Импорт маршрутов на MikroTik через .rsc скрипт

MikroTik умеет импортировать .rsc скрипты с командами маршрутизации. NetRoute Pro генерирует именно такой формат — достаточно скачать, загрузить и импортировать.

Что понадобится

• Роутер MikroTik с RouterOS 6.x или 7.x
• Настроенный VPN-туннель (WireGuard, OpenVPN, IKEv2, L2TP и т.д.)
• Расширение NetRoute Pro в Chrome
• Доступ через WinBox, WebFig или SSH

Шаг 1. Сгенерируйте .rsc в NetRoute Pro

1. Откройте нужный сайт в Chrome
2. Запустите расширение NetRoute Pro
3. Выберите платформу MikroTik
4. Укажите шлюз — IP вашего VPN-интерфейса (в отличие от Keenetic, здесь шлюз используется)
5. Маска агрегации /24 (рекомендуется)
6. Нажмите Analyze Website
7. Скачайте результат как .rsc файл

Шаг 2. Загрузите файл на MikroTik

Есть два удобных способа:

• WinBox / WebFig: откройте раздел Files и перетащите .rsc в окно
• SCP: из терминала вашего компьютера выполните

  scp routes.rsc admin@192.168.88.1:/

Шаг 3. Импортируйте в терминале

Откройте терминал MikroTik (через WinBox → New Terminal или по SSH) и выполните:

/import file-name=routes.rsc

RouterOS выведет прогресс импорта. Все команды из файла будут применены — маршруты появятся в /ip route.

Пример содержимого .rsc:

/ip route add dst-address=104.21.32.0/24 gateway=10.0.0.1
/ip route add dst-address=172.67.182.0/24 gateway=10.0.0.1

Альтернатива: Address Lists + правила маршрутизации

Для более гибкой маршрутизации — подход через address-list:

1. Отредактируйте .rsc, чтобы вместо /ip route add использовать

   /ip firewall address-list add list=vpn-routes address=X.X.X.X/24

2. Импортируйте как обычно: /import file-name=routes.rsc
3. Добавьте правило маршрутизации, которое отправит трафик через VPN:

   /ip route rule add src-address-list=vpn-routes action=lookup table=vpn
   /ip route rule add dst-address-list=vpn-routes action=lookup table=vpn

Так список легко переиспользовать — например, в правилах firewall или mangle для маркировки пакетов.

Альтернатива: WireGuard AllowedIPs

Если используете WireGuard, можно обойтись без статических маршрутов и задать подсети прямо в параметре AllowedIPs пира:

1. В NetRoute Pro выберите платформу WireGuard
2. Скопируйте строку AllowedIPs
3. В MikroTik выполните:

   /interface/wireguard/peers/set [find] allowed-address=...

Проверка

Убедитесь, что маршруты применились:

/ip route print where dst-address~"104.21"

С клиента в LAN проверьте, что трафик идёт через VPN:

tracert example.com     # Windows
traceroute example.com  # Linux/macOS

Первые хопы должны идти через ваш VPN-шлюз.

Частые проблемы

Ошибка синтаксиса при импорте

Проверьте, что .rsc скачался полностью и не содержит HTML. Откройте его в любом текстовом редакторе — должны быть команды /ip route add ..., одна на строку.

Маршруты есть, но трафик не идёт

• Проверьте настройки NAT/masquerade на VPN-интерфейсе: /ip firewall nat print
• Убедитесь, что ваш VPN-интерфейс активен (/interface print)
• Проверьте, что шлюз в маршрутах указывает на рабочий VPN-туннель

IP ротируется — маршрут не работает

CDN вроде Cloudflare и Fastly периодически меняют IP. Пересоздайте .rsc в NetRoute Pro с включённой RIPE BGP оптимизацией — подставятся BGP-префиксы провайдера.

Слишком много маршрутов

MikroTik без проблем держит тысячи статических маршрутов. Если нужно покрыть действительно большие объёмы — используйте WireGuard с соответствующими AllowedIPs.

Для продвинутых: BGP

Для больших масштабов можно настроить BGP-пиринг и получать маршруты динамически от внешнего источника. Для большинства сценариев этого не требуется — импорт .rsc покрывает задачу целиком.

Официальная документация

• RouterOS: IP Routing (en)
• RouterOS: Address Lists (en)
• RouterOS: Scripting / import (en)