· 16 мин чтения

Настройка VPN на MikroTik: WireGuard, IPsec и OpenVPN для офисного удалённого доступа

Настройка VPN на MikroTik: WireGuard, IPsec и OpenVPN для офисного удалённого доступа

Привет! Меня зовут Евгений Семёнов, я директор ITFresh. Вы только представьте: за пятнадцать с лишним лет я настроил VPN на сотнях устройств MikroTik! Начинал ещё с совсем древних PPTP для первых офисов, а сейчас мы работаем с современными WireGuard-инсталляциями на мощных CCR в дата-центре МТС. После 2020 года удалённая работа стала абсолютной нормой. И, честно говоря, надёжный, правильно настроенный VPN — это уже не какая-то роскошь, а просто необходимый базовый сервис для любого бизнеса. Знаете, что самое интересное? По нашей статистике, 80% новых клиентов приходят к нам с одним и тем же запросом: «Сделайте мне VPN, чтобы я мог из дома спокойно заходить в 1С и на файловый сервер».

Обзор протоколов: что и когда выбирать

ПротоколСкоростьБезопасностьКлиентыКогда выбрать
WireGuardочень высокаясовременнаяWindows, macOS, iOS, Android, LinuxСтандарт по умолчанию
IPsec IKEv2высокаявысокаяВстроен в Windows, macOS, iOSКорпоративные контуры, сертификаты
OpenVPNсредняявысокаяOpenVPN ConnectОбход блокировок, TCP-фоллбэк
L2TP/IPsecсредняясредняяВстроен во все ОССтарый компромисс, заменяется WireGuard
SSTPнизкаясредняяWindowsТолько если нужна SSTP-совместимость
PPTPвысокаясломанвсеНикогда

В работе мы всегда стараемся начинать с WireGuard. Почему? Это быстро и эффективно. К IPsec переходим только тогда, когда есть веские причины или конкретные ограничения. Например, у пользователя может просто не быть WireGuard-клиента, или того хуже — требования службы безопасности диктуют строгую работу через встроенный Windows-клиент. В таких случаях, конечно, приходится адаптироваться и находить компромиссы.

WireGuard: настройка за 15 минут

# На MikroTik
/interface wireguard
add name=wg-office listen-port=13231 mtu=1420
# Ключи генерируются автоматически, смотрим публичный
/interface wireguard print detail

# Адресация для VPN-сети
/ip address add address=10.200.0.1/24 interface=wg-office

# Пользователь ivanov
/interface wireguard peers
add interface=wg-office public-key="ClientPubKeyFromWgApp" \
  allowed-address=10.200.0.10/32 comment="ivanov laptop" \
  persistent-keepalive=25s

# Firewall
/ip firewall filter
add chain=input protocol=udp dst-port=13231 action=accept \
  comment="allow WireGuard"
add chain=forward in-interface=wg-office action=accept \
  comment="allow VPN→LAN"
add chain=forward out-interface=wg-office action=accept

# Разрешаем выход в интернет через офис (если split-tunnel не нужен)
/ip firewall nat
add chain=srcnat src-address=10.200.0.0/24 out-interface-list=WAN \
  action=masquerade comment="VPN NAT"

Для каждого клиента — будь то Windows, macOS, iOS или Android — мы создаём индивидуальный WireGuard-конфиг прямо в приложении.

[Interface]
PrivateKey = ClientPrivKey
Address = 10.200.0.10/32
DNS = 192.168.10.1

[Peer]
PublicKey = ServerPubKeyFromRouter
Endpoint = office.itfresh.ru:13231
AllowedIPs = 192.168.10.0/24, 192.168.30.0/24
PersistentKeepalive = 25

А что, если нужно быстро подключить много людей? Для массового развёртывания я обычно собираю уникальные QR-коды и просто рассылаю их сотрудникам. Пользователь сканирует — и всё, подключение готово. Просто, не так ли?

IPsec IKEv2 с сертификатами

# Создаём CA и серверный сертификат
/certificate
add name=ca-template common-name=ITFreshCA key-size=2048 days-valid=3650 \
  key-usage=key-cert-sign,crl-sign
sign ca-template ca-crl-host=office.itfresh.ru name=ca
add name=server-template common-name=office.itfresh.ru \
  subject-alt-name=DNS:office.itfresh.ru key-size=2048 days-valid=1825 \
  key-usage=digital-signature,key-encipherment,tls-server
sign server-template ca=ca name=server-cert

# Сертификат клиента
add name=client-ivanov-template common-name=ivanov@itfresh.ru \
  key-size=2048 days-valid=1825 \
  key-usage=tls-client
sign client-ivanov-template ca=ca name=client-ivanov
/certificate export-certificate client-ivanov export-passphrase=Str0ngP@ss

# Профиль IKEv2
/ip ipsec profile
add name=ikev2-office dh-group=modp2048 enc-algorithm=aes-256-cbc \
  hash-algorithm=sha256

/ip ipsec proposal
add name=ikev2-prop auth-algorithms=sha256 enc-algorithms=aes-256-gcm,aes-256-cbc \
  pfs-group=modp2048

/ip pool add name=ipsec-vpn ranges=10.210.0.10-10.210.0.100

/ip ipsec mode-config
add name=cfg-ikev2 address-pool=ipsec-vpn address-prefix-length=32 \
  static-dns=192.168.10.1

/ip ipsec policy group add name=ikev2-policies

/ip ipsec policy
add group=ikev2-policies src-address=10.210.0.0/24 \
  dst-address=192.168.10.0/24 template=yes

/ip ipsec peer
add name=ikev2-peer exchange-mode=ike2 profile=ikev2-office passive=yes \
  send-initial-contact=no

/ip ipsec identity
add peer=ikev2-peer auth-method=digital-signature certificate=server-cert \
  remote-certificate= match-by=certificate remote-id=ignore \
  policy-template-group=ikev2-policies mode-config=cfg-ikev2 \
  generate-policy=port-strict

Иногда нужен IPsec. Тогда мы экспортируем клиентский сертификат вместе с CA на ноутбук, затем импортируем их прямо в хранилище Windows или macOS. Далее настройка VPN-подключения в Windows довольно стандартна: выбираем тип IKEv2, указываем наш сервер office.itfresh.ru и, конечно, устанавливаем аутентификацию по сертификату.

OpenVPN для клиентов за строгими файрволами

Бывает, что пользователь пытается подключиться из кафе или общественного Wi-Fi, который почему-то «режет» UDP-трафик. Что делать? OpenVPN, запущенный поверх TCP 443, пройдёт везде, где без проблем работает обычный HTTPS. Это наш запасной план.

/interface ovpn-server server
set enabled=yes port=1194 mode=ip netmask=24 \
  default-profile=ovpn-prof require-client-certificate=yes \
  auth=sha256 cipher=aes256-cbc

/ppp profile
add name=ovpn-prof local-address=10.220.0.1 remote-address=ovpn-pool \
  dns-server=192.168.10.1

/ip pool add name=ovpn-pool ranges=10.220.0.10-10.220.0.100

/ppp secret
add name=ivanov profile=ovpn-prof service=ovpn password="UserPass2026"

Site-to-Site между офисами

# На двух MikroTik в разных офисах
/interface wireguard add name=wg-hq listen-port=13232 mtu=1420
/ip address add address=10.222.0.1/30 interface=wg-hq

/interface wireguard peers
add interface=wg-hq public-key="BranchPubKey" \
  endpoint-address=branch.itfresh.ru endpoint-port=13232 \
  allowed-address=192.168.50.0/24,10.222.0.2/32 \
  persistent-keepalive=25s

/ip route add dst-address=192.168.50.0/24 gateway=wg-hq

Кейс: VPN для дистрибуционной компании на 62 сотрудника

В апреле 2025 года к нам обратилась одна крупная дистрибуционная компания. У них 62 сотрудника, из которых 24 торговых представителя постоянно в разъездах, а 8 бухгалтеров работают удалённо. Задача, которую нам поставили, была ясна: обеспечить надёжный доступ к 1С:Предприятие 8.3, к общей файловой шаре и принт-серверу. И самое главное — чтобы всё это работало с любого устройства, даже со старых iPhone 8, которые ещё использовала часть продавцов.

Развернули на CCR2004-1G-12S+2XS:

Итоговый результат превзошёл ожидания: пропускная способность сети такова, что 1С буквально летает быстрее, чем в офисе! Представьте, 240 Mbps внутри VPN-тоннеля против 180 Mbps в старой офисной сети. За девять месяцев — ни единого инцидента. Среднее время подключения после блокировки экрана? Всего 2 секунды. Стоимость этого надёжного решения составила 68 000 рублей.

Мониторинг VPN

# Активные WireGuard-пиры
/interface wireguard peers print stats

# Активные IPsec SA
/ip ipsec active-peers print
/ip ipsec installed-sa print

# Для Zabbix/Prometheus — SNMP или скрипт, который считает
# количество активных пиров и отправляет в мониторинг

Развёртывание корпоративного VPN

Настрою WireGuard, IPsec IKEv2 или OpenVPN на MikroTik для удалённого доступа сотрудников и site-to-site связи между офисами. Сертификаты, QR-коды, документация для пользователей, интеграция с AD. От 15 000 руб за базовую инсталляцию.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — VPN на MikroTik

Какой VPN выбрать?
WireGuard в 90% случаев. IPsec IKEv2 если нужны сертификаты и встроенный клиент Windows.
Работает ли WireGuard на RouterOS 6?
Нет, только на 7.x. Обновляйтесь.
Какой канал нужен для VPN?
Минимум 30 Mbps для офиса 30 человек. CCR держит до 1 Gbps WireGuard.
L2TP без IPsec — допустимо?
Нет, это незашифрованный трафик. Всегда L2TP/IPsec или WireGuard.
Какой порт выбрать?
IPsec 500/4500, WireGuard любой UDP. Если блокируют — 443/udp.

Подпишитесь на рассылку ITfresh

Хотите быть в курсе? Раз в неделю мы делимся практическими гайдами для руководителей IT-отделов и сисадминов. Мы рассказываем о безопасности, нюансах 1С, миграциях, резервном копировании и раскрываем лайфхаки, которые собрали на реальных проектах.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.