Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Оплата подписок
Темы
AI
Сервисы
Маркетинг
Деньги
Личный опыт
Инвестиции
Крипто
Путешествия
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

ALEXEY MAROV ZONE

MikroTik + OPNsense - Исходная точка (где мы сейчас)

1. Исходная точка (где мы сейчас)

Перед тем как что-то ломать, нормальные инженеры сначала честно признают:«Да, сейчас оно работает. И именно поэтому это особенно опасно трогать без плана» 😄

Этот блок — фиксация текущего состояния.

Мы не “перепрыгиваем” сразу в OPNsense, а сначала понимаем, что именно уже живёт на MikroTik и почему это нужно аккуратно демонтировать, а не выдёргивать с корнем.

Что уже настроено на MikroTik

На момент старта у нас типичная рабочая домашняя схема, которую используют 80% людей (и 99% людей с MikroTik 😄).

🔹 Wi-Fi WPA3-PSK

WPA3-PSK (Wi-Fi Protected Access 3 – Pre-Shared Key) —

это современный стандарт защиты Wi-Fi, где:

  • используется единый пароль (PSK — pre-shared key)
  • применяется улучшенный механизм аутентификации (SAE)
  • защищает от:перебора оффлайнпростых атак на handshake
  • на практике — лучший вариант для дома без RADIUS

👉 Важно:

WPA3-PSK никак не связан с маршрутизацией, DHCP или firewall.Это исключительно защита радио-доступа.

То есть:

  • Wi-Fi может быть идеально защищён
  • а сеть за ним — абсолютно хаотична

И это нормально. Просто важно не путать уровни.

🔹 DHCP на MikroTik

DHCP (Dynamic Host Configuration Protocol) — это сервис, который:

  • автоматически выдаёт клиентам:IP-адресмаску сетишлюз (gateway)DNS-серверы
  • избавляет от ручной настройки на каждом устройстве

Сейчас MikroTik:

  • раздаёт IP всем клиентам (Wi-Fi / LAN)
  • говорит им:“твоя сеть вот такая”“в интернет иди через меня”

👉 Ключевой момент:

Кто раздаёт DHCP — тот фактически управляет сетью.

Если DHCP:

  • на MikroTik → он центр управления
  • на OPNsense → он центр управления

Два DHCP в одной сети =

🎉 “добро пожаловать в лотерею IP-адресов”

🔹 Маршрутизация

Маршрутизация — это процесс принятия решения:

“Куда отправить пакет дальше?”

В текущей схеме:

  • MikroTik:является шлюзом по умолчаниюзнает, где WANзнает, где LANрешает, куда пускать трафик

Часто это выглядит просто:

  • всё, что не локальное → в интернет

И да, для дома этого хватает.

Но как только появляется:

  • второй сегмент
  • VPN
  • firewall-политики
  • лаборатория
  • VLAN

…начинается боль, если маршрутизация и безопасность размазаны по устройствам.

Почему мы осознанно всё это отключаем

И вот здесь важное слово — осознанно.

Мы не потому отключаем, что:

  • “MikroTik плохой”
  • “так сказали в интернете”
  • “OPNsense модный”

А потому что архитектура с одним центром контроля проще, безопаснее и предсказуемее.

❌ Почему НЕ стоит оставлять DHCP на MikroTik

Если DHCP остаётся на MikroTik:

  • клиенты получают gateway = MikroTik
  • firewall на OPNsense становится “где-то сбоку”
  • диагностика превращается в:“А это пакет через кого пошёл вообще?”

Мы хотим:

✅ чтобы все клиенты видели OPNsense как единственный gateway

❌ Почему НЕ стоит оставлять маршрутизацию на MikroTik

Если маршрутизация на MikroTik, а firewall на OPNsense:

  • правила безопасности разорваны
  • часть логики здесь, часть там
  • дебаг = боль

Правильная модель:

  • маршрутизация + firewall = одно устройство
  • access-устройства (Wi-Fi / switch) не принимают решений

❌ Почему MikroTik не должен быть “чуть-чуть роутером”

Очень опасное состояние:

“Он вроде как точка доступа…но DHCP включённо NAT выключен…но firewall правила есть…”

Это состояние:

  • сложно документировать
  • сложно повторить
  • невозможно объяснить через полгода

Мы делаем иначе:

✅ MikroTik = bridge / AP✅ OPNsense = мозг

Как не потерять доступ при миграции

А вот здесь — самый важный практический блок.

Потому что именно тут чаще всего звучит:

“Подожди… а почему у меня теперь вообще ничего не открывается?” 😄

🧠 Главное правило миграции

Никогда не отключай старый сервис, пока новый не проверен.

✅ Базовый безопасный план

  1. OPNsense устанавливается первымс отдельным LAN-интерфейсомс доступом к WebGUI
  2. MikroTik пока не трогаемDHCP работаетинтернет естьты в безопасности
  3. Подключаемся к OPNsense напрямуюотдельным кабелемили временным IPпроверяем доступ
  4. Только потом:отключаем DHCP на MikroTikвключаем DHCP на OPNsenseпроверяем, что клиент:получил IPполучил gatewayвышел в интернет

🛑 Типичная ошибка

Отключить DHCP на MikroTik до того, как DHCP включён на OPNsense.

Результат:

  • клиенты без IP
  • Wi-Fi “подключён, но без интернета”
  • паника
  • бег за кабелем 😄

🧰 Мини-чеклист “я всё делаю правильно”

Перед отключением DHCP на MikroTik:

  • ✅ OPNsense доступен по WebGUI
  • ✅ LAN-интерфейс настроен
  • ✅ DHCP-сервер на OPNsense готов (но ещё не активен)
  • ✅ есть физический доступ к устройствам

Промежуточный итог

На этом этапе мы:

  • ✔ поняли, что именно сейчас делает MikroTik
  • ✔ зафиксировали исходное состояние
  • ✔ объяснили, почему оно будет демонтировано
  • ✔ подготовились к миграции без потери доступа
Начать дискуссию