Знакомые задачи: удалённые сотрудники не могут подключиться к корпоративной 1С, потому что «а вдруг взломают»? Или вы потратили два часа, объясняя директору, почему его ноутбук из кофейни не видит сетевой принтер в офисе. Или у вас три офиса, и между ними ходят незашифрованные данные через дешёвый сайт-прокси.MikroTik — это не просто роутер за 50 евро. Это полноценная сетевая ОС RouterOS с поддержкой WireGuard, L2TP/IPsec, IKEv2, SSTP, OpenVPN и PPTP (последний — уже в музей). Один раз настроил — и у тебя корпоративный VPN уровня Cisco, только без ценника Cisco.После прочтения этого руководства вы получите:
Работающий VPN-сервер на MikroTik под любой протокол.
Настроенного VPN-клиента (MikroTik подключается к внешнему VPN).
Гибкую маршрутизацию: часть трафика через VPN, часть — напрямую.
Готовые команды для CLI — копируй и вставляй.
Разбор ошибок 789, 809 и проблем с MTU.
ℹ️
Версия RouterOS
Все команды в этой статье проверены на RouterOS 7.x. Если у вас 6.x — большинство команд совместимы, но WireGuard доступен только начиная с версии 7.1. Обновиться можно командой /system package update install.
Выбор протокола: WireGuard vs L2TP/IPsec vs IKEv2 vs SSTP
Прежде чем крутить конфиги, определимся с протоколом. Это как выбор антибиотика: широкий спектр — не всегда лучшее решение. Каждый протокол имеет своё показание.
Протокол Скорость Безопасность Сложность настройки Поддержка клиентов Рекомендация
WireGuard 🔥 Быстро Высокая Средняя Win 10+, Linux, macOS, iOS, Android Выбор №1 в 2025
L2TP/IPsec Средняя Высокая Средняя Все ОС из коробки Стандарт для корпораций
IKEv2 Высокая Очень высокая Сложная (сертификаты) Win 7+, iOS, Android (с приложением) Мобильные клиенты
SSTP Средняя Высокая Средняя Только Windows (нативно) Только под Windows-парки
PPTP Быстрая Уязвим Простая Везде Не использовать!
Краткий вердикт
Новый проект / личное использование — выбирай WireGuard. Минимум кода, максимум скорости.
Корпоративная сеть, Windows-клиенты без стороннего ПО — L2TP/IPsec. Работает из коробки на всех ОС.
Мобильные пользователи, часто меняют сети (4G ↔ Wi-Fi) — IKEv2. Умеет сохранять соединение при смене IP.
Заблокированы обычные VPN-порты — SSTP (443/TCP), пробивает даже строгие файрволы.
Подготовка: что нужно до начала настройки VPN
Прежде чем лезть в консоль, проверьте аптечку. Без этих компонентов лечение не начнём:
ШАГ 0
Чеклист подготовки
✅ MikroTik с RouterOS 7.x (команда проверки: /system resource print).
✅ Белый (публичный) IP-адрес на WAN-интерфейсе — без него VPN-сервер недоступен снаружи. Если IP динамический — нужен DDNS (см. ниже).
✅ WinBox или доступ к CLI через SSH/Telnet.
✅ Понимание своей топологии: LAN-сеть (например, 192.168.88.0/24), WAN-интерфейс (например, ether1).
✅ Открытые порты на стороне провайдера (у некоторых ISP по умолчанию закрыты UDP 500, 4500).
Нет статического IP? Используй DDNS
Если ваш провайдер каждый раз меняет IP — настройте Dynamic DNS. MikroTik имеет встроенный сервис ip cloud:
/ip cloud set ddns-enabled=yes
/ip cloud print
После этого в поле dns-name появится адрес вида xxxxxxxx.sn.mynetname.net. Именно его указывайте клиентам вместо IP.
⚠️
Важно: включите IP Forwarding
Без этого VPN-клиенты не увидят вашу локальную сеть. Убедитесь что включено:
/ip settings set ip-forward=yes
Настройка L2TP/IPsec VPN-сервера на MikroTik
L2TP/IPsec — это проверенный временем «тяжеловес». Встроен в Windows, macOS, iOS, Android. Не нужно ставить дополнительный клиент. Из минусов — двойная инкапсуляция (L2TP поверх IPsec) съедает немного скорости и CPU, но для офисных задач вполне хватает.
Шаг 1: Создание пула IP-адресов для клиентов
/ip pool add name=vpn-pool ranges=192.168.200.2-192.168.200.254
Шаг 2: Настройка PPP профиля
/ppp profile add name=vpn-profile \
local-address=192.168.200.1 \
remote-address=vpn-pool \
dns-server=8.8.8.8,1.1.1.1 \
use-encryption=yes
Шаг 3: Создание VPN-пользователей
/ppp secret add name=user1 password=SuperSecurePass123 profile=vpn-profile service=l2tp
/ppp secret add name=user2 password=AnotherPass456 profile=vpn-profile service=l2tp
🚨
Безопасность паролей
Никакого password=123456. Минимум 12 символов, буквы + цифры + спецсимволы. L2TP с weak-паролями ломают брутфорсом за часы.
Шаг 4: Включение L2TP-сервера
/interface l2tp-server server set enabled=yes \
default-profile=vpn-profile \
use-ipsec=required \
ipsec-secret=YourIPsecPreSharedKey2025
Параметр use-ipsec=required означает, что только зашифрованные соединения будут приняты. Значение yes разрешает и без IPsec — не надо так.
Шаг 5: Настройка IPsec (тонкая настройка шифрования)
RouterOS автоматически создаёт IPsec-политику при включении L2TP с IPsec. Но если нужно управлять шифрованием вручную:
Проверяем автоматически созданный IPsec peer
/ip ipsec peer print
Настройка предложений шифрования (Proposal)
/ip ipsec proposal set [ find default=yes ] \
auth-algorithms=sha256 \
enc-algorithms=aes-256-cbc \
pfs-group=modp2048
Шаг 6: Открытие портов в Firewall
Без этого шага клиенты будут молча висеть и не подключатся. L2TP/IPsec требует следующих портов:
Разрешаем IKE (UDP 500) — обмен ключами IPsec
/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment=»IPsec IKE» place-before=0
Разрешаем NAT-T (UDP 4500) — IPsec за NAT
/ip firewall filter add chain=input protocol=udp dst-port=4500 action=accept comment=»IPsec NAT-T» place-before=0
Разрешаем L2TP (UDP 1701)
/ip firewall filter add chain=input protocol=udp dst-port=1701 action=accept comment=»L2TP» place-before=0
Разрешаем ESP протокол (IP Protocol 50)
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment=»IPsec ESP» place-before=0
Шаг 7: NAT для VPN-клиентов (доступ в интернет через VPN)
/ip firewall nat add chain=srcnat src-address=192.168.200.0/24 \
action=masquerade out-interface=ether1 comment=»NAT for VPN clients»
Замените ether1 на ваш WAN-интерфейс.
Шаг 8: Маршрут до локальной сети для VPN-клиентов
Если хотите, чтобы VPN-клиенты видели локальные ресурсы (принтеры, NAS, 1С):
В профиле прописываем маршрут до LAN
/ppp profile set vpn-profile routes=192.168.88.0/24
✅
Проверка работы
Подключитесь с Windows: Параметры → VPN → Добавить VPN → Тип: L2TP/IPsec с общим ключом. Введите IP роутера, пользователя и IPsec-ключ. Если всё настроено верно — соединение установится за 5-15 секунд.
Настройка WireGuard VPN-сервера на MikroTik
WireGuard — это как Tesla в мире VPN: современно, быстро, минималистично. Около 4000 строк кода против 600 000 у OpenVPN. В RouterOS появился с версии 7.1 и с тех пор стал де-факто стандартом для новых установок.
ℹ️
Особенность WireGuard
WireGuard не имеет системы имён пользователей/паролей. Аутентификация — только по публичным ключам. Каждый клиент = отдельный peer с уникальной парой ключей.
Шаг 1: Создание WireGuard-интерфейса
/interface wireguard add name=wg0 listen-port=51820 mtu=1420
/interface wireguard print
После выполнения команды RouterOS автоматически генерирует пару ключей. Запишите публичный ключ — он понадобится при настройке клиентов:
/interface wireguard print detail
В поле «public-key» — ваш серверный публичный ключ
Шаг 2: Назначение IP-адреса интерфейсу
/ip address add address=10.10.10.1/24 interface=wg0
Шаг 3: Добавление peer (клиента)
Сначала нужно сгенерировать ключи на стороне клиента. Если клиент — Windows/macOS с официальным WireGuard-клиентом, там есть кнопка «Сгенерировать пару ключей». Копируете публичный ключ клиента и добавляете его на сервере:
/interface wireguard peers add \
interface=wg0 \
public-key=»CLIENT_PUBLIC_KEY_HERE==» \
allowed-address=10.10.10.2/32 \
comment=»user1-laptop»
Если клиентов несколько — добавляете каждого отдельно с уникальным IP из подсети 10.10.10.0/24:
/interface wireguard peers add interface=wg0 public-key=»CLIENT2_KEY==» allowed-address=10.10.10.3/32 comment=»user2-phone»
/interface wireguard peers add interface=wg0 public-key=»CLIENT3_KEY==» allowed-address=10.10.10.4/32 comment=»user3-tablet»
Шаг 4: Настройка Firewall для WireGuard
Открываем UDP-порт 51820
/ip firewall filter add chain=input protocol=udp dst-port=51820 action=accept comment=»WireGuard» place-before=0
Разрешаем форвардинг трафика из WireGuard-сети
/ip firewall filter add chain=forward in-interface=wg0 action=accept comment=»WG forward» place-before=0
Шаг 5: NAT для WireGuard-клиентов
/ip firewall nat add chain=srcnat src-address=10.10.10.0/24 \
action=masquerade out-interface=ether1 comment=»WireGuard NAT»
Конфиг клиента (пример для Windows/Linux)
Создайте файл wg0-client.conf со следующим содержимым:
PrivateKey = CLIENT_PRIVATE_KEY_HERE
Address = 10.10.10.2/24
DNS = 8.8.8.8 [Peer]
PublicKey = SERVER_PUBLIC_KEY_HERE
Endpoint = YOUR_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
AllowedIPs = 0.0.0.0/0 означает Full Tunnel — весь трафик клиента идёт через VPN. Если нужен Split Tunnel (только корпоративный трафик) — замените на 192.168.88.0/24, 10.10.10.0/24.
Автоматизация: скрипт добавления нового peer
Добавляем нового клиента одной командой
Замените NEW_USER_KEY на реальный публичный ключ клиента
Замените 10.10.10.X на следующий свободный IP
:local peerKey «NEW_USER_KEY==»
:local peerIP «10.10.10.5/32»
:local peerComment «new-user»
/interface wireguard peers add \
interface=wg0 \
public-key=$peerKey \
allowed-address=$peerIP \
comment=$peerComment
:log info «WireGuard peer $peerComment added with IP $peerIP»
Настройка IKEv2 VPN на MikroTik
IKEv2 — «золотой стандарт» для мобильных устройств. Главное преимущество: протокол умеет восстанавливать соединение при смене сети. Едете в метро, телефон переключается с 4G на Wi-Fi — VPN не обрывается. Для командировок незаменим.
Минус: нужны сертификаты. Без PKI-инфраструктуры не обойтись. Но мы сделаем это правильно.
Шаг 1: Создание CA (Certificate Authority)
Создаём корневой сертификат CA
/certificate add name=ca-cert common-name=MikroTik-CA \
key-size=2048 days-valid=3650 key-usage=key-cert-sign,crl-sign
Подписываем его самим собой
/certificate sign ca-cert ca-certificate=ca-cert name=ca-cert
Шаг 2: Создание серверного сертификата
Замените YOUR_SERVER_IP на реальный IP или FQDN
/certificate add name=server-cert common-name=YOUR_SERVER_IP \
subject-alt-name=IP:YOUR_SERVER_IP \
key-size=2048 days-valid=3650 \
key-usage=digital-signature,key-encipherment,tls-server
Подписываем серверный сертификат нашим CA
/certificate sign server-cert ca-certificate=ca-cert name=server-cert
Шаг 3: Создание клиентского сертификата
/certificate add name=client-cert common-name=vpn-client \
key-size=2048 days-valid=3650 \
key-usage=tls-client
/certificate sign client-cert ca-certificate=ca-cert name=client-cert
Шаг 4: Настройка IPsec для IKEv2
Создаём профиль
/ip ipsec profile add name=ike2-profile \
hash-algorithm=sha256 \
enc-algorithm=aes-256 \
dh-group=modp2048 \
dpd-interval=2m \
dpd-maximum-failures=5
Создаём proposal
/ip ipsec proposal add name=ike2-proposal \
auth-algorithms=sha256 \
enc-algorithms=aes-256-cbc \
pfs-group=modp2048
Режим конфигурации (выдача IP клиентам)
/ip ipsec mode-config add name=ike2-mode-config \
address=192.168.201.0/24 \
address-pool=vpn-pool \
split-dns=yourdomain.local \
system-dns=no
Политика
/ip ipsec policy group add name=ike2-group
/ip ipsec policy add src-address=0.0.0.0/0 \
dst-address=0.0.0.0/0 \
proposal=ike2-proposal \
group=ike2-group \
template=yes
Peer для входящих подключений
/ip ipsec peer add name=ike2-peer \
address=0.0.0.0/0 \
exchange-mode=ike2 \
certificate=server-cert \
send-initial-contact=yes \
profile=ike2-profile \
mode-config=ike2-mode-config \
policy-template-group=ike2-group \
passive=yes \
notrack-chain=input
Шаг 5: Открытие портов для IKEv2
/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept comment=»IKEv2 IKE»
/ip firewall filter add chain=input protocol=udp dst-port=4500 action=accept comment=»IKEv2 NAT-T»
/ip firewall filter add chain=input protocol=ipsec-esp action=accept comment=»IKEv2 ESP»
Экспорт сертификатов для клиентов
Экспортируем CA и клиентский сертификат
/certificate export-certificate ca-cert type=pem
/certificate export-certificate client-cert type=pkcs12 export-passphrase=CertPassword123
Файлы появятся в /Files — скачайте через WinBox (Files → правая кнопка → Download)
MikroTik как VPN-клиент: подключение к внешнему VPN
Иногда задача обратная: не принимать VPN-подключения, а самому подключиться к VPN-провайдеру или к другому офису. Например, все устройства в вашей сети должны выходить в интернет через VPS в другой стране.
Вариант А: MikroTik как WireGuard-клиент
Создаём интерфейс WireGuard (с уникальными ключами для клиентской роли)
/interface wireguard add name=wg-client listen-port=51821 mtu=1420
Смотрим наш публичный ключ — его надо добавить на СЕРВЕРЕ как peer
/interface wireguard print detail
Добавляем серверный peer
/interface wireguard peers add \
interface=wg-client \
public-key=»SERVER_PUBLIC_KEY==» \
endpoint-address=SERVER_IP \
endpoint-port=51820 \
allowed-address=0.0.0.0/0 \
persistent-keepalive=25
Назначаем IP (должен соответствовать тому, что выдал сервер)
/ip address add address=10.10.10.100/24 interface=wg-client
Вариант Б: MikroTik как L2TP-клиент
Создаём L2TP-клиент интерфейс
/interface l2tp-client add name=l2tp-to-office \
connect-to=OFFICE_VPN_SERVER_IP \
user=vpn-user \
password=vpn-password \
use-ipsec=yes \
ipsec-secret=SharedKey123 \
profile=default \
disabled=no
Маршрутизация через VPN-туннель (клиентский режим)
После подключения нужно сказать роутеру: «определённый трафик — через туннель».
Маршрут по умолчанию через VPN (весь трафик через туннель)
/ip route add gateway=wg-client distance=1 comment=»VPN default route»
Или только для конкретной подсети (например, доступ к офисной 192.168.1.0/24)
/ip route add dst-address=192.168.1.0/24 gateway=wg-client
Маршрутизация VPN-трафика: Policy Routing и Split Tunnel
Это самая мясная часть. Задача: одни устройства в вашей сети ходят через VPN, другие — напрямую. Или: весь HTTP-трафик — через VPN, а Netflix — напрямую (чтобы не терять скорость).
Метод 1: Policy Routing по IP-адресу устройства
Допустим, ноутбук с IP 192.168.88.50 должен ходить через VPN, а все остальные — напрямую.
Шаг 1: Создаём таблицу маршрутизации
/routing table add name=vpn-table fib
Шаг 2: Добавляем маршрут через WireGuard в эту таблицу
/ip route add dst-address=0.0.0.0/0 gateway=wg0 routing-table=vpn-table
Шаг 3: Правило — трафик с ноутбука направляем в vpn-table
/routing rule add src-address=192.168.88.50/32 table=vpn-table action=lookup
Шаг 4: NAT для трафика из vpn-table
/ip firewall nat add chain=srcnat src-address=192.168.88.50/32 \
action=masquerade out-interface=wg0 comment=»Policy NAT for laptop»
Метод 2: Маркировка трафика по Mangle
Более гибкий способ — через Mangle (firewall marking):
Маркируем пакеты с определённых IP
/ip firewall mangle add chain=prerouting \
src-address=192.168.88.50/32 \
action=mark-routing \
new-routing-mark=use-vpn \
passthrough=yes
Маршрут для помеченного трафика
/ip route add dst-address=0.0.0.0/0 gateway=wg0 routing-mark=use-vpn distance=1
Split Tunnel: только корпоративный трафик через VPN
Для VPN-клиентов, подключённых к MikroTik-серверу, Split Tunnel настраивается через профиль:
В профиле указываем только конкретные маршруты (не 0.0.0.0/0)
/ppp profile set vpn-profile \
routes=192.168.88.0/24,10.0.0.0/8
Для WireGuard-клиентов в конфиге меняем строку:
Вместо AllowedIPs = 0.0.0.0/0
AllowedIPs = 192.168.88.0/24, 10.10.10.0/24
AdGuard + VPN на MikroTik: DNS-фильтрация поверх туннеля
Отдельная история — когда хочется не просто шифровать трафик, но и фильтровать рекламу и трекеры для всей сети. Классическая связка: AdGuard Home на том же VPS, где стоит WireGuard, + маршрутизация DNS через туннель.
Вариант 1: DoH (DNS over HTTPS) на MikroTik
Включаем DoH (RouterOS 7.x поддерживает нативно)
/ip dns set use-doh-server=https://dns.adguard.com/dns-query \
verify-doh-cert=yes \
allow-remote-requests=yes
Отключаем обычные DNS-серверы
/ip dns set servers=»»
Вариант 2: AdGuard Home на VPS + DNS через WireGuard-туннель
На VPS устанавливаем AdGuard Home (порт 53). В конфиге WireGuard-клиента на MikroTik:
На VPS — устанавливаем AdGuard Home
https://github.com/AdguardTeam/AdGuardHome#getting-started
curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s — -v
На MikroTik — направляем DNS-запросы на IP AdGuard через туннель
/ip dns set servers=10.10.10.1 allow-remote-requests=yes
Где 10.10.10.1 — IP WireGuard-интерфейса на VPS, где запущен AdGuard. Все DNS-запросы ваших клиентов пойдут через зашифрованный туннель на AdGuard.
VLESS на MikroTik: что реально можно сделать
Честный ответ: VLESS — не нативный протокол RouterOS. Это протокол из экосистемы Xray/V2Ray, разработанный для обхода глубокой инспекции пакетов (DPI). RouterOS его не поддерживает «из коробки».
Однако в RouterOS 7.x появилась функция Container — запуск Docker-образов прямо на роутере (только на устройствах с достаточным RAM: hAP ax², CCR, RB5009).
Включаем поддержку контейнеров (требует перезагрузки)
/system/device-mode/update container=yes
После перезагрузки — устанавливаем пакет container
Пакет доступен в /system/packages — скачайте с mikrotik.com
Затем:
/container add remote-image=teddysun/xray interface=veth1 \
logging=yes root-dir=disk1/xray envlist=xray-env \
cmd=»/usr/bin/xray run -config /etc/xray/config.json»
⚠️
Это для продвинутых
Запуск контейнеров на MikroTik — задача для инженеров с опытом. Требует внешнего хранилища (USB/SD), настройки veth-интерфейсов и понимания Docker. Для простого обхода блокировок — проще поднять Xray на отдельном VPS и подключить MikroTik к нему через WireGuard.
Безопасность VPN: изоляция клиентов и разграничение доступа
Запрет общения VPN-клиентов между собой
Блокируем трафик между VPN-клиентами (для L2TP/PPP)
/ip firewall filter add chain=forward \
in-interface=l2tp-server \
out-interface=l2tp-server \
action=drop \
comment=»Block inter-VPN traffic»
Для WireGuard — аналогично
/ip firewall filter add chain=forward \
in-interface=wg0 \
out-interface=wg0 \
action=drop \
comment=»Block WG client-to-client»
Ограничение доступа VPN-клиентов к определённым ресурсам
Разрешаем VPN-клиентам доступ только к 192.168.88.10 (файловый сервер)
/ip firewall filter add chain=forward \
src-address=192.168.200.0/24 \
dst-address=!192.168.88.10 \
in-interface=l2tp-server \
action=drop \
comment=»VPN clients — only file server»
Мониторинг VPN-подключений
Активные L2TP-сессии
/ppp active print
Статус WireGuard peers (последнее рукопожатие, переданные байты)
/interface wireguard peers print detail
Логи подключений
/log print where topics~»l2tp» or topics~»ipsec»
Лимит одновременных сессий на пользователя
В PPP-секрете можно ограничить одну сессию на пользователя
/ppp secret set user1 sessions-limit=1
Типичные ошибки при настройке VPN на MikroTik и их лечение
Добро пожаловать в палату неотложной помощи. Разбираем самые частые симптомы.
Ошибка 789: The L2TP connection attempt failed
ДИАГНОЗ
Что означает ошибка 789
IPsec не может установить соединение. Причин несколько: неверный Pre-Shared Key, заблокированы UDP 500/4500, или проблема с согласованием алгоритмов.
Лечение:
Проверяем, что IPsec принимает подключения
/ip ipsec installed-sa print
Смотрим логи IPsec в реальном времени
/log print follow where topics~»ipsec»
Убеждаемся, что порты открыты
/ip firewall filter print where dst-port=500 or dst-port=4500
Принудительно задаём алгоритмы (некоторые клиенты не поддерживают AES-256)
/ip ipsec proposal set [ find default=yes ] \
enc-algorithms=aes-256-cbc,aes-128-cbc \
auth-algorithms=sha256,sha1
Ошибка 809: VPN подключение невозможно
🚨
Ошибка 809 — MikroTik за NAT
Эта ошибка возникает когда ваш MikroTik стоит за провайдерским NAT (CGNAT). IPsec не дружит с NAT. Решение — включить NAT-T (NAT Traversal).
Включаем NAT Traversal в профиле IPsec
/ip ipsec profile set [ find default=yes ] nat-traversal=yes
На Windows-клиенте также нужно добавить ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
AssumeUDPEncapsulationContextOnSendRule = 2 (DWORD)
После — перезагрузка
Проблема с MTU: туннель работает, но большие пакеты теряются
Классический симптом: VPN подключён, пинг работает, но сайты не открываются или открываются очень медленно. Причина — MTU слишком большой.
Устанавливаем правильный MTU для WireGuard (рекомендуется 1420)
/interface wireguard set wg0 mtu=1420
Для L2TP — снижаем до 1400
/interface l2tp-server server set max-mtu=1400 max-mru=1400
Добавляем Clamp MSS — автоматическая коррекция MTU для TCP
/ip firewall mangle add chain=forward \
protocol=tcp \
tcp-flags=syn \
in-interface=wg0 \
action=change-mss \
new-mss=clamp-to-pmtu \
comment=»MSS Clamping WireGuard»
WireGuard: peer подключается, но трафик не идёт
Проверяем, что трафик доходит до WireGuard
/interface wireguard peers print detail
Смотрим rx/tx bytes — если tx растёт, а rx=0, проблема на стороне клиента
Проверяем маршруты
/ip route print
Проверяем NAT
/ip firewall nat print
Пробный пинг с самого роутера через туннель
/ping 10.10.10.2 interface=wg0 count=4
Сертификаты IKEv2: ошибка «Certificate not trusted»
Убеждаемся, что CA-сертификат помечен как доверенный
/certificate print detail
В поле «trusted» должно быть «yes»
Если нет:
/certificate set ca-cert trusted=yes
Проверяем даты действия сертификатов
/certificate print detail where expired=yes
Быстрая диагностика: чеклист при проблемах с VPN
🔍
Диагностический чеклист
- Проверьте порты: /ip firewall filter print — нет ли блокирующего правила перед разрешающим?
- Проверьте NAT: /ip firewall nat print — есть ли masquerade для VPN-подсети?
- Проверьте логи: /log print follow — ищите строки с ошибками.
- Проверьте IP Forwarding: /ip settings print — ip-forward: yes?
- Проверьте маршруты: /ip route print — есть ли маршрут до VPN-подсети?
Итоги: рецепт выписан, лечение начато
Мы прошли полный путь: от выбора протокола до тонкой настройки маршрутизации и лечения ошибок 789 и 809. Подведём итог рецептурного листа:
WireGuard — выбор №1 в 2025 для новых установок. Быстро, безопасно, просто масштабируется.
L2TP/IPsec — если нужна поддержка «из коробки» на всех устройствах без установки ПО.
IKEv2 — для мобильных пользователей, которые постоянно меняют сети.
Policy Routing — позволяет отправлять только нужный трафик через VPN, не теряя скорость для остального.
AdGuard через VPN — фильтрация рекламы и трекеров для всей сети без установки расширений.