MikroTik + OPNsense - Введение
0. Введение
Если у тебя дома есть роутер, значит у тебя дома уже есть маленький дата-центр. Просто он пока об этом не знает. 😄
В этом гайде мы делаем домашнюю сеть не “чтоб работало”, а чтоб было понятно, безопасно и управляемо. То есть так, как делают люди, которые однажды уже сидели в 3 ночи и думали:
“Почему Wi-Fi есть, интернет есть, но ничего не открывается, и вообще кто мне выдал DNS 127.0.0.1?” 🙃
Мы берём связку:
- OPNsense — как главный мозг сети (маршрутизация, firewall, DHCP, DNS, VPN, IDS/IPS и т.д.)
- MikroTik — как железка для Wi-Fi / точки доступа (радио, коммутатор, PoE/портовая магия — если надо)
И делаем архитектуру, где всё важное живёт в одном месте. Без “чуть-чуть тут”, “чуть-чуть там”, “а DHCP вообще у провайдера” 😅
Зачем вообще OPNsense дома
Если коротко: чтобы сеть была как система, а не как легенда.
OPNsense — это полноценный firewall/router уровня “у взрослых” (на базе FreeBSD), который даёт:
✅ 1) Контроль и прозрачность
Ты видишь:
- какие сети есть
- кто кому что разрешено
- кто куда ходит
- где именно режется трафик
- почему интернет “не работает” (и это на самом деле firewall правило)
В обычном “домашнем роутере” диагностика чаще выглядит так:
“Ну… лампочки горят. Значит работает?” 😄
✅ 2) Безопасность по-взрослому
OPNsense умеет то, что в быту обычно появляется только после фразы:
“Слушай, а у меня тут странные устройства в сети…” 🥲
Примеры возможностей:
- нормальный stateful firewall
- сегментация (VLAN, отдельные зоны)
- IDS/IPS (Suricata)
- GeoIP / блокировки
- VPN (WireGuard/OpenVPN/IPsec)
- DNS-фильтрация / блокировка трекеров
- нормальные логи и графики
✅ 3) Масштабируемость
Сегодня — “домашняя сеть”.Завтра — “домашняя сеть + лаборатория + домен + VLAN + DMZ + VPN в облако”.
И OPNsense это переваривает спокойно. Он не впадает в истерику как “роутер на 3 кнопки”, который после пары правил начинает вести себя как человек после третьего энергетика.
Почему MikroTik ≠ firewall
Вот тут важный момент: MikroTik — мощный, но его часто пытаются использовать не по роли.
MikroTik — это:
- шикарная маршрутизация
- гибкая настройка
- классный Wi-Fi (особенно если ты умеешь)
- крутой коммутаторный функционал
- очень хорошая цена/возможности
Но! Когда речь о роли “главного security-гейтвея” для дома/лабы — начинается тонкость.
❗ 1) MikroTik — это “инструмент”, а не “security-платформа”
У него есть firewall, NAT, фильтры — да.Но нет ощущения “всё собрано в одном месте для безопасности” как у OPNsense.
В OPNsense:
- интерфейс и логика построены вокруг политик безопасности
- всё визуализируется
- логирование и диагностика — не “в отдельном лесу”
- плагины (IDS, фильтрация, VPN) — встроены в общую концепцию
В MikroTik:
- всё можно… но надо знать как
- много мест, где можно “сделать правильно”, а можно “сделать работает”
- легко случайно устроить себе:двойной NAT“интернет есть, но только по вторникам”правила в неправильной цепочкедырку размером с гараж
❗ 2) Одна коробка не должна делать всё одновременно
Когда MikroTik одновременно:
- раздаёт DHCP
- NAT’ит
- режет firewall
- крутит Wi-Fi
- и ещё ты в него лезешь “поправить одну мелочь”
…то одна “мелочь” может уронить всю сеть.
Это как:
“Я сейчас на проде чуть-чуть nginx перезапущу, ничего не будет…”И через минуту ты уже в позе богомола смотришь на графики 😄
Именно поэтому мы делаем разделение ролей:
- OPNsense — control plane (политики, маршрутизация, безопасность)
- MikroTik — access layer (Wi-Fi, мосты, порты)
Типичные ошибки (и почему мы делаем иначе)
Сейчас будет блок “классика жанра”. Если узнаёшь себя — всё нормально, мы все там были 😅
🧨 Ошибка 1: Double NAT (двойной NAT)
Схема:
- провайдерский роутер NAT
- MikroTik NAT
- потом ещё OPNsense NAT (или наоборот)
Итог:
- VPN работает странно
- проброс портов превращается в квест
- некоторые игры/сервисы лагают
- диагностика становится “почему оно иногда да”
Мы будем делать так:✅ только один NAT (на OPNsense, как главный gateway)
🧨 Ошибка 2: DHCP в одном месте, DNS в другом, шлюз в третьем
Пример:
- DHCP на MikroTik
- DNS от провайдера
- firewall на OPNsense
- а клиентам раздаётся “что-то”
Итог:
- клиенты получают IP, но не ходят в интернет
- DNS резолвится частично
- непонятно, где проблема
Мы будем делать так:
✅ DHCP и DNS — на OPNsense, чтобы всё было едино.
🧨 Ошибка 3: “MikroTik как точка доступа”, но он всё ещё роутер
Очень частая история: говорят “он у меня как AP”,
а там:
- включён DHCP
- включён NAT
- firewall rules
- какой-то masquerade живёт своей жизнью
Мы будем делать так:
✅ MikroTik = чистый bridge/AP, без DHCP/NAT.
🧨 Ошибка 4: Настройки “на память”
“Я помню, я так делал, там галочку надо…”Через месяц:
“А почему так? А я не знаю. Но оно работает. Не трогай.” 😄
Мы будем делать так:
✅ каждый шаг фиксируем в статье + проверяем тестами.
Архитектура «одна точка контроля»
Ключевая идея всей статьи:
В сети должен быть один главный мозг.
Иначе это не сеть, а “коллекция устройств с мнением”.
Одна точка контроля = один главный узел, который отвечает за:
- маршрутизацию (default gateway)
- NAT (если нужен)
- firewall (политики доступа)
- DHCP (выдача адресов)
- DNS (резолв + фильтрация)
- VPN (вход/выход)
- мониторинг/логи
В нашем случае это OPNsense.
А MikroTik будет:
- раздавать Wi-Fi
- мостить трафик в LAN
- иметь IP только для управления
- не вмешиваться в политику безопасности
🎯 Почему это удобно
- проще дебажить: “всё режется здесь”
- проще расширять: VLAN/DMZ/лаб-сегменты
- проще безопасить: правила в одном месте
- проще жить: меньше шансов “сам себе сломал сеть”
Мини-схема (логика)
- Провайдер → WAN OPNsense
- LAN OPNsense → коммутатор / MikroTik (как AP/bridge)
- Все клиенты (Wi-Fi/кабель) получают:IP от OPNsensegateway = OPNsenseDNS = OPNsense
Что дальше (следующий блок статьи)
Дальше мы начинаем с самого начала установки:
✅ 1) Установка OPNsense с нуля
- куда ставить (железо/Proxmox)
- подготовка ISO
- установка
- первый вход
- базовые проверки