Назад к блогу
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Настройка прокси на роутере MikroTik: защита корпоративной сети и фильтрация трафика пошагово

Подробное руководство по настройке прокси-сервера на MikroTik для защиты корпоративной сети, фильтрации трафика и контроля доступа сотрудников.

📅26 марта 2026 г.

Если в вашей компании есть хоть один роутер MikroTik — у вас уже есть встроенный инструмент для контроля трафика, блокировки нежелательных сайтов и защиты корпоративной сети. Большинство системных администраторов не используют и половины его возможностей. В этом руководстве разберём, как настроить прокси прямо на MikroTik — без дополнительных серверов и лишних затрат.

Что такое Web Proxy в MikroTik и зачем он нужен бизнесу

MikroTik RouterOS — это полноценная операционная система для сетевого оборудования, которая включает встроенный HTTP/HTTPS прокси-сервер. Он называется Web Proxy и доступен начиная с базовых лицензий. По сути, это промежуточный узел между пользователями вашей сети и интернетом: весь трафик проходит через него, и вы получаете полный контроль над тем, что происходит в сети.

Чем это отличается от обычного файрвола? Файрвол работает на уровне IP-адресов и портов — он не «понимает» содержимое запросов. Прокси работает на уровне приложений: он видит конкретные URL, домены, типы контента. Это даёт принципиально другой уровень контроля.

Встроенный Web Proxy в MikroTik умеет:

  • Кэшировать веб-контент — снижает нагрузку на интернет-канал до 30–40% в офисах с активным браузингом
  • Блокировать доступ к конкретным сайтам, доменам, URL-паттернам
  • Разграничивать доступ по IP-адресам пользователей или подсетям
  • Логировать все HTTP-запросы — кто, куда и когда заходил
  • Работать в прозрачном режиме — пользователи не замечают его присутствия
  • Перенаправлять трафик на внешний прокси-сервер (parent proxy)

Важно понимать ограничение: встроенный Web Proxy в MikroTik работает только с HTTP-трафиком в нативном режиме. HTTPS-трафик он может перехватывать только в прозрачном режиме с определёнными ограничениями, либо через настройку parent proxy. Для полноценной инспекции HTTPS нужны дополнительные решения — об этом расскажем в разделе про внешние прокси.

💡 Полезно знать

Web Proxy в MikroTik работает на RouterOS версии 2.9 и выше. Проверить версию прошивки можно в меню System → RouterBoard или командой :put [/system routerboard get current-firmware] в терминале.

Сценарии использования: кому и зачем нужна эта настройка

Прежде чем переходить к техническим деталям, давайте разберём конкретные бизнес-задачи, которые решает прокси на MikroTik. Это поможет понять, какие именно настройки вам нужны.

Офис с наёмными сотрудниками

Самый распространённый сценарий. Задачи: заблокировать социальные сети в рабочее время, запретить скачивание торрентов, ограничить доступ к стриминговым сервисам, которые «съедают» канал. Прозрачный прокси на MikroTik решает всё это без установки агентов на компьютеры сотрудников. Сотрудники даже не знают, что их трафик фильтруется — всё работает автоматически.

Интернет-кафе, коворкинги, гостиницы

Здесь прокси нужен для двух вещей: кэширование (популярный контент загружается быстрее и не тратит трафик повторно) и базовая фильтрация нелегального контента. Кэширование особенно актуально при ограниченном или дорогом интернет-канале.

Маркетинговые агентства и digital-команды

Специфический сценарий: команды, которые работают с множеством рекламных аккаунтов в Facebook Ads, TikTok Ads, Instagram, нередко используют корпоративный MikroTik как шлюз для маршрутизации трафика через внешние прокси. Разные сотрудники или рабочие станции выходят в интернет через разные IP-адреса — это критично для работы с несколькими аккаунтами на одной платформе.

Провайдеры и ISP

Небольшие провайдеры используют кэширующий прокси MikroTik для снижения нагрузки на магистральный канал. При большом количестве абонентов, которые смотрят одни и те же новости или YouTube, кэширование даёт ощутимую экономию трафика.

Сценарий Основная задача Нужные функции
Офис Контроль доступа Фильтрация URL, логи
Кафе / коворкинг Экономия трафика Кэширование, базовая фильтрация
Digital-агентство Разные IP для аккаунтов Parent proxy, маршрутизация
Провайдер Снижение нагрузки на канал Кэширование, статистика

Что нужно перед началом настройки

Перед тем как приступать к конфигурации, убедитесь, что у вас есть всё необходимое. Пропуск этого шага — причина 80% проблем при настройке.

Доступ к роутеру: Вам понадобится доступ к веб-интерфейсу MikroTik (Winbox или WebFig) с правами администратора. Winbox — предпочтительный вариант, он даёт полный доступ ко всем настройкам. Скачать его можно бесплатно с официального сайта MikroTik.

Версия RouterOS: Для стабильной работы Web Proxy рекомендуется RouterOS 6.x или 7.x. Проверьте версию через System → Packages. Если версия устарела — обновите через System → Packages → Check for Updates.

Свободное место на диске: Кэш прокси хранится на диске роутера. Для кэширования нужно минимум 50–100 МБ свободного места. Проверьте через Files в Winbox. На роутерах с небольшой флеш-памятью (8 МБ и меньше) кэширование лучше отключить.

Схема сети: Запишите или нарисуйте, какие подсети у вас есть, какой интерфейс смотрит в интернет (WAN), а какой — во внутреннюю сеть (LAN). Без этого понимания настроить NAT-правила для прозрачного прокси не получится.

⚠️ Важно: сделайте бэкап конфигурации!

Перед любыми изменениями создайте резервную копию: Files → Backup или через терминал командой /system backup save name=backup-before-proxy. Это спасёт вас от потери доступа к роутеру при ошибке в правилах файрвола.

Шаг 1: Включаем Web Proxy на MikroTik

Включение Web Proxy — самый простой шаг. Всё делается через графический интерфейс Winbox за несколько минут.

Через Winbox (рекомендуется):

  1. Откройте Winbox и подключитесь к роутеру
  2. В левом меню выберите IP → Web Proxy
  3. В открывшемся окне поставьте галочку Enabled
  4. Установите порт — по умолчанию 8080, можно оставить или изменить
  5. В поле Max Cache Size укажите размер кэша (например, 100 МБ) или выберите unlimited если место позволяет
  6. Нажмите Apply, затем OK

Через терминал (для тех, кто предпочитает командную строку):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB

После включения проверьте, что прокси запустился. В терминале выполните: 

/ip proxy print

В выводе должно быть enabled: yes. Если вы видите enabled: no — значит, что-то пошло не так, повторите шаги.

На этом этапе прокси включён, но ещё не перехватывает трафик автоматически. Пользователи должны вручную прописать его в настройках браузера (IP роутера, порт 8080). Чтобы сделать это автоматически для всей сети — нужен прозрачный режим, о котором рассказываем в следующем шаге.

Также обратите внимание на параметр Cache Path — он указывает, куда сохраняется кэш. По умолчанию это встроенная память роутера. Если у вас есть USB-накопитель или карта памяти, лучше перенести кэш туда — это увеличит объём и снизит износ встроенной памяти.

Шаг 2: Настройка прозрачного прокси через Firewall NAT

Прозрачный прокси — это режим, при котором весь HTTP-трафик из локальной сети автоматически перенаправляется через прокси-сервер. Пользователям не нужно ничего настраивать в браузерах. С точки зрения сотрудника всё работает как обычно, но на самом деле каждый запрос проходит через прокси.

Реализуется это через правило NAT в файрволе MikroTik. Правило перехватывает весь исходящий TCP-трафик на порт 80 (HTTP) и перенаправляет его на порт прокси (8080).

Через Winbox:

  1. Перейдите в IP → Firewall → NAT
  2. Нажмите кнопку + (добавить правило)
  3. На вкладке General установите:
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 80
    • In. Interface: ваш LAN-интерфейс (например, ether2 или bridge-local)
  4. На вкладке Action установите:
    • Action: redirect
    • To Ports: 8080
  5. Нажмите OK

Через терминал:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080

Замените ether2 на название вашего LAN-интерфейса. Если у вас несколько LAN-интерфейсов объединены в bridge, укажите имя bridge-интерфейса.

📌 Порядок правил имеет значение!

MikroTik применяет правила NAT по порядку сверху вниз. Убедитесь, что правило для прозрачного прокси стоит до правила masquerade (если оно есть). Порядок можно изменить перетаскиванием в Winbox или командой /ip firewall nat move [find] destination=0.

После добавления правила проверьте работу: откройте любой HTTP-сайт с компьютера в локальной сети. Если прокси работает корректно — страница откроется, а в логах прокси (IP → Web Proxy → Access) появится запись. Если страница не открывается — проверьте название интерфейса и порт прокси.

Шаг 3: Правила фильтрации — блокируем сайты и категории

Это ключевой раздел для тех, кто хочет контролировать доступ сотрудников к интернету. Web Proxy в MikroTik позволяет создавать гибкие правила: блокировать конкретные домены, URL-паттерны, или наоборот — разрешать только определённые ресурсы.

Правила доступа настраиваются в IP → Web Proxy → Access. Каждое правило имеет условия (что проверять) и действие (что делать: allow или deny).

Блокировка конкретного домена (например, vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Block VK"
add dst-host=*.vk.com action=deny comment="Block VK subdomains"

Блокировка по маске URL (например, все страницы YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Block YouTube"
add dst-host=youtube.com action=deny comment="Block YouTube main"

Разрешить доступ только для определённой подсети (например, только IT-отдел может заходить на GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny

Блокировка по расширению файлов (запрет скачивания .exe, .torrent):

/ip proxy access
add path=*.exe action=deny comment="Block EXE downloads"
add path=*.torrent action=deny comment="Block Torrent files"
add path=*.zip action=deny comment="Block ZIP downloads"

Обратите внимание на порядок правил: MikroTik проверяет их сверху вниз и останавливается на первом совпадении. Правила allow для конкретных IP должны стоять выше правил deny для тех же доменов.

Через Winbox правила добавляются в IP → Web Proxy → вкладка Access → кнопка +. Интерфейс интуитивно понятен: выбираете условие (Source Address, Destination Host, Path, Method) и действие (Allow/Deny).

⚠️ Ограничение: HTTPS не фильтруется напрямую

Правила Web Proxy работают только с HTTP-трафиком. Для блокировки HTTPS-сайтов (а их сейчас большинство) используйте дополнительно правила в IP → Firewall → Layer 7 Protocols или блокируйте по IP-адресам через обычный файрвол. Полноценная фильтрация HTTPS требует отдельного решения — например, внешнего прокси с SSL-инспекцией.

Шаг 4: Кэширование трафика для экономии канала

Кэширование — одна из главных причин, зачем вообще включают прокси на MikroTik в небольших офисах и учебных заведениях. Принцип простой: если 20 сотрудников открывают одну и ту же новостную страницу, без кэша роутер скачивает её 20 раз. С кэшем — один раз, а остальные 19 получают данные из локальной памяти роутера мгновенно.

Настройки кэша находятся в IP → Web Proxy. Основные параметры:

Параметр Описание Рекомендация
max-cache-size Максимальный размер кэша 50–500 МБ в зависимости от памяти
max-cache-object-size Макс. размер одного объекта в кэше 2048–4096 КБ
cache-path Путь для хранения кэша USB-накопитель при наличии
max-fresh-time Время хранения объекта в кэше 3 дня (259200 сек)

Настройка через терминал:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d

Для проверки эффективности кэша используйте команду: 

/ip proxy monitor

Обратите внимание на показатели hits и misses. Хороший показатель — когда hits составляет 20–40% от общего числа запросов. Если hits близко к нулю — либо большинство трафика HTTPS (он не кэшируется), либо кэш слишком маленький.

Важный нюанс: современные сайты всё чаще используют заголовки Cache-Control: no-store или no-cache, которые запрещают кэширование. Поэтому на практике эффективность кэша в 2024 году ниже, чем 5–10 лет назад. Тем не менее для статических ресурсов (изображения, CSS, JS-файлы) кэш по-прежнему работает хорошо.

Шаг 5: Подключение внешнего прокси-сервера через MikroTik

Это самый интересный сценарий для тех, кто хочет не просто фильтровать трафик, а полностью контролировать IP-адрес, с которого выходит в интернет корпоративная сеть или отдельные устройства. MikroTik поддерживает функцию Parent Proxy — когда все запросы от локального прокси передаются на вышестоящий внешний прокси-сервер.

Зачем это нужно на практике:

  • Смена IP для всей сети — весь трафик офиса выходит через IP внешнего прокси, а не через ваш реальный IP провайдера
  • Обход региональных ограничений — доступ к ресурсам, заблокированным в вашем регионе
  • Разные IP для разных устройств — через маршрутизацию разные рабочие станции используют разные внешние прокси
  • Защита реального IP компании — внешние сервисы видят IP прокси, а не ваш корпоративный адрес

Настройка Parent Proxy через Winbox:

  1. Перейдите в IP → Web Proxy
  2. Найдите раздел Parent Proxy
  3. Введите Parent Proxy Address — IP-адрес внешнего прокси-сервера
  4. Укажите Parent Proxy Port — порт прокси (обычно 8080, 3128 или другой)
  5. Нажмите Apply

Через терминал:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080

Замените 203.0.113.10 и 8080 на реальные данные вашего прокси-сервера.

Для корпоративных задач, где важна стабильность и анонимность, в качестве parent proxy используют резидентные прокси — они имеют IP-адреса реальных домашних пользователей, что делает трафик неотличимым от обычного пользовательского. Это особенно важно при работе с платформами, которые анализируют поведение и тип подключения.

Если вашей команде нужно имитировать мобильный трафик — например, для тестирования рекламных кампаний в Facebook Ads или Instagram с мобильных устройств — в качестве parent proxy подходят мобильные прокси. Они работают через реальные SIM-карты операторов связи и дают IP мобильных сетей 3G/4G/5G.

📌 Важно: Parent Proxy работает только для HTTP

Встроенный Web Proxy MikroTik передаёт через parent proxy только HTTP-трафик, который проходит через прокси. Для маршрутизации всего трафика (включая HTTPS) через внешний прокси нужно использовать другой подход — настройку Policy Based Routing или SOCKS-прокси в сочетании с iptables-правилами на отдельном Linux-сервере в сети.

Мониторинг и логирование запросов

Один из главных аргументов в пользу прокси в корпоративной среде — возможность видеть, что делают пользователи в интернете. MikroTik Web Proxy умеет логировать все HTTP-запросы: кто (IP-адрес), куда (URL), когда, какой метод запроса и статус ответа.

Включение логирования:

/ip proxy
set log-connect=yes

После включения логи появятся в Log (меню в Winbox). Для удобного просмотра фильтруйте по теме web-proxy.

Для долгосрочного хранения логов и удобного анализа настройте отправку на внешний Syslog-сервер: 

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy

Замените 192.168.1.100 на IP вашего syslog-сервера. В качестве syslog-сервера можно использовать Graylog, Splunk или простой rsyslog на Linux.

Также полезна команда для просмотра статистики прокси в реальном времени: 

/ip proxy monitor

Здесь вы увидите: количество активных соединений, общее число запросов, попаданий в кэш, объём переданных данных. Эти данные помогают оценить нагрузку на роутер и эффективность кэширования.

Важное замечание по GDPR и трудовому законодательству: если вы логируете трафик сотрудников, убедитесь, что это предусмотрено трудовым договором или корпоративной политикой безопасности. В ряде стран мониторинг интернет-активности сотрудников без их уведомления является нарушением законодательства.

Частые ошибки и как их исправить

Собрали самые распространённые проблемы, с которыми сталкиваются при настройке Web Proxy на MikroTik, и способы их решения.

Ошибка 1: Интернет перестал работать после настройки прозрачного прокси

Причина: Неправильно указан LAN-интерфейс в правиле NAT, или правило стоит не в той позиции.

Решение: Проверьте название интерфейса командой /interface print. Убедитесь, что указываете именно тот интерфейс, к которому подключены пользователи. Если использовали bridge — укажите bridge, а не физический порт.

Ошибка 2: HTTPS-сайты не блокируются правилами Web Proxy

Причина: Web Proxy в MikroTik не перехватывает HTTPS-трафик. Правила в IP → Web Proxy → Access работают только для HTTP.

Решение: Для блокировки HTTPS-сайтов используйте Layer 7 Protocols или Address Lists в файрволе. Например, добавьте IP-адреса нужного сайта в список и заблокируйте его через IP → Firewall → Filter Rules.

Ошибка 3: Прокси работает, но кэш не заполняется

Причина: Большинство современных сайтов используют HTTPS и заголовки, запрещающие кэширование. Кэш работает только для HTTP.

Решение: Это нормальное поведение для современного веба. Кэш будет заполняться статическими ресурсами (изображения, файлы) с HTTP-сайтов. Если кэш критичен — рассмотрите специализированные решения типа Squid на отдельном сервере с SSL-bump.

Ошибка 4: Роутер стал работать медленно после включения прокси

Причина: Слабый процессор роутера не справляется с нагрузкой от прокси при большом количестве пользователей.

Решение: Проверьте загрузку CPU командой /system resource print. Если CPU постоянно выше 80% — уменьшите размер кэша или перенесите прокси на отдельный сервер (Squid на Ubuntu/Debian). MikroTik в таком случае используется только как шлюз, перенаправляющий трафик на внешний прокси.

Ошибка 5: Parent Proxy не работает — сайты открываются через реальный IP

Причина: Parent Proxy в MikroTik применяется только к трафику, который фактически проходит через Web Proxy. HTTPS-запросы и трафик, не перехваченный правилом NAT, идут напрямую.

Решение: Убедитесь, что правило прозрачного прокси (redirect на порт 8080) активно и стоит в правильной позиции. Для полного перенаправления всего трафика через внешний прокси потребуется более сложная настройка с использованием Policy Based Routing.

Проблема Быстрая диагностика Решение
Нет интернета /interface print Проверить имя LAN-интерфейса
HTTPS не блокируется Проверить протокол сайта Использовать Layer 7 или IP-блокировку
Роутер тормозит /system resource print Уменьшить кэш или вынести прокси
Parent proxy не работает Проверить правило NAT redirect Убедиться, что трафик идёт через прокси

Заключение

Настройка Web Proxy на MikroTik — это практичное решение для контроля корпоративного трафика без дополнительных серверов и лицензий. За несколько шагов вы получаете: фильтрацию нежелательных сайтов, кэширование для экономии канала, логирование активности пользователей и возможность маршрутизировать трафик через внешние прокси-серверы.

Главное, что нужно помнить: встроенный прокси MikroTik хорошо справляется с HTTP-трафиком, но для полноценной защиты современной корпоративной сети, где 95% трафика — это HTTPS, его возможностей недостаточно. В таких случаях MikroTik используется как шлюз и маршрутизатор, а функции фильтрации и инспекции трафика передаются специализированным решениям.

Если ваша задача — направить трафик всей корпоративной сети через надёжный внешний прокси с фиксированным IP или пулом адресов, обратите внимание на прокси дата-центров — они обеспечивают высокую скорость и стабильное соединение, что критично при использовании в качестве parent proxy для целого офиса. Для задач, где важна максимальная анонимность и трафик не должен отлича