Mikrotik site to site vpn настройка — это процесс создания защищённого туннеля между двумя или более удалёнными сетями через интернет. В отличие от remote access VPN, где подключаются отдельные устройства, site-to-site VPN объединяет целые локальные сети, позволяя филиалам и облачным ресурсам работать как единая инфраструктура.
Для MikroTik доступно несколько протоколов: IPsec, L2TP/IPsec, SSTP и WireGuard. Выбор зависит от требований к безопасности, совместимости с NAT и простоты конфигурации.
Например, IPsec обеспечивает высокую защиту, но может требовать настройки NAT-T для работы за NAT, тогда как SSTP использует HTTPS-порт 443 и легко проходит через файрволы.
При настройке важно правильно определить маршруты и правила NAT, чтобы трафик между подсетями шёл через туннель, а не через интернет. Типичные ошибки — отсутствие маршрутов, неправильные политики IPsec или блокировка портов.
Понимание этих нюансов поможет построить стабильное и безопасное соединение.
Что в статье
Что такое site-to-site VPN и где он применяется
Что такое site-to-site VPN и где он применяется
Site-to-site VPN — это защищённое соединение между двумя или более локальными сетями через интернет. В отличие от remote access VPN, где каждый пользователь подключается индивидуально, site-to-site объединяет целые сети, делая их частью одной логической подсети.
Такая схема востребована при объединении филиалов компании, подключении к облачным инфраструктурам (например, Oracle Cloud, AWS) или организации доступа к центральному офису из удалённых подразделений. На MikroTik это реализуется через туннельные протоколы с шифрованием, что обеспечивает безопасность передачи данных.
Однако site-to-site VPN не универсален: он не подходит для мобильных сотрудников, которым нужен доступ с разных устройств и мест — для этого лучше использовать remote access. Также он требует стабильного интернет-канала и корректной настройки маршрутизации, иначе возможны разрывы соединения.
Как устроено соединение между офисами и облаком
Как устроено соединение между офисами и облаком
Site-to-site VPN на MikroTik строится на основе туннельного интерфейса, который соединяет две локальные сети через интернет. В отличие от remote access, где клиент подключается к серверу, здесь оба роутера выступают равноправными узлами: каждый знает маршруты к удалённой подсети и передаёт трафик через зашифрованный канал.
Типичная схема включает два MikroTik с белыми IP-адресами (или один за NAT с пробросом портов). На каждом настраивается IPsec или L2TP/IPsec, создаётся туннельный интерфейс, добавляются статические маршруты к удалённым сетям.
Для корректной работы обязательно отключается NAT для трафика между подсетями — иначе пакеты будут маскироваться и не дойдут до цели.
Ключевые элементы настройки
- Туннельный интерфейс — IPsec, L2TP, SSTP или EoIP. Выбор зависит от требований к шифрованию и совместимости с облаком.
- Маршрутизация — статические маршруты к удалённым подсетям через туннельный интерфейс. Без них трафик пойдёт в интернет.
- Firewall и NAT — правило srcnat с исключением для трафика между локальными сетями (обычно через dst-address удалённой подсети).
- Проверка связи — ping между устройствами из разных офисов, traceroute для подтверждения маршрута через туннель.
Однако эта схема не работает, если у одного из роутеров динамический IP и нет возможности настроить DDNS или проброс портов. В таких случаях приходится использовать облачный сервер-посредник (например, VPS с WireGuard или SSTP-сервером), что усложняет конфигурацию и добавляет точку отказа.
Какие протоколы и схемы обычно выбирают
Выбор протокола для site-to-site VPN на MikroTik
При настройке site-to-site VPN на MikroTik чаще всего используют три протокола: IPsec, L2TP/IPsec и SSTP. IPsec — самый производительный и безопасный вариант, но требует статического публичного IP хотя бы на одной стороне.
L2TP/IPsec проще в настройке и поддерживает NAT Traversal, что удобно для филиалов за NAT, но добавляет накладные расходы. SSTP работает через TCP-порт 443, что позволяет обходить строгие файрволы, но снижает скорость из-за TCP-over-TCP.
Сравнение протоколов site-to-site VPN
| Протокол | Производительность | NAT Traversal | Обход файрвола | Сложность настройки |
|---|---|---|---|---|
| IPsec (IKEv2) | Высокая | Требует настройки | Средняя | Средняя |
| L2TP/IPsec | Средняя | Поддерживает | Средняя | Низкая |
| SSTP | Низкая | Не требуется | Высокая | Высокая |
Важно понимать ограничения: IPsec без NAT-T не будет работать, если обе стороны за NAT. L2TP/IPsec может блокироваться корпоративными файрволами.
SSTP не подходит для высоконагруженных каналов из-за TCP-over-TCP. Выбор протокола зависит от конкретных условий сети и требований к безопасности.
Какие ошибки возникают в маршрутизации, NAT и резервировании
Типичные ошибки при настройке site-to-site VPN на MikroTik
Даже при правильной конфигурации туннеля часто возникают проблемы с маршрутизацией. Самая распространённая — отсутствие маршрута до удалённой сети: на каждом роутере нужно явно указать статический маршрут через интерфейс туннеля.
Если этого не сделать, пакеты будут уходить в default gateway и теряться.
NAT — ещё один камень преткновения. Если на роутере включён masquerade для всего трафика, пакеты в туннеле тоже будут маскироваться, и удалённая сторона увидит адрес WAN-интерфейса вместо реального IP клиента.
Решение — добавить правило srcnat, исключающее трафик в сторону удалённой подсети: /ip firewall nat add chain=srcnat src-address=192. 168.
1. 0/24 dst-address=10.
0. 0.
0/24 action=accept.
Резервирование часто недооценивают. Если основной туннель падает, трафик не переключится автоматически без настройки failover. Используйте VRRP или BGP для динамической маршрутизации, но помните: BGP требует дополнительных ресурсов и не всегда оправдан для двух офисов.
- Ошибка 1: Нет маршрута до удалённой сети — добавьте статический маршрут через туннельный интерфейс.
- Ошибка 2: NAT маскирует трафик — создайте исключение для подсетей site-to-site.
- Ошибка 3: Отсутствие резервирования — настройте VRRP или BGP, но учтите, что BGP сложнее в отладке.
Эти ошибки проявляются не сразу: туннель может подняться, но ping до удалённого хоста не проходит. Проверяйте маршруты командой /ip route print и смотрите, не попадает ли трафик под NAT.
Когда site-to-site VPN оправдан для бизнеса
Site-to-site VPN на MikroTik — это не универсальное решение. Оно оправдано, когда нужно объединить два или более филиала в единую L2- или L3-сеть с постоянным трафиком.
Например, для доступа к ERP-системе, IP-телефонии или общим файловым ресурсам. Однако если трафик редкий или филиалы используют разные провайдеры с нестабильными IP, проще и дешевле настроить remote access VPN или использовать облачные сервисы.
Также site-to-site VPN не подходит для сценариев, где требуется низкая задержка (менее 5 мс) — шифрование и туннелирование добавляют до 2–10 мс. Если в филиале менее 5 пользователей, часто выгоднее использовать готовые облачные решения (например, Tailscale или ZeroTier), которые не требуют статического IP и сложной настройки NAT.
Когда стоит выбрать site-to-site VPN
- Постоянный обмен данными между офисами (более 50 ГБ в месяц).
- Необходимость в единой подсети (например, 192.168.1.0/24) для работы legacy-приложений.
- Требования к безопасности: шифрование всего трафика между точками.
- Наличие статических белых IP-адресов хотя бы на одной стороне.
Когда лучше отказаться
- Филиалы за NAT без возможности проброса портов — IPsec может работать нестабильно, потребуется SSTP или OpenVPN.
- Трафик нерегулярный — проще использовать remote access VPN.
- Бюджет ограничен — аренда статического IP и обслуживание роутеров могут превысить стоимость облачных сервисов.
🔒 Защитите свой интернет с VPN Stars
Быстрое подключение, никаких логов, работает в России. Попробуйте бесплатно 3 дня — без карты и обязательств.
Корпоративный контекст
Для бизнеса, управляющего распределённой инфраструктурой — филиалами, удалёнными складами или облачными серверами — site-to-site VPN на MikroTik становится базовым элементом сетевой связности. В отличие от потребительских VPN-сервисов, корпоративное решение обеспечивает прямое маршрутизируемое соединение между сетями, что критично для работы ERP-систем, IP-телефонии и централизованного мониторинга.
Правильная настройка такого туннеля позволяет избежать потери пакетов и задержек, а также гарантирует безопасность передачи данных между узлами.
Выбор протокола — IPSec, L2TP или SSTP — напрямую влияет на стабильность соединения, особенно при работе через NAT или нестабильные каналы. Без грамотной конфигурации маршрутизации и правил firewall компания рискует столкнуться с недоступностью ресурсов или утечкой трафика. Подробнее о том, как построить защищённую сеть для бизнеса, читайте в статье «Корпоративный VPN для бизнеса».
Часто задаваемые вопросы
Чем site-to-site VPN отличается от remote access?
Site-to-site VPN соединяет целые сети (офисы, филиалы) в единую частную сеть. В отличие от remote access, где каждый пользователь подключается индивидуально, site-to-site работает на уровне маршрутизаторов и не требует настройки на каждом устройстве.
Это идеально для постоянного обмена данными между филиалами, облачными ресурсами и центральным офисом.
Какой протокол лучше для site-to-site на MikroTik: IPsec, L2TP, SSTP?
Выбор зависит от сценария. IPsec — самый безопасный и производительный, подходит для прямых соединений с белыми IP.
L2TP/IPsec проще в настройке, но добавляет накладные расходы. SSTP работает через HTTPS, обходит строгие файрволы, но медленнее.
Для облака часто используют IPsec, для филиалов за NAT — SSTP или L2TP/IPsec.
Нужен ли белый IP для site-to-site VPN?
Не обязательно, но желательно. Если оба роутера за NAT, потребуется NAT Traversal (NAT-T) и, возможно, сторонний сервер-ретранслятор.
При наличии белого IP хотя бы на одной стороне настройка упрощается: достаточно пробросить порты. Для облачных серверов белый IP обычно есть, для офисов — часто нет.
Как настроить маршрутизацию между офисами?
После создания туннеля добавьте статические маршруты на обоих роутерах. Например, в главном офисе: /ip route add dst-address=192.
168. 2.
0/24 gateway=туннельный_интерфейс. В филиале — аналогично для сети главного офиса.
Не забудьте настроить NAT так, чтобы трафик между локальными сетями не маскировался (обычно правило исключения).
Что такое NAT Traversal и когда он нужен?
NAT Traversal (NAT-T) — технология, позволяющая IPsec-пакетам проходить через устройства NAT. Она инкапсулирует ESP-пакеты в UDP (порт 4500).
Нужна, если хотя бы один из роутеров находится за NAT. В MikroTik NAT-T включается автоматически при настройке IPsec, но может потребоваться дополнительная настройка файрвола для разрешения UDP 4500.
Как сделать резервирование site-to-site соединения?
Используйте VRRP или BGP для автоматического переключения на резервный канал. Можно настроить несколько туннелей (например, IPsec + L2TP) и задать метрики маршрутов.
В MikroTik также доступен Netwatch для мониторинга и скриптового переключения. Для критичных сетей рекомендуется BGP с анонсом префиксов через разные туннели.
Почему не работает IPsec между MikroTik и облаком?
Частые причины: несовпадение фаз IPsec (шифрование, хэширование, DH-группы), блокировка портов (UDP 500, 4500, ESP), отсутствие маршрута до удалённой сети, неправильные селекторы трафика. Проверьте логи: /log print where topics~"ipsec".
Убедитесь, что в облаке разрешён IPsec-трафик и настроены правила файрвола.
Как проверить, что site-to-site VPN работает?
Выполните ping с устройства в одной сети на IP-адрес устройства в другой сети (например, с ПК 192. 168.
1. 10 на 192.
168. 2.
10). Если ping проходит — туннель активен.
Также проверьте состояние IPsec: /ip ipsec active-peers print и /interface print для туннельного интерфейса. Убедитесь, что маршруты добавлены и NAT не блокирует трафик.
Что проверить перед публикацией решения
Начните с выбора протокола: если оба MikroTik имеют белые IP-адреса, используйте IPsec IKEv2 — он обеспечивает наилучшую производительность и безопасность. Если один из роутеров за NAT, добавьте L2TP/IPsec или SSTP.
Настройте на сервере (главный офис) профиль IPsec с алгоритмами AES-256 и SHA256, а на клиенте (филиал) укажите те же параметры. Обязательно создайте правило NAT, исключающее трафик между локальными сетями из masquerade: /ip firewall nat add chain=srcnat src-address=192.
168. 1.
0/24 dst-address=10. 0.
0. 0/24 action=accept.
Проверьте маршруты: на каждом роутере должна быть статика до удалённой подсети через интерфейс туннеля.
После настройки выполните ping с устройства в одной сети на IP-адрес устройства в другой. Если пакеты не проходят, проверьте логи IPsec (/log print where topics~"ipsec") и убедитесь, что в firewall на WAN-интерфейсе разрешены порты 500 (ISAKMP) и 4500 (NAT-T).
Для отказоустойчивости настройте второй туннель через резервный канал и используйте VRRP или BGP для автоматического переключения. Следующий шаг — внедрить мониторинг туннеля через скрипт, который перезапускает IPsec при потере связи.
Другие статьи в блоге
Если вы сравниваете разные сценарии использования VPN, посмотрите ещё несколько материалов по теме.
- Что такое VPN простыми словами: как работает и зачем нужен
- Бесплатный VPN для Android 2026: как не нарваться на утечки и рекламу
Подробнее: Что такое VPN (Cloudflare)
Готовы попробовать?
VPN Stars — быстрый, надёжный VPN без ограничений. 3 дня бесплатно, чтобы убедиться самим.