MikroTik

OpenVPN — это надёжный и проверенный временем VPN-протокол, который позволяет организовать защищённый удалённый доступ к локальной сети. MikroTik RouterOS поддерживает OpenVPN в режиме сервера начиная с версии 6.x (TCP), а с версии 7+ — также и UDP, но с рядом архитектурных ограничений:

• обязательная аутентификация по логину/паролю даже при использовании сертификатов;
• ограниченный список шифров и алгоритмов;
• отсутствие некоторых возможностей «классического» OpenVPN.

Несмотря на это, OpenVPN на MikroTik остаётся востребованным решением — особенно в сценариях, где клиенты не поддерживают WireGuard или требуется совместимость со старыми системами.

Маршрутизаторы Mikrotik заслуженно ценятся системными администраторами за свою невероятную гибкость.
Уникальная черта этого оборудования в том, что бюджетный домашний hAP lite и мощный корпоративный маршрутизатор за тысячи долларов работают на одной и той же операционной системе — RouterOS.

Это означает, что, научившись настраивать одно устройство, вы сможете управлять любым оборудованием бренда.
В этой статье мы разберём фундаментальные этапы настройки Mikrotik с нуля до полностью рабочего состояния.

1. Подключение и обновление системы

Первый шаг — получить доступ к устройству и привести его программное обеспечение в актуальное состояние.

В современном мире сетевых технологий объединение двух удаленных офисов в единое целое — задача довольно рутинная. Обычно для этого используют L3-туннели (например, IPIP или IPsec). Однако бывают ситуации, когда простой маршрутизации недостаточно и требуется полноценная L2-связность, как будто удаленные устройства подключены к одному коммутатору.

Давайте разберемся, когда это необходимо и как правильно настроить такую связность, чтобы она была не только работающей, но и отказоустойчивой.

🤔 Зачем нужна L2-связность?

L2-туннель, или «виртуальный провод», позволяет передавать Ethernet-кадры напрямую между сетями, игнорируя IP-маршрутизацию.

Протокол EoIP (Ethernet over IP) от MikroTik используется для создания L2-туннеля поверх IP-сети, позволяя объединить две удалённые локальные сети в один широковещательный домен.
Если ваш EoIP-туннель не устанавливается (нет флага “R” — Running), следуйте этому пошаговому чек-листу.

1. Проверка IP-связности (L3)

Перед началом убедитесь, что маршрутизаторы видят друг друга на уровне IP.

Ping до удалённой стороны:

/ping 203.0.113.2 count=4

Если пинг не проходит — проверьте маршруты и NAT:

/ip route print
/ip firewall nat print

Убедитесь, что маршрут до удалённого IP существует и NAT не перенаправляет GRE-трафик.

Эта статья собрана как «шпаргалка» для SOHO/SMB-сетей: частые проблемы, их симптомы, причины, быстрые решения и чек-листы диагностики. Подойдёт как для инженеров, так и для админов, кто поддерживает связку MikroTik ↔ Keenetic.

📑 Навигация

• EoIP «замирает» при передаче больших файлов
• Site-to-Site VPN поднят, но трафик не ходит
• NAT ломает VPN/EoIP
• MTU/MSS: как подобрать правильно
• Policy Routing (RouterOS 7)
• SMB из другой подсети не работает
• Чек-лист быстрой диагностики
• Шпаргалки команд
• Типовые MTU для туннелей
• Матрица NAT/Firewall исключений
• Частые «грабли»
• Визуализации
• Ресурсы и документация

1) EoIP «замирает» при передаче больших файлов

Симптомы: SMB/FTP зависает, скорость «пилит», RDP рвётся.
Причины: неверный MTU/MSS, fast-path с IPsec, ошибки NAT/Firewall.

Огромное спасибо Михаилу за работу, я очень доволен результатом. Отдельно благодарю за рекомендации в процессе настройки, из довольно сумбурного ТЗ с моей стороны (а я в серверах понимаю мало) Михаил уточняющими вопросами и предложениями со своей стороны сформулировал четкое понимание, какие задачи будет решать итоговая сборка и как организовать все лучшим образом. Рекомендую!

Ответ: Спасибо за отзыв! Рад помочь!

В мире сетевых технологий часто возникает задача объединить две удаленные локальные сети так, чтобы они ощущались как единое целое, даже если находятся за разными маршрутизаторами. Для владельцев оборудования MikroTik знакома концепция EoIP (Ethernet over IP) — фирменного туннельного протокола, позволяющего создавать виртуальный Ethernet-интерфейс (Layer 2) поверх IP-сети.

Хорошие новости для пользователей Keenetic: начиная с прошивки NDMS v2.10, роутеры Keenetic также поддерживают EoIP! Это открывает двери для интересных сетевых конфигураций.

В этом кейсе мы подробно разберем, как настроить полноценный EoIP-туннель между роутерами MikroTik и Keenetic, используя приватные IP-адреса. Такой подход идеально подходит для использования туннеля внутри существующей VPN-сети или в сценариях, где вы можете обеспечить корректный проброс GRE-протокола через NAT.

В мире, где кибератаки становятся всё изощрённее, защита удалённого доступа к серверам и сетевому оборудованию приобретает первостепенное значение. Стандартное открытие портов для SSH, RDP или Web-интерфейсов делает их мишенью для постоянных сканирований и брутфорса.

Сегодня мы рассмотрим мощную, но малоизвестную технику, которая значительно повышает безопасность вашего MikroTik (и не только): Port Knocking. Это не просто “закрытие портов”, а умная система, которая делает ваши сервисы невидимыми для большинства сканеров и ботов.

Введение: Mikrotik – не просто роутер

Когда речь заходит о сетевом оборудовании для дома или малого офиса, большинство вспоминает стандартные потребительские роутеры от TP-Link, ASUS или D-Link. Однако есть категория устройств, которая предлагает гораздо больше возможностей, гибкости и контроля, оставаясь при этом в доступном ценовом диапазоне. Речь идет о Mikrotik – латвийской компании, производящей широкий спектр сетевого оборудования, известного своими роутерами и коммутаторами.

Главная “фишка” Mikrotik – это не столько железо, сколько операционная система RouterOS. Именно она превращает обычное сетевое устройство в мощный, универсальный инструмент, способный решать задачи, которые обычно требуют гораздо более дорогого корпоративного оборудования.

В современном цифровом мире, где каждый мегабайт на счету, а стабильное соединение — золото, одного интернет-канала порой катастрофически не хватает. Возможно, у вас есть несколько внешних IP-адресов, которые просто пылятся без дела, или ваш хостер вдруг ввёл те самые “неприятные” лимиты на трафик, ставя под угрозу ваш бюджет и спокойствие. Но не спешите паниковать! PCC (Per Connection Classifier) на вашем роутере MikroTik с обновлённой RouterOS 7.x — это ваш билет в мир без ограничений, позволяющий оптимизировать расходы и обойти надоедливые лимиты.