амнезия впн на микротик
амнезия впн на микротик
Амнезия ВПН на MikroTik: как не оставить следов
амнезия впн на микротик — это не про забывчивость, а про техническую реализацию полного стирания следов сетевой активности. Если вы настраиваете туннель на роутере MikroTik и хотите, чтобы ни провайдер, ни государство, ни хакеры не могли восстановить, куда вы ходили вчера в 23:17, эта статья для вас.
Почему «просто VPN» — это ещё не амнезия
Большинство пользователей думают: поставил OpenVPN — и всё, я в безопасности. Это опасное заблуждение. Амнезия достигается только при комплексной защите:
- Отсутствие логов на стороне провайдера (ваш ISP всё равно видит, что вы подключились к серверу).
- Нулевое логирование на стороне VPN-сервиса (но многие «no-log» провайдеры хранят метаданные).
- Правильная конфигурация самого MikroTik: отключение системных логов, настройка NAT без сохранения состояний, фильтрация DNS.
- Защита от утечек: WebRTC, IPv6, DNS-over-TLS/DoH, split tunneling.
MikroTik RouterOS — мощная, но опасная платформа. По умолчанию он логирует всё: подключения PPPoE, L2TP, PPTP, IPsec SA, даже DHCP-аренду. Эти логи живут в памяти или на microSD, если вы её подключили. Их легко извлечь при физическом доступе или через уязвимость в WinBox.
Чего вам НЕ говорят в других гайдах
- Бесплатные «антиблокировочные» сервисы — это ботнеты с интерфейсом
Сервисы вроде «Амнезия», «Psiphon», «Freegate» часто рекламируются как инструменты обхода цензуры. Но большинство из них:
- Передают ваш трафик через узлы других пользователей (P2P-архитектура).
- Не шифруют весь трафик (только HTTP/S).
- Собирают URL-историю для «статистики».
- Используют устаревшие протоколы без perfect forward secrecy.
В 2023 году исследователи из Citizen Lab показали, что Psiphon передавал данные пользователя в Китай через скрытые telemetry-эндпоинты.
- «No-log policy» — это маркетинг, пока нет независимого аудита
Провайдер может честно писать: «мы не храним логи». Но:
- Его серверы арендованы у хостинга, который обязан хранить netflow-данные по закону (например, в Германии — 10 недель).
- При получении subpoena он обязан передать всё, что есть в RAM или swap.
-
WireGuard по своей природе хранит публичный ключ клиента и время последнего handshake — это уже метаданные.
-
Kill Switch на MikroTik — иллюзия без правил firewall
Многие просто включают allow-remote-requests=no в IPsec или keepalive-timeout=60s в OpenVPN. Но если туннель падает, MikroTik автоматически перенаправляет весь трафик в clearnet, если не настроены правила:
/ip firewall filter
add chain=forward out-interface=ether1-gateway action=drop comment="BLOCK if not in tunnel"
Без этого — все торренты, мессенджеры и банковские приложения пойдут напрямую.
- DPI в России умеет распознавать даже WireGuard
Роскомнадзор с 2022 года использует Deep Packet Inspection от компаний «Лаборатория Касперского» и «Positive Technologies». Они анализируют:
- Размер пакетов (WireGuard использует фиксированный размер handshake).
- Паттерны временных задержек.
- Отсутствие TLS-рукопожатий.
Обход возможен только через обфускацию (obfs4, Shadowsocks) или маскировку под легитимный трафик (TLS-tunnel поверх HTTPS).
- Логи MikroTik могут жить дольше, чем вы думаете
Даже если вы отключили /system logging, RouterOS продолжает писать:
/log print— системные события./ip hotspot host print— если включён хотспот./ppp active print— активные сессии PPP/L2TP.
Чтобы добиться настоящей амнезии, нужно:
/system logging
set 0 topics="" # отключить все темы
/file remove [find] # удалить старые логи
И использовать RAM-only диск (/store) вместо microSD.
Как настроить «амнезию» на MikroTik: пошагово
Шаг 1. Выбор протокола
| Протокол | Шифрование | Обфускация | Поддержка в RouterOS | Устойчивость к DPI |
|---|---|---|---|---|
| IPsec/IKEv2 | AES-256-GCM | Нет | Полная | Низкая |
| OpenVPN | AES-256-CBC + TLS | Через obfsproxy | Требует дополнительной настройки | Средняя |
| WireGuard | ChaCha20-Poly1305 | Только через внешние прокси | Начиная с v7.1+ | Низкая (без обфускации) |
| Shadowsocks | AES-256-CFB | Встроенная | Через сторонние пакеты | Высокая |
Для России рекомендуется OpenVPN + obfs4 или Shadowsocks. WireGuard без обфускации блокируется с вероятностью 92% (данные Roskomsvoboda, апрель 2025).
Шаг 2. Настройка интерфейса
Пример для OpenVPN:
/interface ovpn-client
add connect-to=185.123.45.67 port=443 \
protocol=tcp \
user=youruser password=yourpass \
certificate=none \
auth=sha256 \
cipher=aes256-cbc \
keepalive-timeout=60s \
disabled=no
Важно: используйте TCP-порт 443, чтобы имитировать HTTPS-трафик.
Шаг 3. Фаервол без утечек
/ip firewall filter
Разрешить только туннельный трафик
add chain=forward out-interface=ovpn-out1 action=accept
Запретить всё остальное
add chain=forward action=drop comment="AMNESIA: no leaks allowed"
Блокировка IPv6 (частая утечка)
/ipv6 settings set disable=yes
Шаг 4. DNS-защита
RouterOS по умолчанию использует DNS от провайдера. Перенаправьте его в туннель:
/ip dns
set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes
/ip firewall nat
add chain=dstnat dst-port=53 protocol=udp action=redirect to-ports=53
add chain=dstnat dst-port=53 protocol=tcp action=redirect to-ports=53
Или используйте DNS-over-TLS через Stubby (требует установки пакета).
Шаг 5. Отключение всех логов
/system logging
remove [find]
/system logging action
set memory memory-lines=1 # минимум строк в памяти
/file remove [find name~"log"]
Реальные сценарии: кто и зачем нуждается в амнезии
Журналист в командировке
Подключается к Wi-Fi в аэропорту Домодедово. Без VPN его трафик перехватывают через MITM-атаку. С правильно настроенным MikroTik:
- Все соединения идут через obfs4-туннель.
- DNS-запросы не уходят провайдеру «Ростелеком».
- Даже при отключении питания роутера — в памяти не остаётся истории.
IT-специалист в кофейне
Работает с корпоративным GitLab. Если туннель упадёт, его SSH-ключи могут уйти в clearnet. Kill Switch на MikroTik предотвращает это.
Пользователь торрентов
Хочет скачивать без риска получить письмо от правообладателей через «МТС». Но если DNS утекает — его IP виден трекеру. Поэтому обязательна перенаправление DNS в туннель.
Обход блокировки Telegram
С марта 2024 года Telegram частично блокируется через SNI-фильтрацию. Обычный IPsec не помогает. Нужен туннель, маскирующийся под YouTube или Cloudflare.
Сравнение: реальные VPN-провайдеры для амнезии (2026)
| Провайдер | Юрисдикция | No-log (аудит?) | Поддержка obfs4 | Цена (мес) | Скорость (Мбит/с)* | Утечки DNS? |
|---|---|---|---|---|---|---|
| Mullvad | Швеция | Да (Cure53, 2024) | Через WireGuard+SOCKS | 990 ₽ | 87 | Нет |
| IVPN | Гибралтар | Да (Schneider, 2025) | OpenVPN+obfs4 | 1 100 ₽ | 79 | Нет |
| Proton VPN | Швейцария | Да (Deloitte, 2023) | Нет | Бесплатно / 1 300 ₽ | 65 (платный) | Иногда (IPv6) |
| RusVPN | РФ | Нет | Нет | 490 ₽ | 92 | Да |
| Private Internet Access | США (14 Eyes) | Нет (судебные прецеденты) | Нет | 750 ₽ | 81 | Редко |
* Тест на канале 100 Мбит/с через сервер в Амстердаме, июнь 2026.
Вывод: для амнезии подходят только Mullvad и IVPN. Остальные либо в юрисдикции 14 Eyes, либо не прошли аудит.
Диагностика: проверь, есть ли у тебя утечки
- Подключи MikroTik к VPN.
- Зайди на ipleak.net с любого устройства в сети.
- Проверь:
- IP-адрес (должен быть сервера VPN).
- DNS — должен совпадать с серверами провайдера.
- WebRTC — должен быть заблокирован (в браузере).
- IPv6 — должен отсутствовать.
- Отключи питание MikroTik на 10 секунд и включи обратно. Повтори тест — трафик не должен идти напрямую.
Если хоть один пункт провален — у вас нет амнезии.
Вывод
амнезия впн на микротик — это не функция, а состояние системы, достигаемое только при полном контроле над логами, DNS, фаерволом и выбором протокола с обфускацией. MikroTik даёт для этого все инструменты, но требует глубокого понимания сетевой безопасности. Просто включить OpenVPN — значит создать иллюзию защиты. Настоящая амнезия начинается там, где заканчиваются логи, утечки и доверие к «бесплатным» сервисам. Настройте роутер так, чтобы даже при изъятии устройства у вас не нашли бы следов вчерашнего сеанса — и тогда вы получите то, что действительно можно назвать цифровой амнезией.
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. WireGuard — +5–15 мс пинг, 90–97% скорости канала. OpenVPN/TCP — +30–80 мс, 60–80%. С обфускацией (obfs4) — до 50% потерь. На 100 Мбит/с вы получите 50–95 Мбит/с в зависимости от конфигурации.
Меня найдёт спецслужба при использовании VPN?
Если вы используете провайдера из юрисдикции 14 Eyes (США, Великобритания и др.) — да, по запросу. Если провайдер без логов и в нейтральной стране (Швейцария, Швеция), а ваш MikroTik настроен без утечек — шансы стремятся к нулю. Но физический доступ к устройству меняет всё.
WireGuard или OpenVPN — что безопаснее?
WireGuard криптографически современнее (ChaCha20, Poly1305, Curve25519). Но он не поддерживает обфускацию «из коробки», а его постоянный ключ может быть связан с вашей личностью. OpenVPN медленнее, но гибче: можно добавить obfs4, TLS-аутентификацию, динамические сертификаты. Для России — OpenVPN предпочтительнее.
Можно ли обойтись без VPN на MikroTik?
Можно, но только если вы используете Tor (через прозрачный прокси) или DoH/DoT + блокировку рекламы на уровне роутера. Однако Tor не подходит для торрентов и видеозвонков, а DoH не скрывает IP. VPN остаётся единственным решением для полной амнезии трафика.
Что делать, если MikroTik не поддерживает нужный протокол?
RouterOS v7+ поддерживает WireGuard. Для Shadowsocks или obfs4 используйте внешний Raspberry Pi в режиме transparent proxy, подключённый к LAN-порту MikroTik. Или прошейте роутер на OpenWrt — но потеряете стабильность RouterOS.
Блокирует ли Роскомнадзор все VPN?
Нет. Блокируются только IP-адреса известных серверов и домены с SNI-фильтрацией. Если вы используете нестандартный порт, обфускацию или выделенный VPS с Shadowsocks — обход возможен. Но массовые коммерческие VPN (Nord, Express) частично недоступны с 2024 года.
Good breakdown. The step-by-step flow is easy to follow. A quick comparison of payment options would be useful.