Маршрутизаторы MikroTik под управлением RouterOS обладают поддержкой довольно широкого набора VPN-протоколов: PPTP, L2TP, IPSec, SSTP, WireGuard и даже OpenVPN. Эти технологии появлялись в разное время и создавались для различных задач.
Протоколы PPTP и L2TP в настоящее время считаются устаревшими, несмотря на то что их поддержка по-прежнему присутствует на многих клиентских устройствах. В PPTP используется криптографически слабый механизм шифрования MPPE (128-бит) с известными уязвимостями, а L2TP, применяемый совместно с IPsec, наследует ограничения и риски IKEv1 — сложного и подверженного атакам протокола управления ключами, а также не имеет собственной защиты уровня туннеля.
Появление в RouterOS v7 поддержки протокола и статических интерфейсов WireGuard значительно упростило подключение и настройку маршрутизаторов, находящихся за CGNAT, в первую очередь в мобильных сетях LTE и 5G.
Выбор протокола
При выборе VPN-протокола для доступа к корпоративной сети с ноутбуков, домашних компьютеров и мобильных устройств мы рекомендуем в первую очередь ориентируемся на безопасность протокола, его производительность, встроенную поддержку на устройствах пользователей, а также на возможности настройки и автоконфигурации.
Операционные системы большинства устройств не обладают встроенной поддержкой протоколов WireGuard и OpenVPN, работа с этими протоколами потребует установки стороннего программного обеспечения и допускает неконтролируемое копирование закрытого ключа.
Мы считаем оптимальным использование IPSec IKEv2 в качестве основного протокола и SSTP — в качестве резервного там, где IPSec может быть недоступен.
Подводные камни
При аутентификации пользователей через Менеджера (пользователей) в роли RADIUS-сервера, число активных сессий может ограничиваться лицензией.
Для реализации механизма одноразовых паролей для защищённой аутентификации (TOTP) необходим внешний RADIUS-сервер и отказ от пользовательских сертификатов.
Для IPSec IKEv2-подключений в режимах максимального спокойствия или Always On требуются пользовательские сертификаты (закрытые ключи ограничены для экспорта). При ручной обработке, без использования средств автоматизации, выпуск сертификатов, их перенос, установка на пользовательские устройства и настройка подключений становятся затруднительными и сопровождаются высоким риском неконтролируемой утраты и компрометации закрытых ключей.