серверы openvpn
Свой шлюз без дыр: поднимаем OpenVPN на MikroTik
Пошаговая настройка openvpn сервера на mikrotik с защитой от утечек DNS и WebRTC. Забирай гайд и поднимай свой туннель за час!
Поднимаем свой шлюз: OpenVPN на MikroTik без компромиссов
Нужен полный контроль? Грамотная настройка openvpn сервера на mikrotik закроет потребность. Роутеры давно не свистелки. Сегодня поднимем шлюз, который режет DPI и держит kill switch при обрыве.
Латвийские коробки давно переросли статус «продвинутых домашних роутеров». RouterOS — это полноценная сетевая операционная система, которая лежит в основе корпоративных шлюзов по всему миру. Но большинство использует её на 5%, просто пробрасывая порты. Мы пойдем другим путем. Мы построим инфраструктуру удаленного доступа, которая не стыдно показать на пентесте.
Чего вам НЕ говорят в других гайдах
Ты наверняка читал десятки статей про выбор VPN. Тебе обещали «анонимность», «защиту от слежки» и «мгновенное ускорение». Давай снимем розовые очки и посмотрим на изнанку индустрии, которая заставляет тебя поднимать собственный шлюз.
Экономифика «бесплатного» сыра
Аренда выделенного порта 1 Gbps в хорошем дата-центре Европы обходится от $300 до $500 в месяц. Добавь сюда стоимость железа, амортизацию, лицензии и зарплаты сисадминам. Если сервис берет с тебя $0, он не альтруист. Ты — продукт. Вспомним инцидент с Hola VPN. Они не просто «оптимизировали маршрутизацию». Они встроили в клиентский софт модуль, который превращал компьютеры ничего не подозревающих пользователей в резидентные прокси для ботнетов. Твой IP использовали для спама и DDoS-атак, пока ты думал, что смотришь сериал без рекламы.
Иллюзия «No-logs» и независимые аудиты
Маркетинг кричит о «проверенных аудитами политиках нулевого логирования». Но что именно аудируют? Чаще всего компания Cure53 или Quarkslab проверяет не исходный код на наличие скрытых закладок, а юридические документы и архитектуру хранения. Они смотрят, есть ли у провайдера техническая возможность хранить логи. Если сервер настроен так, что логи пишутся только в RAM и стираются при ребуте — аудит пройден. Но никто не проверяет, не пишет ли сам движок VPN скрытые метаданные в скрытые разделы.
Судебные запросы и 14 Eyes
Даже если провайдер честен, он подчиняется законам страны регистрации. Альянс разведок 14 Eyes (включая США, Великобританию, Германию, Нидерланды) обязывает провайдеров передавать метаданные по первому требованию суда. В России действуют законы, обязывающие организаторов распространения информации хранить метаданные до 3 лет. Если твой коммерческий VPN имеет физический сервер в юрисдикции, дружественной к обмену данными, твои сессии могут быть deanonymized.
Фейковый Kill Switch
Кнопка «Аварийный обрыв» в клиенте работает идеально... пока не случится нештатная ситуация. Сбой на уровне ядра ОС, изменение MTU, конфликт с антивирусом, который решил просканировать сетевой адаптер. В этот момент туннель рвется, а kill switch не успевает перехватить флаг. Твой реальный IP улетает в сеть. Настройка собственного сервера на MikroTik снимает эту боль, потому что ты контролируешь фаервол на уровне железа, а не доверяешь софтине от третьего лица.
Архитектура доверия: что происходит под капотом RouterOS
OpenVPN — это не просто протокол, это обертка над OpenSSL. Она тяжелая, но невероятно гибкая. Когда ты инициируешь подключение к своему MikroTik, происходит сложный криптографический танец.
Perfect Forward Secrecy (PFS)
Это фундамент безопасности. Если ты используешь классический обмен ключами RSA, и злоумышленник записывает твой зашифрованный трафик сегодня, а через пять лет каким-то чудом крадет приватный ключ твоего сервера, он сможет расшифровать все прошлые сессии. Чтобы этого избежать, мы используем ECDHE (Elliptic Curve Diffie-Hellman Ephemeral). При каждом рукопожатии генерируется уникальная сессионная ключевая пара. Она живет только в оперативной памяти и умирает при разрыве соединения. Даже если завтра ФБР изымет твой сервер с жесткими дисками, расшифровать вчерашний трафик будет математически невозможно.
Инфраструктура открытых ключей (PKI)
В RouterOS v7 работа с сертификатами стала удобнее. Тебе нужен Корневой центр сертификации (CA), сертификат сервера и клиентские сертификаты.
Главное преимущество самописного PKI — отзыв (Revocation). Если ты потерял ноутбук с клиентским конфигом, тебе не нужно пересоздавать весь сервер. Ты просто добавляешь серийный номер утерянного сертификата в CRL (Certificate Revocation List) на MikroTik. Одна команда в CLI — и потерянное устройство навсегда отрезано от твоей сети.
Полевые испытания: WireGuard, OpenVPN и IPsec в бою
Прежде чем писать конфиги, пойми, с чем ты имеешь дело. Каждый протокол — это компромисс между скоростью, скрытностью и сложностью.
WireGuard: Скорость и минимализм
Написан на ~4000 строках кода. Использует современные примитивы (ChaCha20, Curve25519). Добавляет к пингу всего 5 мс и режет скорость канала не более чем на 3-5%. Но у него есть фатальный для цензуры минус: он работает только по UDP. Его рукопожатие имеет уникальные сигнатуры. Продвинутый DPI (Deep Packet Inspection) провайдера вычисляет WireGuard за секунды и просто режет порт, если не использовать тяжелую обфускацию.
OpenVPN: Старый танк
Может работать по TCP и UDP. Его киллер-фича — способность работать поверх TCP порта 443. Для DPI системы провайдера трафик OpenVPN TCP 443 выглядит абсолютно идентично обычному HTTPS-соединению с веб-сервером. Да, он медленнее. Да, он страдает от «TCP Meltdown» (когда потеря пакетов в TCP туннеле вызывает лавинообразное падение скорости). Но он пробивает самые глухие корпоративные и национальные файерволы.
IPsec (IKEv2): Нативная интеграция
Встроен в Windows, iOS, Android. Идеален для мобильных: умеет бесшовно переключаться между Wi-Fi и LTE без разрыва сессии. Но его handshake сложен, а работа через агрессивный NAT часто ломает туннель. Настройка IPsec на MikroTik требует глубокого понимания сетевых процессов, тогда как OpenVPN прощает многие ошибки.
Таблица: Свой сервер против топов рынка
Чтобы ты понимал, зачем мы вообще тратим время на CLI, посмотри на сухие цифры. Мы сравниваем самостоятельный подъем шлюза на арендованном VPS с использованием MikroTik (или аналогичного роутера) как клиента/шлюза, против рыночных предложений.
| Критерий | Свой MikroTik + VPS | Премиум VPN (No-Log) | Бесплатный VPN | Корпоративный IPsec |
| :--- | :--- | :--- | :--- | :--- |
| Юрисдикция и суды | Полностью под твоим контролем (VPS в нейтральной зоне) | Зависит от регистрации (часто 14 Eyes) | Часто РФ или СНГ (подчиняются 152-ФЗ) | Локальный периметр компании |
| Реальные логи и аудиты | Логи только в RAM (настраиваешь сам), аудит не нужен | Аудиты политики, но не кода; доверяй, но проверяй | Продажа метаданных, инъекция рекламы, ботнеты | Полное логирование действий сотрудника |
| Поддерживаемые протоколы | OpenVPN (TCP/UDP), WireGuard, IPsec (зависит от клиента) | Проприетарные протоколы, OpenVPN, WireGuard | Урезанные версии OpenVPN, PPTP (ужасно) | Строго IKEv2/IPsec, L2TP |
| Реальная скорость (Мбит/с) | До 95% от канала VPS (при использовании WireGuard) | 70-85% (из-за оверхеда и загрузки их серверов) | 10-30% (сильная перегрузка узлов) | Зависит от аплинка офиса |
| Цена в месяц | ~300-500 ₽ (аренда VPS) + амортизация роутера | 500 - 1500 ₽ | 0 ₽ (ты платишь своими данными) | Включено в зарплату сисадмина |
Глубокое погружение: конфигурация туннеля и фаервола
Переходим к практике. Мы не будем использовать графический интерфейс WinBox для базовой настройки, потому что CLI дает понимание того, что именно происходит. Предполагаем, что у тебя уже есть арендованный VPS с проброшенным портом 1194 (или 443 для TCP), и ты подключаешь к нему свой домашний MikroTik как клиент, либо используешь MikroTik как сервер для мобильных устройств. Рассмотрим вариант, где MikroTik выступает сервером для удаленных сотрудников или твоих гаджетов в локальной сети.
Шаг 1. Генерация сертификатов
В RouterOS v7 встроенный CA работает отлично.
/certificate
add name=ca common-name=MikroTik_CA
sign ca ca-crl-host=192.168.88.1 name=ca_signed
add name=server common-name=192.168.88.1
sign server ca=ca_signed name=server_signed
Важно: ca-crl-host должен указывать на белый IP твоего роутера, чтобы клиенты могли проверить статус отзыва.
Шаг 2. Поднятие интерфейса
/interface ovpn-server server
set auth=sha256 cipher=aes-256-cbc default-profile=ovpn-profile enabled=yes port=1194 require-client-certificate=yes mode=ip
Мы жестко задаем sha256 и aes-256-cbc. Режим ip означает, что мы не используем TAP (Ethernet), а работаем с TUN (IP), что снижает оверхед и упрощает маршрутизацию.
Шаг 3. Защита от утечек DNS на уровне сервера
Клиенты могут игнорировать DNS, который пушит сервер, и стучаться на DNS провайдера. Мы это предотвратим.
/ip firewall filter
add chain=forward action=drop in-interface=ovpn out-interface=ether1-WAN dst-port=53 protocol=udp comment="Block DNS leaks to WAN UDP"
add chain=forward action=drop in-interface=ovpn out-interface=ether1-WAN dst-port=53 protocol=tcp comment="Block DNS leaks to WAN TCP"
Теперь, если клиент попытается резолвить домены мимо туннеля, фаервол MikroTik просто дропнет эти пакеты. Клиент будет вынужден использовать DNS, который ты укажешь в профиле:
/ppp profile
set ovpn-profile dns=1.1.1.1,8.8.8.8
(В реальности лучше использовать локальный DNS-сервер, например, Pi-hole или AdGuard Home, развернутый в твоей сети).
Шаг 4. Split Tunneling (Раздельное туннелирование)
Не гони весь трафик через сервер, если тебе нужно только обойти блокировку Telegram. Это жрет скорость и нагружает VPS. В конфиге клиента (.ovpn) укажи только нужные подсети:
push "route 91.108.56.0 255.255.252.0"
push "route 149.154.160.0 255.255.252.0"
Твой локальный трафик (к сетевому принтеру или NAS) пойдет напрямую, а мессенджер — через шифрованный туннель.
Шаг 5. WebRTC и утечки через браузер
Никакой роутер не спасет от WebRTC, если браузер сам раскрывает твой локальный IP через STUN-серверы. Это баг не сети, а архитектуры браузеров. Решение принимается на клиенте: в настройках Firefox или Chrome жестко отключается WebRTC (например, через расширение или флаг media.peerconnection.enabled в about:config).
Сценарии из жизни: от кофейни до корпоративного офиса
Теория без практики мертва. Посмотрим, как твой шлюз решает реальные боли.
Сценарий 1: Торрент-воин и антипиратские боты
Провайдеры вроде Ростелекома или МТС активно используют антипиратские боты в сетях DHT. Они видят твой IP, скачивающий copyrighted контент, и шлют предупреждения или режут скорость до 1 Мбит/с. Ты пускаешь торрент-клиент через свой OpenVPN туннель. Трекер видит IP твоего VPS. Провайдер видит только зашифрованный трафик до VPS. Логи на VPS ты не хранишь. Итог: тишина и покой.
Сценарий 2: Фрилансер в аэропорту
Ты сидишь в бизнес-зале, подключаешься к открытому Wi-Fi. Злоумышленник за соседним столиком запустил ARP-spoofing и пытается перехватить твои сессионные куки. Ты предварительно поднимаешь OpenVPN на своем домашнем MikroTik (пробросив порт на белом IP). Весь твой трафик шифруется еще на уровне ОС ноутбука. Владелец кафе видит лишь TLS-туннель до твоего дома. Ты в безопасности.
Сценарий 3: Обход SNI-блокировок
DPI провайдера режет YouTube и Telegram, анализируя SNI (Server Name Indication) в незашифрованном Client Hello. Когда ты подключаешься к своему серверу, DPI видит SNI твоего VPS. Он не знает, что внутри туннеля ты обращаешься к YouTube. Твой VPS забирает контент и отдает тебе. Блокировка обойдена элегантно.
FAQ: Снимаем розовые очки
VPN замедляет интернет на сколько реально?
Зависит от протокола. WireGuard на хорошем железе добавляет задержку около 3-5 мс и режет скорость не более чем на 3-5%. OpenVPN по UDP съедает 10-15% из-за оверхеда заголовков. OpenVPN по TCP может терять до 30-40% скорости из-за эффекта TCP Meltdown, когда потери пакетов в канале вызывают двойную ретрансmission внутри туннеля.
Меня найдёт спецслужба при использовании VPN?
Если ты представляешь интерес для государственных структур уровня АНБ или ФСБ, они будут смотреть не на содержимое трафика, а на метаданные: факт установки соединения, время, объем, TLS-фингерпринты. Самописный VPS в нейтральной юрисдикции усложняет задачу, но не делает тебя невидимым. Для 99% бытовых сценариев (скрытие IP от антипиратов или локального админа) этого более чем достаточно.
WireGuard или OpenVPN — что безопаснее?
С точки зрения криптографии, WireGuard использует более современные и стойкие алгоритмы (ChaCha20-Poly1305) и имеет крошечную кодовую базу, которую легко аудитировать. OpenVPN опирается на громоздкий OpenSSL, в котором исторически находили уязвимости. Но с точки зрения скрытности от DPI, OpenVPN (особенно в режиме TCP 443) выигрывает, так как его трафик неотличим от обычного HTTPS.
Как проверить, что kill switch не отвалился?
Никогда не доверяй зеленой галочке в интерфейсе клиента. Напиши простой скрипт, который каждые 10 секунд пингует 8.8.8.8 строго через интерфейс туннеля. Если пинг не проходит, скрипт должен программно отключать сетевой адаптер или блокировать весь исходящий трафик фаерволом ОС. Только хардкорный тест на разрыв кабеля покажет правду.
Зачем нужен split tunneling, если можно пустить всё через туннель?
Во-первых, скорость. Локальные файлы с NAS или стриминг с домашнего медиасервера не должны идти через интернет и обратно. Во-вторых, безопасность. Многие банковские приложения и корпоративные порталы банят IP-адреса дата-центров и VPN. Если пустить весь трафик через туннель, ты просто не сможешь зайти в свой банк. Split tunneling решает эту проблему.
Спасет ли самописный скрипт обфускации от DPI провайдера?
Современный DPI использует машинное обучение для анализа не только сигнатур, но и паттернов: размера пакетов, таймингов, энтропии данных. Простая обфускация, которая просто XORит заголовки, ломается за секунды. Чтобы обмануть DPI, нужно использовать полноценную TLS-камуфляж (как в Trojan или Shadowsocks с TLS), либо полагаться на OpenVPN TCP 443, который сам по себе является валидным HTTPS-трафиком.
Вывод
Цифровая гигиена перестала быть уделом параноиков. В мире, где каждый пакет данных проходит через десятки чужих рук, единственный способ гарантировать приватность — взять контроль в свои руки. Коммерческие решения удобны, но они всегда оставляют брешь в виде чужого администратора, чужого суда и чужой жадности.
Грамотная настройка openvpn сервера на mikrotik — это не просто технический скилл, это акт цифрового суверенитета. Ты сам выбираешь юрисдикцию, сам пишешь правила фаервола, сам решаешь, какие логи стирать, а какие хранить. Да, это требует времени на изучение CLI, понимание PKI и отладку маршрутизации. Но спокойствие, которое приходит с осознанием того, что твой трафик принадлежит только тебе, стоит каждой минуты, потраченной на чтение мануалов RouterOS. Поднимай свой шлюз, тестируй утечки на browserleaks.com и будь неуязвим.
Хорошая структура и чёткие формулировки про безопасность мобильного приложения. Пошаговая подача читается легко.