1.1.1.1.
Тестирование: как убедиться, что всё работает
- Проверка IP: зайдите на ipleak.net. Должен отображаться IP вашего VPN-сервера.
- DNS-утечка: на том же сайте — все DNS-серверы должны быть от провайдера VPN.
- WebRTC: откройте browserleaks.com/webrtc. Реальный IP не должен светиться.
- Обрыв туннеля: отключите интернет на MikroTik на 10 секунд. Попробуйте загрузить сайт. Должна быть ошибка — значит, kill switch работает.
- NTP: выполните в терминале Windows:
powershell w32tm /query /peers
Убедитесь, что используется внутренний или VPN-сервер времени.
Сценарии использования в реальности
Журналист в командировке
Подключается к Wi-Fi в аэропорту Домодедово. Без VPN его трафик перехватывают снифферы. С MikroTik и WireGuard — весь трафик шифруется, даже DNS. Провайдер аэропорта видит только зашифрованный поток к одному IP.
Айтишник в кофейне
Работает с корпоративной базой данных через RDP. Без защиты — риск MITM-атаки. С полным туннелем через MikroTik — трафик идёт только через доверенный канал. Даже если злоумышленник подменит ARP, данные останутся в секрете.
Пользователь торрентов
Хочет скачивать контент без риска получить претензии от правообладателей. MikroTik с kill switch гарантирует: если VPN отвалится — раздача остановится. Никаких «случайных» утечек IP.
Обход блокировок
Telegram и YouTube периодически недоступны через российских провайдеров (МТС, Билайн). Туннель через европейский сервер обходит DPI. Но учтите: согласно законодательству РФ, обход блокировок запрещён. Мы описываем техническую возможность, а не призываем к нарушению закона.
FAQ
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. На MikroTik с процессором ARM (например, hAP ac²):
— WireGuard: потеря 3–7% скорости, пинг +5–15 мс.
— OpenVPN (UDP): потеря 10–20%, пинг +15–40 мс.
— OpenVPN (TCP): потеря до 30%, пинг +30–80 мс.
На слабых роутерах (RB750Gr3) максимальная скорость через VPN — ~95 Мбит/с.
Меня найдёт спецслужба при использовании VPN?
Если ваш VPN-провайдер:
— Хранит логи — да, по запросу суда.
— Расположен в юрисдикции 14 Eyes — высокий риск.
— Прошёл независимый аудит (например, Cure53) и имеет no-log policy — шансы минимальны.
Но помните: VPN не скрывает активность внутри аккаунтов (логины, платежи, метаданные).
WireGuard или OpenVPN — что безопаснее?
Оба используют современное шифрование (AES-256 или ChaCha20) и поддерживают Perfect Forward Secrecy. WireGuard проще, быстрее и имеет меньшую кодовую базу (меньше уязвимостей). OpenVPN гибче в обходе блокировок. Для MikroTik предпочтителен WireGuard, если нет DPI-блокировок.
Можно ли сделать split tunneling на MikroTik?
Да. Вместо allowed-address=0.0.0.0/0 укажите только нужные подсети (например, 8.8.8.0/24, 1.1.1.0/24). Остальной трафик пойдёт напрямую. Полезно для стриминга локального контента (ivi.ru, okko) без задержек.
Что делать, если VPN не поднимается после перезагрузки?
Добавьте скрипт в /system scheduler, который проверяет состояние интерфейса каждые 30 секунд и перезапускает его при необходимости. Или используйте /interface wireless connect-list для автоматического восстановления. Но лучше — настроить надёжный keepalive на стороне сервера.
Бесплатный VPN на MikroTik — это реально?
Технически — да. Но бесплатно только то, за что вы платите данными. Бесплатные сервисы:
— Логируют ваш трафик.
— Внедряют рекламу через MITM.
— Используют устаревшие протоколы.
Пример: Hola VPN в 2019 году продавала пропускную способность пользователей для DDoS. Не рискуйте всей сетью ради «экономии».
Вывод
«весь трафик через vpn mikrotik» — это не настройка, а философия сетевой безопасности. Она требует отказа от удобства ради контроля: ручной прописи маршрутов, жёсткого firewall, постоянного тестирования на утечки. MikroTik даёт инструменты для настоящего полного туннеля, но только если вы понимаете, как работают уровни IP-стека. Не верьте гайдам с одной картинкой. Проверяйте каждый байт. Потому что иллюзия защиты опаснее её отсутствия.
Good reminder about mirror links and safe access. The structure helps you find answers quickly. Overall, very useful.