Настройка VPN на MikroTik: WireGuard, IPsec и OpenVPN для офисного удалённого доступа
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я поднял VPN на сотнях MikroTik — от древних PPTP в первых офисных сетях до современных WireGuard-инсталляций на CCR в дата-центре МТС. Удалёнка после 2020 года стала нормой, и правильный VPN — это уже не роскошь, а базовый сервис. У нас на практике 80% новых клиентов приходят именно с запросом «настройте VPN, чтобы из дома зайти в 1С и на файловый».
Обзор протоколов: что и когда выбирать
| Протокол | Скорость | Безопасность | Клиенты | Когда выбрать |
|---|---|---|---|---|
| WireGuard | очень высокая | современная | Windows, macOS, iOS, Android, Linux | Стандарт по умолчанию |
| IPsec IKEv2 | высокая | высокая | Встроен в Windows, macOS, iOS | Корпоративные контуры, сертификаты |
| OpenVPN | средняя | высокая | OpenVPN Connect | Обход блокировок, TCP-фоллбэк |
| L2TP/IPsec | средняя | средняя | Встроен во все ОС | Старый компромисс, заменяется WireGuard |
| SSTP | низкая | средняя | Windows | Только если нужна SSTP-совместимость |
| PPTP | высокая | сломан | все | Никогда |
Я всегда начинаю с WireGuard и перехожу на IPsec только если есть ограничения (например, отсутствие WireGuard-клиента у пользователя или требование работать строго через встроенный Windows-клиент).
WireGuard: настройка за 15 минут
# На MikroTik
/interface wireguard
add name=wg-office listen-port=13231 mtu=1420
# Ключи генерируются автоматически, смотрим публичный
/interface wireguard print detail
# Адресация для VPN-сети
/ip address add address=10.200.0.1/24 interface=wg-office
# Пользователь ivanov
/interface wireguard peers
add interface=wg-office public-key="ClientPubKeyFromWgApp" \
allowed-address=10.200.0.10/32 comment="ivanov laptop" \
persistent-keepalive=25s
# Firewall
/ip firewall filter
add chain=input protocol=udp dst-port=13231 action=accept \
comment="allow WireGuard"
add chain=forward in-interface=wg-office action=accept \
comment="allow VPN→LAN"
add chain=forward out-interface=wg-office action=accept
# Разрешаем выход в интернет через офис (если split-tunnel не нужен)
/ip firewall nat
add chain=srcnat src-address=10.200.0.0/24 out-interface-list=WAN \
action=masquerade comment="VPN NAT"На клиенте (Windows/macOS/iOS/Android WireGuard-app) создаём конфиг:
[Interface]
PrivateKey = ClientPrivKey
Address = 10.200.0.10/32
DNS = 192.168.10.1
[Peer]
PublicKey = ServerPubKeyFromRouter
Endpoint = office.itfresh.ru:13231
AllowedIPs = 192.168.10.0/24, 192.168.30.0/24
PersistentKeepalive = 25Для массового развёртывания я собираю QR-коды и рассылаю сотрудникам. Пользователь сканирует — подключение готово.
IPsec IKEv2 с сертификатами
# Создаём CA и серверный сертификат
/certificate
add name=ca-template common-name=ITFreshCA key-size=2048 days-valid=3650 \
key-usage=key-cert-sign,crl-sign
sign ca-template ca-crl-host=office.itfresh.ru name=ca
add name=server-template common-name=office.itfresh.ru \
subject-alt-name=DNS:office.itfresh.ru key-size=2048 days-valid=1825 \
key-usage=digital-signature,key-encipherment,tls-server
sign server-template ca=ca name=server-cert
# Сертификат клиента
add name=client-ivanov-template common-name=ivanov@itfresh.ru \
key-size=2048 days-valid=1825 \
key-usage=tls-client
sign client-ivanov-template ca=ca name=client-ivanov
/certificate export-certificate client-ivanov export-passphrase=Str0ngP@ss
# Профиль IKEv2
/ip ipsec profile
add name=ikev2-office dh-group=modp2048 enc-algorithm=aes-256-cbc \
hash-algorithm=sha256
/ip ipsec proposal
add name=ikev2-prop auth-algorithms=sha256 enc-algorithms=aes-256-gcm,aes-256-cbc \
pfs-group=modp2048
/ip pool add name=ipsec-vpn ranges=10.210.0.10-10.210.0.100
/ip ipsec mode-config
add name=cfg-ikev2 address-pool=ipsec-vpn address-prefix-length=32 \
static-dns=192.168.10.1
/ip ipsec policy group add name=ikev2-policies
/ip ipsec policy
add group=ikev2-policies src-address=10.210.0.0/24 \
dst-address=192.168.10.0/24 template=yes
/ip ipsec peer
add name=ikev2-peer exchange-mode=ike2 profile=ikev2-office passive=yes \
send-initial-contact=no
/ip ipsec identity
add peer=ikev2-peer auth-method=digital-signature certificate=server-cert \
remote-certificate= match-by=certificate remote-id=ignore \
policy-template-group=ikev2-policies mode-config=cfg-ikev2 \
generate-policy=port-strictКлиентский сертификат + CA экспортируются на ноутбук и импортируются в хранилище Windows/macOS. Настройка VPN-подключения в Windows: тип IKEv2, сервер office.itfresh.ru, аутентификация по сертификату.
OpenVPN для клиентов за строгими файрволами
Иногда пользователь подключается из общественного Wi-Fi, который режет UDP. OpenVPN поверх TCP 443 проходит везде, где проходит HTTPS.
/interface ovpn-server server
set enabled=yes port=1194 mode=ip netmask=24 \
default-profile=ovpn-prof require-client-certificate=yes \
auth=sha256 cipher=aes256-cbc
/ppp profile
add name=ovpn-prof local-address=10.220.0.1 remote-address=ovpn-pool \
dns-server=192.168.10.1
/ip pool add name=ovpn-pool ranges=10.220.0.10-10.220.0.100
/ppp secret
add name=ivanov profile=ovpn-prof service=ovpn password="UserPass2026"Site-to-Site между офисами
# На двух MikroTik в разных офисах
/interface wireguard add name=wg-hq listen-port=13232 mtu=1420
/ip address add address=10.222.0.1/30 interface=wg-hq
/interface wireguard peers
add interface=wg-hq public-key="BranchPubKey" \
endpoint-address=branch.itfresh.ru endpoint-port=13232 \
allowed-address=192.168.50.0/24,10.222.0.2/32 \
persistent-keepalive=25s
/ip route add dst-address=192.168.50.0/24 gateway=wg-hqКейс: VPN для дистрибуционной компании на 62 сотрудника
В апреле 2025 к нам обратилась дистрибуционная компания — 62 сотрудника, из них 24 торговых представителя на постоянных выездах, 8 удалённых бухгалтеров. Задача — доступ к 1С:Предприятие 8.3, файловой шаре и принт-серверу с любого устройства, включая старые iPhone 8 у части продавцов.
Развернули на CCR2004-1G-12S+2XS:
- WireGuard на 13231/udp для Android/iOS сотрудников. 24 пира с QR-кодами, Split-tunnel на 192.168.10.0/24 и 192.168.40.0/24.
- IPsec IKEv2 с сертификатами для 8 бухгалтерских ноутбуков (требование ИБ-отдела).
- Site-to-site WireGuard до дата-центра МТС, где крутится виртуалка 1С.
- RADIUS-аутентификация IPsec через Windows Server, чтобы блокировка AD-учётки гасила VPN автоматически.
Пропускная способность: 1С летает быстрее, чем в офисе (240 Mbps внутри тоннеля против 180 Mbps в офисной сети). Ни одного инцидента за 9 месяцев, среднее время подключения после блокировки экрана — 2 секунды. Стоимость проекта — 68 000 руб.
Мониторинг VPN
# Активные WireGuard-пиры
/interface wireguard peers print stats
# Активные IPsec SA
/ip ipsec active-peers print
/ip ipsec installed-sa print
# Для Zabbix/Prometheus — SNMP или скрипт, который считает
# количество активных пиров и отправляет в мониторингРазвёртывание корпоративного VPN
Настрою WireGuard, IPsec IKEv2 или OpenVPN на MikroTik для удалённого доступа сотрудников и site-to-site связи между офисами. Сертификаты, QR-коды, документация для пользователей, интеграция с AD. От 15 000 руб за базовую инсталляцию.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — VPN на MikroTik
- Какой VPN выбрать?
- WireGuard в 90% случаев. IPsec IKEv2 если нужны сертификаты и встроенный клиент Windows.
- Работает ли WireGuard на RouterOS 6?
- Нет, только на 7.x. Обновляйтесь.
- Какой канал нужен для VPN?
- Минимум 30 Mbps для офиса 30 человек. CCR держит до 1 Gbps WireGuard.
- L2TP без IPsec — допустимо?
- Нет, это незашифрованный трафик. Всегда L2TP/IPsec или WireGuard.
- Какой порт выбрать?
- IPsec 500/4500, WireGuard любой UDP. Если блокируют — 443/udp.