Настройка VPN на MikroTik: WireGuard, IPsec и OpenVPN для офисного удалённого доступа
Привет! Меня зовут Евгений Семёнов, я директор ITFresh. Вы только представьте: за пятнадцать с лишним лет я настроил VPN на сотнях устройств MikroTik! Начинал ещё с совсем древних PPTP для первых офисов, а сейчас мы работаем с современными WireGuard-инсталляциями на мощных CCR в дата-центре МТС. После 2020 года удалённая работа стала абсолютной нормой. И, честно говоря, надёжный, правильно настроенный VPN — это уже не какая-то роскошь, а просто необходимый базовый сервис для любого бизнеса. Знаете, что самое интересное? По нашей статистике, 80% новых клиентов приходят к нам с одним и тем же запросом: «Сделайте мне VPN, чтобы я мог из дома спокойно заходить в 1С и на файловый сервер».
Обзор протоколов: что и когда выбирать
| Протокол | Скорость | Безопасность | Клиенты | Когда выбрать |
|---|---|---|---|---|
| WireGuard | очень высокая | современная | Windows, macOS, iOS, Android, Linux | Стандарт по умолчанию |
| IPsec IKEv2 | высокая | высокая | Встроен в Windows, macOS, iOS | Корпоративные контуры, сертификаты |
| OpenVPN | средняя | высокая | OpenVPN Connect | Обход блокировок, TCP-фоллбэк |
| L2TP/IPsec | средняя | средняя | Встроен во все ОС | Старый компромисс, заменяется WireGuard |
| SSTP | низкая | средняя | Windows | Только если нужна SSTP-совместимость |
| PPTP | высокая | сломан | все | Никогда |
В работе мы всегда стараемся начинать с WireGuard. Почему? Это быстро и эффективно. К IPsec переходим только тогда, когда есть веские причины или конкретные ограничения. Например, у пользователя может просто не быть WireGuard-клиента, или того хуже — требования службы безопасности диктуют строгую работу через встроенный Windows-клиент. В таких случаях, конечно, приходится адаптироваться и находить компромиссы.
WireGuard: настройка за 15 минут
# На MikroTik
/interface wireguard
add name=wg-office listen-port=13231 mtu=1420
# Ключи генерируются автоматически, смотрим публичный
/interface wireguard print detail
# Адресация для VPN-сети
/ip address add address=10.200.0.1/24 interface=wg-office
# Пользователь ivanov
/interface wireguard peers
add interface=wg-office public-key="ClientPubKeyFromWgApp" \
allowed-address=10.200.0.10/32 comment="ivanov laptop" \
persistent-keepalive=25s
# Firewall
/ip firewall filter
add chain=input protocol=udp dst-port=13231 action=accept \
comment="allow WireGuard"
add chain=forward in-interface=wg-office action=accept \
comment="allow VPN→LAN"
add chain=forward out-interface=wg-office action=accept
# Разрешаем выход в интернет через офис (если split-tunnel не нужен)
/ip firewall nat
add chain=srcnat src-address=10.200.0.0/24 out-interface-list=WAN \
action=masquerade comment="VPN NAT"
Для каждого клиента — будь то Windows, macOS, iOS или Android — мы создаём индивидуальный WireGuard-конфиг прямо в приложении.
[Interface]
PrivateKey = ClientPrivKey
Address = 10.200.0.10/32
DNS = 192.168.10.1
[Peer]
PublicKey = ServerPubKeyFromRouter
Endpoint = office.itfresh.ru:13231
AllowedIPs = 192.168.10.0/24, 192.168.30.0/24
PersistentKeepalive = 25
А что, если нужно быстро подключить много людей? Для массового развёртывания я обычно собираю уникальные QR-коды и просто рассылаю их сотрудникам. Пользователь сканирует — и всё, подключение готово. Просто, не так ли?
IPsec IKEv2 с сертификатами
# Создаём CA и серверный сертификат
/certificate
add name=ca-template common-name=ITFreshCA key-size=2048 days-valid=3650 \
key-usage=key-cert-sign,crl-sign
sign ca-template ca-crl-host=office.itfresh.ru name=ca
add name=server-template common-name=office.itfresh.ru \
subject-alt-name=DNS:office.itfresh.ru key-size=2048 days-valid=1825 \
key-usage=digital-signature,key-encipherment,tls-server
sign server-template ca=ca name=server-cert
# Сертификат клиента
add name=client-ivanov-template common-name=ivanov@itfresh.ru \
key-size=2048 days-valid=1825 \
key-usage=tls-client
sign client-ivanov-template ca=ca name=client-ivanov
/certificate export-certificate client-ivanov export-passphrase=Str0ngP@ss
# Профиль IKEv2
/ip ipsec profile
add name=ikev2-office dh-group=modp2048 enc-algorithm=aes-256-cbc \
hash-algorithm=sha256
/ip ipsec proposal
add name=ikev2-prop auth-algorithms=sha256 enc-algorithms=aes-256-gcm,aes-256-cbc \
pfs-group=modp2048
/ip pool add name=ipsec-vpn ranges=10.210.0.10-10.210.0.100
/ip ipsec mode-config
add name=cfg-ikev2 address-pool=ipsec-vpn address-prefix-length=32 \
static-dns=192.168.10.1
/ip ipsec policy group add name=ikev2-policies
/ip ipsec policy
add group=ikev2-policies src-address=10.210.0.0/24 \
dst-address=192.168.10.0/24 template=yes
/ip ipsec peer
add name=ikev2-peer exchange-mode=ike2 profile=ikev2-office passive=yes \
send-initial-contact=no
/ip ipsec identity
add peer=ikev2-peer auth-method=digital-signature certificate=server-cert \
remote-certificate= match-by=certificate remote-id=ignore \
policy-template-group=ikev2-policies mode-config=cfg-ikev2 \
generate-policy=port-strict
Иногда нужен IPsec. Тогда мы экспортируем клиентский сертификат вместе с CA на ноутбук, затем импортируем их прямо в хранилище Windows или macOS. Далее настройка VPN-подключения в Windows довольно стандартна: выбираем тип IKEv2, указываем наш сервер office.itfresh.ru и, конечно, устанавливаем аутентификацию по сертификату.
OpenVPN для клиентов за строгими файрволами
Бывает, что пользователь пытается подключиться из кафе или общественного Wi-Fi, который почему-то «режет» UDP-трафик. Что делать? OpenVPN, запущенный поверх TCP 443, пройдёт везде, где без проблем работает обычный HTTPS. Это наш запасной план.
/interface ovpn-server server
set enabled=yes port=1194 mode=ip netmask=24 \
default-profile=ovpn-prof require-client-certificate=yes \
auth=sha256 cipher=aes256-cbc
/ppp profile
add name=ovpn-prof local-address=10.220.0.1 remote-address=ovpn-pool \
dns-server=192.168.10.1
/ip pool add name=ovpn-pool ranges=10.220.0.10-10.220.0.100
/ppp secret
add name=ivanov profile=ovpn-prof service=ovpn password="UserPass2026"
Site-to-Site между офисами
# На двух MikroTik в разных офисах
/interface wireguard add name=wg-hq listen-port=13232 mtu=1420
/ip address add address=10.222.0.1/30 interface=wg-hq
/interface wireguard peers
add interface=wg-hq public-key="BranchPubKey" \
endpoint-address=branch.itfresh.ru endpoint-port=13232 \
allowed-address=192.168.50.0/24,10.222.0.2/32 \
persistent-keepalive=25s
/ip route add dst-address=192.168.50.0/24 gateway=wg-hq
Кейс: VPN для дистрибуционной компании на 62 сотрудника
В апреле 2025 года к нам обратилась одна крупная дистрибуционная компания. У них 62 сотрудника, из которых 24 торговых представителя постоянно в разъездах, а 8 бухгалтеров работают удалённо. Задача, которую нам поставили, была ясна: обеспечить надёжный доступ к 1С:Предприятие 8.3, к общей файловой шаре и принт-серверу. И самое главное — чтобы всё это работало с любого устройства, даже со старых iPhone 8, которые ещё использовала часть продавцов.
Развернули на CCR2004-1G-12S+2XS:
- Мы настроили WireGuard на порту 13231/udp специально для сотрудников с Android и iOS. Это 24 уникальных пира с QR-кодами, с умным Split-tunnel на подсети 192.168.10.0/24 и 192.168.40.0/24, чтобы трафик шёл только туда, куда нужно.
- Для восьми бухгалтерских ноутбуков мы развернули IPsec IKEv2 с сертификатами. Это было прямое требование их отдела информационной безопасности – безопасность превыше всего!
- Кроме того, мы организовали надёжный Site-to-site WireGuard до самого дата-центра МТС, где у них крутится ключевая виртуальная машина с 1С.
- И, конечно, мы внедрили RADIUS-аутентификацию IPsec через Windows Server. Это позволяет автоматически отключать VPN, как только учётная запись пользователя блокируется в Active Directory. Удобно и безопасно!
Итоговый результат превзошёл ожидания: пропускная способность сети такова, что 1С буквально летает быстрее, чем в офисе! Представьте, 240 Mbps внутри VPN-тоннеля против 180 Mbps в старой офисной сети. За девять месяцев — ни единого инцидента. Среднее время подключения после блокировки экрана? Всего 2 секунды. Стоимость этого надёжного решения составила 68 000 рублей.
Мониторинг VPN
# Активные WireGuard-пиры
/interface wireguard peers print stats
# Активные IPsec SA
/ip ipsec active-peers print
/ip ipsec installed-sa print
# Для Zabbix/Prometheus — SNMP или скрипт, который считает
# количество активных пиров и отправляет в мониторинг
Развёртывание корпоративного VPN
Настрою WireGuard, IPsec IKEv2 или OpenVPN на MikroTik для удалённого доступа сотрудников и site-to-site связи между офисами. Сертификаты, QR-коды, документация для пользователей, интеграция с AD. От 15 000 руб за базовую инсталляцию.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — VPN на MikroTik
- Какой VPN выбрать?
- WireGuard в 90% случаев. IPsec IKEv2 если нужны сертификаты и встроенный клиент Windows.
- Работает ли WireGuard на RouterOS 6?
- Нет, только на 7.x. Обновляйтесь.
- Какой канал нужен для VPN?
- Минимум 30 Mbps для офиса 30 человек. CCR держит до 1 Gbps WireGuard.
- L2TP без IPsec — допустимо?
- Нет, это незашифрованный трафик. Всегда L2TP/IPsec или WireGuard.
- Какой порт выбрать?
- IPsec 500/4500, WireGuard любой UDP. Если блокируют — 443/udp.
