VPN-роутер на базе Mikrotik за 10 минут

Вы пришли в малознакомое место. В углу моргает лампочками роутер, в который вставлен провод неизвестного провайдера. Вы вводите пароль с помятой бумажки, чтобы подключиться к интернету, но вас посещает странное ощущение. Это оно. Сомнение в надёжности в сохранности ваших данных. А сомнений в вашей анонимности нет, как и самой анонимности.

Вы откладываете бумажку и достаёте из сумки маленький Mikrotik. Включаете его в свободный LAN-порт имеющегося роутера, в розетку (или просто в розетку, если роутер с модемом), и подключаетесь к знакомой сети. Заходите на whatismyip.com, а там — Амстердам. Или Франкфурт. Приятное чувство, когда ребята на пульте СОРМ видят мусор вместо вашего трафика.

Мы расскажем, как просто и быстро сделать VPN-роутер, подключив его к нашему сервису.

Для этого подойдёт любой роутер фирмы Mikrotik. Мы возьмём модель hAP, у него есть USB-разъем для модема, достаточно быстрый процессор (Atheros QCA9531 650MH), при этом он недорогой (~2700 рублей).

Mikrotik hAP

Начнём. В примере все настройки производим через приложение Winbox из-под Windows, однако Mikrotik имеет и web-интерфейс, но загрузка ключей будет не такой простой, как в случае использования Winbox.

  1. Подключаем роутер 2-м портом (это важно!) к одной сети с компьютером (или напрямую), с которого будем его настраивать. Запускаем Winbox.
  2. Открываем вкладку «Neighbors» и ищем наш Mikrotik. Скорее всего, он будет единственный. если нет, то тот, что с IP 192.168.88.1 — это дефолтный адрес роутера. Делаем двойной клик по MAC-адресу (это важно!) и нажимаем «Connect».
Жмём «Connect»

3. В открывшемся окне нам предложат воспользоваться предустановленной конфигурацией, либо сбросить её. Так как в предустановленной конфигурации есть много лишнего, а мы подготовили команды для настройки только того, что нам нужно, то без сожаления удаляем конфигурацию по-умолчанию:

Удаляем конфигурацию соответствующей кнопкой.

4. После этого роутер перезагрузится с пустой конфигурацией. Повторяем подключение к роутеру из пункта 2, с той лишь разницей, что у роутера нет никакого IP-адреса.

5. Сначала нужно обновить ПО роутера. Идём на официальный сайт и скачиваем свежую версию (current) RouterOS: https://mikrotik.com/download

Открываем Winbox, далее выбираем вкладку «Files» и перетаскиваем мышкой скачанный файл с новой версией ПО в открывшееся окно. После того, как файл загрузился, идём в меню «System» -> «Reboot», и соглашаемся с перезагрузкой.

После загрузки новой версии ПО перезагружаем роутер

Роутер уйдёт в перезагрузку на пару минут и обновит ПО.

6. Снова подключаемся к роутеру (пункт 2). Если обновление RouterOS было успешно выполнено, то файл с прошивкой, который вы загрузили, исчезнет.

7. Теперь нам нужно скопировать конфигурацию в роутер.

Мы будем получать интернет с настройками по DHCP на порту 1 (ether1), а раздавать уже VPN-подключение по Wi-Fi и с портов 2–5.

Открываем «New Terminal» в Winbox и вставляем туда (можно прямо с комментариями):

# local bridge
/interface bridge add name=bridge1
/interface bridge port add interface=wlan1 bridge=bridge1
/interface bridge port add interface=ether2 bridge=bridge1

Если вы подключили роутер 2-м портом, то после ввода этих команд, он отвалится, после этого нужно просто переподключиться.

# dhcp pool
/ip pool add name=local ranges=192.168.88.1-192.168.88.253
# local address
/ip address add address=192.168.88.254/24 interface=bridge1
# local dhcp server
/ip dhcp-server add name=local address-pool=local interface=bridge1 lease-time=14d authoritative=yes bootp-support=none
/ip dhcp-server enable local
/ip dhcp-server network add address=192.168.88.0/24 dns-server=10.254.254.254 gateway=192.168.88.254
# dhcp client on ether1
/ip dhcp-client add interface=ether1 use-peer-dns=yes add-default-route=yes default-route-distance=2
/ip dhcp-client enable numbers=0
# block dns-requests from internet
/ip firewall filter add chain=input protocol=udp dst-port=53 action=drop in-interface=ether1
# add ether3–5 to switch
/interface ethernet set ether3 master-port=ether2
/interface ethernet set ether4 master-port=ether2
/interface ethernet set ether5 master-port=ether2

Теперь наш роутер получает настройки по DHCP с 1-го порта и раздаёт настройки по DHCP на 2–5 портах и по Wi-Fi.

Настраиваем Wi-Fi:

/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n wireless-protocol=802.11 default-forwarding=no tx-chains=0,1 rx-chains=0,1 tx-power=17 frequency=auto channel-width=20/40mhz-Ce
# security
/interface wireless security-profiles set numbers=0 mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm,tkip group-ciphers=aes-ccm,tkip
/interface wireless enable wlan1
/interface wireless set wlan1 ssid=<название вашей сети>
/interface wireless security-profiles set numbers=0 wpa2-pre-shared-key=<пароль>

С этого момента вы сможете увидеть Wi-Fi-сеть вашего роутера.

И, наконец, VPN-соединение.

Откройте TgVPN-бот, перейдите в меню: «Начать использовать VPN» -> «Mikrotik» -> Выберите локацию, к которой хотите подключиться. Бот пришлёт 3 файла с ключами и конфигурацию.

Файлы с ключами на компьютер и загрузите их Mikrotik так же, как загружали новую версию RouterOS в п.5, только роутер перезагружать не нужно.

Затем, скопируйте конфигурацию из бота в терминал.

Важно! Ваш аккаунт TgVPN должен быть оплачен.

Подключите роутер 1-м портом к интернету.

Если вы всё сделали правильно, то увидите в списке Interface подключенное соединение TgVPN, а при вводе в терминале команды ping 8.8.8.8 (или любой другой адрес) — ответы.

Таким образом, вы сможете в любом месте подключить роутер к существующему провайдеру или даже LAN-порту имеющегося роутера и получить защищённое соединение на все ваши устройства.

Не забудьте установить пароль на Mikrotik:

/user set admin password=<пароль>

Приятного использования!

Мы будем рады помочь вам с трудностями настройки. Просто напишите сообщение с #support прямо в боте.

Для тех, кто дочитал до конца — ссылка, по которой можно получить 7 дней бесплатного использования нашего VPN.

Like what you read? Give TgVPN a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.