🔧 Полная инструкция по настройке VPN-сервера на MikroTik RB750Gr3 и подключению всех типов клиентов

📋 Содержание

1. Подготовка и первое подключение к роутеру

1.1. Физическое подключение

Порт Назначение
ether1 WAN (интернет от провайдера)
ether2-ether5 LAN (ваши компьютеры)

1.2. Первое подключение через Winbox

  1. Скачайте Winbox с официального сайта MikroTik
  2. Подключите компьютер к любому порту ether2-ether5
  3. Назначьте компьютеру статический IP (если не получает автоматически):
    1. IP: 192.168.88.100
    2. Маска: 255.255.255.0
  4. Откройте Winbox → нажмите (три точки) → найдите роутер по MAC → подключитесь
    1. Логин: admin
    2. Пароль: пустой

1.3. Сброс до заводских настроек (если нужно)

''System → Reset Configuration → No Default Configuration ✅ → Reset Configuration''

После перезагрузки повторите подключение.

2. Базовая настройка роутера (интернет и LAN)

2.1. Создание Bridge для LAN

''Bridge → + → Name: bridge-lan → OK''
''Bridge → Ports → + → Interface: ether2 → Bridge: bridge-lan → OK''
''Bridge → Ports → + → Interface: ether3 → Bridge: bridge-lan → OK''
''Bridge → Ports → + → Interface: ether4 → Bridge: bridge-lan → OK''
''Bridge → Ports → + → Interface: ether5 → Bridge: bridge-lan → OK''
⚠️ Важно: ether1 (WAN) НЕ добавляем в bridge!

2.2. Настройка WAN (интернет)

Вариант A: DHCP (автоматически) 

''IP → DHCP Client → + → Interface: ether1 → Use Peer DNS: ✅ → Add Default Route: ✅ → OK''

Вариант B: Статический IP 

''IP → Addresses → + → Address: (IP от провайдера)/маска → Interface: ether1 → OK''
''IP → Routes → + → Dst. Address: 0.0.0.0/0 → Gateway: (шлюз провайдера) → OK''

Вариант C: PPPoE 

''Interfaces → + → PPPoE Client → General: Interface: ether1 → Dial Out: User: (логин), Password: (пароль) → Add Default Route: ✅ → Use Peer DNS: ✅ → OK''

2.3. Настройка LAN (локальная сеть)

''IP → Addresses → + → Address: 192.168.254.1/24 → Interface: bridge-lan → OK''
💡 Совет: IP 192.168.254.1 — редко используется другими сетями, меньше конфликтов.

2.4. Настройка DHCP-сервера

''IP → DHCP Server → DHCP Setup → DHCP Server Interface: bridge-lan → Next → Next → ... (по умолчанию) → OK''

2.5. Настройка NAT (доступ в интернет)

''IP → Firewall → NAT → + → Chain: srcnat → Out. Interface: ether1 → Action: masquerade → OK''

2.6. Проверка интернета

''New Terminal → /ping 8.8.8.8''

Должны получить ответ!

3. Настройка DNS и синхронизации времени

3.1. Настройка DNS

''IP → DNS → Servers: 8.8.8.8, 1.1.1.1 → Allow Remote Requests: ✅ → Apply → OK''

3.2. Настройка времени

Способ A: Через терминал (рекомендуется) 

<code>
/system ntp client set enabled=yes mode=unicast
/system ntp client servers add address=0.ru.pool.ntp.org
/system ntp client servers add address=1.ru.pool.ntp.org
/system ntp client servers add address=2.ru.pool.ntp.org
</code>

Способ B: Через облако MikroTik (резервный) 

''IP → Cloud → Update Time: ✅ → DDNS Enabled: ✅ (по желанию) → Apply → OK''

3.3. Проверка времени

<code>/system clock print</code>

Должно показывать правильное московское время.

4. Настройка WireGuard VPN-сервера

4.1. Создание интерфейса WireGuard

''Interfaces → + → WireGuard → Name: wireguard1 → Private Key: Generate Key → Listen Port: 51821 → MTU: 1420 → OK''

4.2. Назначение IP адреса

''IP → Addresses → + → Address: 10.254.254.1/24 → Interface: wireguard1 → OK''

4.3. Открытие порта в Firewall

''IP → Firewall → Filter Rules → + → Chain: input → Protocol: udp → Dst. Port: 51821 → In. Interface: ether1 → Action: accept → Comment: Allow WireGuard → OK''

4.4. Добавление Peer для удалённого офиса

⚠️ Важно: Сначала настройте клиент (офис), чтобы получить его публичный ключ. Затем вернитесь и добавьте Peer.
''WireGuard → Peers → + → Name: office1_wg → Interface: wireguard1 → Public Key: (публичный ключ офиса) → Allowed Address: 10.254.254.2/32, 192.168.1.0/24 → Endpoint Port: 51820 → Persistent Keepalive: 00:00:25 → OK''

4.5. Добавление Peer для ноутбука администратора

''WireGuard → Peers → + → Name: laptop_admin → Interface: wireguard1 → Public Key: (публичный ключ ноутбука) → Allowed Address: 10.254.254.10/32 → Persistent Keepalive: 00:00:25 → OK''

4.6. Добавление Peer для телефона

''WireGuard → Peers → + → Name: phone_admin → Interface: wireguard1 → Public Key: (публичный ключ телефона) → Allowed Address: 10.254.254.20/32 → Persistent Keepalive: 00:00:25 → OK''

4.7. План адресации WireGuard

Клиент VPN IP
Сервер (центр) 10.254.254.1
Офис 1 10.254.254.2
Офис 2 10.254.254.3
Ноутбук админа 10.254.254.10
Телефон 10.254.254.20

5. Настройка L2TP/IPsec VPN-сервера

5.1. Создание Bridge для VPN

''Bridge → + → Name: bridge-vpn → OK''
''IP → Addresses → + → Address: 10.255.255.1/24 → Interface: bridge-vpn → OK''

5.2. Создание пула адресов и профиля

''IP → Pool → + → Name: pool-l2tp → Addresses: 10.255.255.2-10.255.255.254 → OK''
''PPP → Profiles → + → Name: profile-l2tp → Local Address: 10.255.255.1 → Remote Address: pool-l2tp → Only One: ✅ → Protocols → Use Encryption: required → оставить только mschap2 → OK''

5.3. Включение L2TP сервера

''PPP → Interface → L2TP Server → Enabled: ✅ → Default Profile: profile-l2tp → Max Sessions: 100 → Use IPSec: required → IPSec Secret: MySecretKey123 → OK''

5.4. Добавление пользователей

Офисы (с фиксированным IP): 

''PPP → Secrets → + → Name: office1_l2tp → Password: pass1 → Service: l2tp → Profile: profile-l2tp → Remote Address: 10.255.255.10 → OK''
''PPP → Secrets → + → Name: office2_l2tp → Password: pass2 → Service: l2tp → Profile: profile-l2tp → Remote Address: 10.255.255.11 → OK''

Администраторы (без фиксации IP): 

''PPP → Secrets → + → Name: admin_l2tp → Password: admin123 → Service: l2tp → Profile: profile-l2tp → Remote Address: (оставить пустым) → OK''

5.5. Открытие портов L2TP/IPsec в Firewall

''IP → Firewall → Filter Rules → + → Chain: input → Protocol: udp → Dst. Port: 500,1701,4500 → Action: accept → Comment: L2TP/IPsec ports → OK''
''IP → Firewall → Filter Rules → + → Chain: input → Protocol: ipsec-esp → Action: accept → Comment: ESP → OK''

5.6. Маршруты до локальных сетей офисов (L2TP)

''IP → Route → + → Dst. Address: 192.168.1.0/24 → Gateway: 10.255.255.10 → Comment: office1_l2tp → OK''
''IP → Route → + → Dst. Address: 192.168.2.0/24 → Gateway: 10.255.255.11 → Comment: office2_l2tp → OK''

5.7. План адресации L2TP

Клиент VPN IP Локальная сеть
Сервер (центр) 10.255.255.1 192.168.254.0/24
Офис 1 10.255.255.10 192.168.1.0/24
Офис 2 10.255.255.11 192.168.2.0/24
Администратор из пула 10.255.255.2-254

6. Настройка клиентов — WireGuard

6.1. Настройка MikroTik (удалённый офис)

Создание интерфейса WireGuard: 

<code>/interface wireguard add name=wireguard1 listen-port=51820</code>

Назначение IP: 

<code>/ip address add address=10.254.254.2/24 interface=wireguard1</code>

Добавление Peer (подключение к центру): 

<code>
/interface wireguard peers add interface=wireguard1 \
    public-key="nqakR1KxRVt/nHy2Fxwo7UJaaDqwVcMSi6tiyKZO5(" \
    allowed-address="10.254.254.0/24,192.168.254.0/24" \
    endpoint-address=95.165.90.174 \
    endpoint-port=51821 \
    persistent-keepalive=25
</code>

Маршрут до центра (опционально): 

<code>/ip route add dst-address=192.168.254.0/24 gateway=10.254.254.1</code>

Firewall на удалённом роутере: 

''IP → Firewall → Filter Rules → + → Chain: forward → Src. Address: 10.254.254.0/24 → Dst. Address: 192.168.1.0/24 → Action: accept → OK''
''IP → Firewall → Filter Rules → + → Chain: forward → Src. Address: 192.168.1.0/24 → Dst. Address: 10.254.254.0/24 → Action: accept → OK''

6.2. Настройка Windows (ноутбук администратора)

Установка WireGuard:

  1. Скачайте WireGuard с официального сайта: https://www.wireguard.com/install/
  2. Установите программу

Создание конфигурации:

  1. Откройте WireGuard → Add TunnelAdd empty tunnel…
  2. Вставьте конфигурацию:
<code ini>
[Interface]
PrivateKey = (сгенерируется автоматически)
Address = 10.254.254.10/24
DNS = 8.8.8.8
[Peer]
PublicKey = nqakR1KxRVt/nHy2Fxwo7UJaaDqwVcMSi6tiyKZO5(
AllowedIPs = 192.168.254.0/24, 10.254.254.0/24
Endpoint = 95.165.90.174:51821
PersistentKeepalive = 25
</code>
  1. Нажмите Activate
💡 Важно: Скопируйте публичный ключ из интерфейса (в поле Public key) и отправьте администратору сервера для добавления Peer.

6.3. Настройка Android / iOS (телефон)

WireGuard:

  1. Установите приложение WireGuard из Google Play / App Store
  2. Откройте приложение → +Create from scratch

Interface:

Поле Значение
Name VPN Центр
Private Key (нажмите ↻ для генерации)
Address 10.254.254.20/24
DNS 8.8.8.8

Peer:

Поле Значение
Public Key nqakR1KxRVt/nHy2Fxwo7UJaaDqwVcMSi6tiyKZO5(
Endpoint 95.165.90.174:51821
Allowed IPs 192.168.254.0/24, 10.254.254.0/24
Persistent Keepalive 25
  1. СохранитьВключить туннель

6.4. Настройка Keenetic

  1. Веб-интерфейс KeeneticИнтернетДругие подключенияVPNWireGuard
  2. Добавить подключение
Поле Значение
Включено
Имя VPN Центр
Локальный адрес 10.254.254.3/24
DNS-серверы 8.8.8.8
Публичный ключ (сервера) nqakR1KxRVt/nHy2Fxwo7UJaaDqwVcMSi6tiyKZO5(
Endpoint 95.165.90.174:51821
Разрешённые адреса 192.168.254.0/24, 10.254.254.0/24
Persistent keepalive 25

6.5. Настройка OpenWrt

Установка пакетов: 

''System → Software → Update lists''
Установить: ''wireguard-tools'', ''luci-proto-wireguard''

Создание интерфейса: 

''Network → Interfaces → Add new interface... → Name: wg1 → Protocol: WireGuard VPN → Create interface''

Настройка интерфейса:

Поле Значение
Private Key Generate key
Listen Port 51820
IP Addresses 10.254.254.4/24

Peer:

Поле Значение
Public Key nqakR1KxRVt/nHy2Fxwo7UJaaDqwVcMSi6tiyKZO5(
Endpoint 95.165.90.174:51821
Allowed IPs 192.168.254.0/24, 10.254.254.0/24
Persistent keepalive 25 
''Firewall Settings → Create / Assign firewall-zone: wan → Save & Apply''

7. Настройка клиентов — L2TP/IPsec

7.1. Настройка MikroTik (удалённый офис)

<code>
# Создание L2TP клиента
/interface l2tp-client add name=l2tp-central \
    connect-to=95.165.90.174 \
    user=office1_l2tp \
    password=pass1 \
    use-ipsec=yes \
    ipsec-secret="MySecretKey123" \
    add-default-route=no \
    allow=mschap2
# Назначение IP на туннеле (фиксированный, как на сервере)
/ip address add address=10.255.255.10/24 interface=l2tp-central
# Маршрут до центральной сети
/ip route add dst-address=192.168.254.0/24 gateway=10.255.255.1
# Firewall (разрешить трафик между VPN и локальной сетью)
/ip firewall filter add chain=forward src-address=10.255.255.0/24 dst-address=192.168.1.0/24 action=accept
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.255.255.0/24 action=accept
</code>

7.2. Настройка Windows (ноутбук администратора)

Создание VPN подключения:

  1. ПускПараметрыСеть и ИнтернетVPNДобавить VPN
  2. Заполните поля:
Поле Значение
Поставщик VPN Windows (встроенное)
Имя подключения VPN Центр L2TP
Адрес сервера 95.165.90.174
Тип VPN L2TP/IPsec с предварительным ключом
Предварительный ключ MySecretKey123
Имя пользователя admin_l2tp
Пароль admin123
  1. Сохранить

Отключение шлюза по умолчанию (⚠️ ОЧЕНЬ ВАЖНО!):

  1. Панель управленияЦентр управления сетями и общим доступомИзменение параметров адаптера
  2. ПКМ по VPN Центр L2TPСвойства
  3. Вкладка СетьIP версии 4 (TCP/IPv4)Свойства
  4. ДополнительноСНИМИТЕ галочку «Использовать основной шлюз в удалённой сети»
  5. OKOKOK

7.3. Настройка Android / iOS (телефон)

Android: 

''Настройки → Сеть и Интернет → VPN → Добавить VPN''

iOS: 

''Настройки → VPN → Добавить конфигурацию → Тип: L2TP''
Поле Значение
Тип L2TP/IPsec PSK
Сервер 95.165.90.174
Имя пользователя admin_l2tp
Пароль admin123
Секретный ключ (IPsec) MySecretKey123
Отправлять весь трафик ✅ (для доступа к сетям)

7.4. Настройка Keenetic (L2TP)

  1. Веб-интерфейс KeeneticИнтернетДругие подключенияVPNL2TP
  2. Добавить подключение
Поле Значение
Включено
Имя VPN Центр L2TP
Адрес сервера 95.165.90.174
Имя пользователя office1_l2tp
Пароль pass1
Тип подключения L2TP over IPSec
Предварительный ключ MySecretKey123
Шлюз по умолчанию НЕТ (⚠️ важно!)

Статические маршруты: 

''Назначение: 192.168.254.0 → Маска: 255.255.255.0 → Шлюз: 10.255.255.1 → Интерфейс: (выбрать L2TP подключение)''

Общие параметры для L2TP/IPsec:

Параметр Значение
Тип VPN L2TP или L2TP/IPsec
Адрес сервера 95.165.90.174
Имя пользователя office1_l2tp
Пароль pass1
Предварительный ключ (IPsec) MySecretKey123
Шлюз по умолчанию НЕТ / ОТКЛЮЧЕН
MTU 1450

Статический маршрут:

Назначение Маска Шлюз
192.168.254.0 255.255.255.0 10.255.255.1

8. Диагностика и проверка

8.1. Проверка на сервере (WireGuard)

<code>
# Статус WireGuard интерфейса
/interface wireguard print
# Список пиров и их статус
/interface wireguard peers print
# Детальная информация о пирах
/interface wireguard peers print detail
# Логи WireGuard
/log print where topics~"wireguard"
# Пинг до клиента WireGuard
/ping 10.254.254.2
</code>

8.2. Проверка на сервере (L2TP)

<code>
# Кто подключен по L2TP
/ppp active print
# Статус L2TP сервера
/interface l2tp-server server print
# Активные сессии L2TP
/interface l2tp-server session print
# Логи подключений
/log print where topics~"l2tp"
/log print where topics~"ppp"
# Пинг до клиента L2TP
/ping 10.255.255.10
</code>

8.3. Проверка на клиенте (MikroTik)

<code>
# Статус WireGuard
/interface wireguard print
# Статус L2TP клиента
/interface l2tp-client print status
# Пинг до сервера (WireGuard)
/ping 10.254.254.1
# Пинг до сервера (L2TP)
/ping 10.255.255.1
# Пинг до центральной сети
/ping 192.168.254.1
</code>

8.4. Расшифровка статусов

Статус Что значит
last-handshake=2s ✅ Подключен активно
last-handshake=00:00:00 ⚠️ Давно не подключался
rx=0 tx=0 ⚠️ Нет трафика
endpoint-address= (пусто) ❌ Клиент не подключён
status: connected (L2TP) ✅ Подключен
status: waiting (L2TP) ⏳ Ожидает подключения
status: error (L2TP) ❌ Ошибка подключения

8.5. Torch — мониторинг трафика в реальном времени

''Interfaces → правой кнопкой по интерфейсу (wireguard1 / l2tp-central) → Torch → Start''

Показывает:

  1. Кто отправляет/получает трафик
  2. Скорость и объём данных
  3. Порты и протоколы

9. Резервное копирование

9.1. System Backup (бинарный) — для восстановления на том же роутере

''Files → Backup → Name: my_router_backup → Password: (придумайте пароль) → Start''

Файл .backup появится в списке → скачайте на компьютер

9.2. Export (текстовый скрипт) — для переноса на другой роутер

''New Terminal → /export file=my_config show-sensitive''

Файл .rsc появится в Files → скачайте на компьютер

9.3. Cloud Backup (облачный) — автоматическое резервное копирование

''IP → Cloud → DDNS Enabled: ✅ (по желанию) → Update Time: ✅ → Backup Enabled: ✅ → Backup Schedule: 24h → Apply → OK''

9.4. Восстановление

Из .backup файла:

  1. Перетащите файл в Files
  2. FilesRestore → выберите файл → введите пароль
  3. Роутер перезагрузится

Из .rsc файла: 

<code>/import file_name.rsc</code>

10. Типовые проблемы и решения

🔴 WireGuard: Не подключается

Проверка Решение
Порт открыт? /ip firewall filter print where dst-port=51821
Ключи совпадают? Публичный ключ клиента на сервере и наоборот
Endpoint правильный? 95.165.90.174:51821 (порт 51821!)
Интернет на клиенте? ping 8.8.8.8
DNS настроен? /ip dns print должны быть серверы

🔴 WireGuard: Подключение есть, но нет доступа к сетям

Проверка Решение
AllowedIPs на клиенте Должны быть 192.168.254.0/24, 10.254.254.0/24
AllowedAddress на сервере Должен включать локальную сеть офиса
Маршруты на сервере /ip route print where dst-address~«192.168»
Firewall на клиенте Разрешить forward между VPN и локалкой

🔴 L2TP: Не подключается

Проверка Решение
Порты открыты? UDP 500, 1701, 4500 и протокол ESP
IPsec Secret совпадает? MySecretKey123 на сервере и клиенте
Логин/пароль верны? Проверьте в PPP → Secrets
MSCHAPv2 разрешён? В профиле и на клиенте
Add Default Route = no? На клиенте должно быть выключено

🔴 L2TP: Подключение есть, но нет доступа к сетям

Проверка Решение
Маршруты на сервере Добавлены ли маршруты до локальных сетей офисов
Маршруты на клиенте Добавлен ли маршрут до центральной сети
Firewall на клиенте Разрешить forward между VPN и локалкой

🔴 Общие проблемы

Проблема Решение
Нет интернета на ноутбуке после VPN Отключить шлюз по умолчанию (L2TP) или не указывать 0.0.0.0/0 (WireGuard)
Время на роутере неправильное Настроить DNS и NTP, или включить /ip cloud set update-time=yes
Не вижу WireGuard в Winbox Обновить RouterOS до 7.x и Winbox до последней версии
Низкая скорость VPN Проверить MTU (1420 для WireGuard, 1450 для L2TP)
Туннель падает через минуту Добавить PersistentKeepalive = 25 (WireGuard) или настроить keepalive (L2TP)

🔴 Быстрая диагностика — одним скриптом

<code>
:put "=== WireGuard Status ==="
/interface wireguard print
:put "=== WireGuard Peers ==="
/interface wireguard peers print
:put "=== L2TP Status ==="
/interface l2tp-server server print
:put "=== Active L2TP Connections ==="
/ppp active print
:put "=== Routes to Offices ==="
/ip route print where dst-address~"192.168"
:put "=== Firewall Rules for VPN ==="
/ip firewall filter print where dst-port~"500\|1701\|4500\|51821" or protocol~"ipsec-esp"
:put "=== Last Logs ==="
/log print where topics~"wireguard\|l2tp\|ppp" limit=10
</code>

✅ Итог: что вы получили

Компонент Статус
Интернет (WAN) ✅ Работает через ether1
Локальная сеть (LAN) 192.168.254.0/24 на bridge-lan
DHCP ✅ Раздаёт IP компьютерам
DNS ✅ Настроен (8.8.8.8, 1.1.1.1)
Время ✅ Синхронизировано (NTP + Cloud)
WireGuard VPN ✅ Сервер работает на порту 51821
L2TP/IPsec VPN ✅ Сервер работает на портах 500,1701,4500 + ESP
Бэкапы ✅ Сделаны и сохранены

Ваш RB750Gr3 полностью готов к работе с любыми клиентами! 🎉

Antistatus 08.06.2026 23:39