+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Настройка Mikrotik WireGuard для Protone VPN

Настройка Mikrotik WireGuard для Protone VPN, RouterOS

LNDmouse

Guest

03.07.2022 15:30:00

Привет, я новичок и пытаюсь настроить свой роутер Mikrotic hAP ac2 в режиме VPN-клиента с использованием протокола WireGuard для Proton VPN. После того, как я применяю команды из руководства по настройке Proton VPN для роутеров Mikrotik, роутер перестаёт отвечать, и интернет перестаёт работать.

Моя конфигурация: у меня Mikrotic hAP ac2 (RouterOS v7.3.1), который подключен через кабель Ethernet к роутеру от моего провайдера.

Инструкции, которые я использую: у меня есть инструкция по настройке и конфигурационный файл WireGuard с сайта Proton VPN.

Инструкция по настройке: https://protonvpn.com/support/wireguard-mikrotik-routers/

Моя конфигурация WireGuard:

[Interface]
Key for MikroTik Germany (via Switzerland)
NetShield = 1
Moderate NAT = off
VPN Accelerator = on
PrivateKey = *****
Address = 10.2.0.2/32
DNS = 10.2.0.1

[Peer]
CH-DE#1
PublicKey = *****
AllowedIPs = 0.0.0.0/0
Endpoint = 185.159.157.184:51820

Что я делаю: использую следующие команды для настройки роутера:

Пропускаю весь интернет-трафик через VPN-сервер:
/ip firewall address-list add address=192.168.88.0/24 list=under_protonvpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_protonvpn new-connection-mark=under_protonvpn passthrough=yes

Создаю конфигурации WireGuard:
/interface/wireguard/add name=protonwg01 private-key=" " comment="ProtonVPN interface"
/interface/wireguard/peers/add endpoint-address=185.159.157.184 endpoint-port=51820 public-key=" " allowed-address=0.0.0.0/1,128.0.0.0/1 interface=protonwg01
/ip/address/add address=10.2.0.2/32 interface=protonwg01
/ip/dns/set servers=10.2.0.1 allow-remote-requests=yes
/routing/table/add name=protonvpn_wg fib
/ip/firewall/mangle/add chain=prerouting src-address-list=under_protonvpn action=mark-routing new-routing-mark=protonvpn_wg passthrough=yes
/ip/route/add routing-table=protonvpn_wg dst-address=0.0.0.0/0 gateway=protonwg01 comment="ProtonVPN Wireguard default route"

После последней команды роутер перестаёт отвечать и интернет перестаёт работать. Я не могу зайти в веб-интерфейс роутера по адресу http://192.168.88.1. Чтобы попасть в роутер, мне приходится нажимать физическую кнопку сброса и восстанавливать настройки по умолчанию.

Буду очень благодарен, если кто-то поможет решить мою проблему.

flood9

Guest

05.01.2023 19:15:00

Привет, я новичок в RouterOS и только что наткнулся на эту тему. Пытался следовать инструкциям ProtonVPN и, как и автор первого сообщения, столкнулся с той же проблемой. Моя схема — USB-тетеринг с Android телефона на hEX rb750gr3. Планирую позже подключить точку доступа, но сначала пытаюсь всё остальное настроить. Мне удалось поставить mangle для изменения TTL, и, похоже, это работает правильно, так что моя последняя оставшаяся проблема — настройка ProtonVPN… Я прочитал советы в этой теме, но из-за отсутствия опыта и понимания не смог их реализовать. Что именно на последнем шаге ломает мою рабочую LTE WAN-схему и что можно сделать вместо этого (по возможности максимально просто =P)? Роб

teleport

Guest

19.01.2023 02:48:00

Командная строка:
Настройка интерфейса
/interface/wireguard/add name=protonwg00 private-key=“” comment=“ProtonVPN interface”

Добавить пира
/interface/wireguard/peers/add endpoint-address= endpoint-port=51820 public-key=“<public_key>” allowed-address=0.0.0.0/0 interface=protonwg00

Настроить IP-адрес для интерфейса
/ip/address/add address=10.2.0.2/30 interface=protonwg00

Пока оставляем DNS как публичный. Позже настроим на ProtonVPN DNS
/ip/dns/set servers=1.1.1.1 allow-remote-requests=yes

Добавить новую таблицу маршрутизации
/routing/table/add name=protonvpn_wg fib

Добавить маршрут по умолчанию для новой таблицы
/ip/route/add routing-table=protonvpn_wg dst-address=0.0.0.0/0 gateway=protonwg00 comment=“ProtonVPN Wireguard default route”

(Примечание: вышеуказанную настройку лучше делать через командную строку (предпочтительнее, чем winbox). Если позже запутаетесь с конфигурацией, лучше создать новый интерфейс с другим именем, чем пытаться перенастроить существующий.)

Перезагрузите роутер. После перезагрузки проверьте логи. Должно появиться сообщение, что RouterOS обнаружил, что protonwg00 подключён к интернету, и protonwg00 автоматически добавится в список WAN интерфейсов (/interface/interfacelist в winbox). Это значит, что интерфейс ProtonVPN работает корректно.

Далее нужно направить трафик в туннель. Используйте /Routing/Rules (в winbox или командной строке), чтобы отдельный трафик шел через таблицу маршрутизации protonvpn_wg (которая настроена использовать VPN-соединение как маршрут по умолчанию).

Пример:
src-address=0.0.0.0/0
dst-address=0.0.0.0/0
interface=“LAN1/VLAN1 пример”
Action=lookup-only-in-table
table=“protonvpn_wg”

Чтобы DNS трафик шёл через ProtonVPN DNS, используйте /ip/firewall/NAT, добавьте правило dst-nat с действием dst-nat (для протокола UDP порт 53 и вашего интерфейсного списка, например LAN — критерии для VPN DNS трафика) и IP 10.2.0.1 (DNS ProtonVPN) и порт 53. Можно добавить ещё одно правило для TCP.

Вот и всё. Это заставит весь трафик по указанным критериям идти в туннель, а DNS трафик — к ProtonVPN DNS.

Такой тип настройки даёт гибкость: можно отправлять в VPN туннель только определённый трафик (определённый вами), а остальной — через вашего провайдера.

Проверьте публичный IP устройства в LAN/VLAN1 — он должен показывать IP ProtonVPN. Проверьте на ipleak сайтах — вы также увидите IP ProtonVPN (а не DNS вашего провайдера или 1.1.1.1). Если видите DNS провайдера, то в /ip/dhcp-client для WAN-соединения снимите галочку с «use-peer DNS».

anav Guest	#4 0 19.01.2023 12:00:00 Proton предоставляет вам приватный ключ для использования в интерфейсе WG? Если нет, тогда Proton понадобится публичный ключ, сгенерированный на основе приватного ключа, предоставленного маршрутизатором MT.

teleport

Guest

19.01.2023 14:17:00

Да, Proton предоставляет приватный ключ. Вот пример информации, сгенерированной ProtonVPN:

[Interface]
Bouncing = 0
NetShield = 2
Moderate
NAT = off
NAT-PMP (перенаправление портов) = off
VPN Accelerator = включён
PrivateKey =
Address = 10.2.0.2/32
DNS = 10.2.0.1

[Peer]
US-NY#19
PublicKey = <>
AllowedIPs = 0.0.0.0/0
Endpoint = :51820

anav

Guest

04.06.2024 15:36:00

(1) Я бы убрал эту настройку по умолчанию… /ip dns static add address=192.168.88.1 comment=defconf name=router.lan

(2) На самом деле, source address здесь не нужен, но и ничего страшного. add action=masquerade chain=srcnat out-interface=wireguard-inet src-address=192.168.88.0/24

МАРШРУТЫ ПОЛНОСТЬЮ НЕСУМКА.

(3) Не нужно создавать этот маршрут вручную, так как он уже создаётся, когда вы вводите IP адрес для сети wireguard. Удалите его. /ip route add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.2.0.1 pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10

(4) Не понимаю, зачем вообще этот маршрут в вашей конфигурации, тоже удалите. /ip route add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.2.0.1 pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10

(5) ОТСУТСТВУЕТ ОСНОВНОЙ МАРШРУТ В ТАБЛИЦЕ ISP???

(6) Зачем у вас дублируется это правило… какая у него цель? Удаляйте оба, они бесполезны. add disabled=no dst-address=149.22.94.1/32 gateway=192.168.1.1 routing-table=main suppress-hw-offload=no

++++++++++++++++++++++++++++++++++++++++

Что вам нужно:

а. Основной маршрут для ISP. Возможно, его не видно, потому что в настройках IP DHCP CLIENT у вас стоит default-route=yes. Проверьте, пожалуйста. Если нет — тогда вам нужен следующий маршрут:

/ip route add dst-address=0.0.0.0/0 gateway=ISP-gateway-IP routing-table=main
add dst-address=0.0.0.0/0 gateway=wireguard-inet routing-table=usePROTON

Далее нужны правила маршрутизации:

/routing rule add min-prefix=0 action=lookup-only-in-table table=main comment=“allow local traffic”
add src-address=192.168.88.0/24 action=lookup table=usePROTON comment=“forces subnet into tunnel”

Потом отрапортуйте, что происходит. Если всё ещё не работает — добавьте следующие настройки.

Для подстраховки с DNS, если PROTON выдал IP DNS:

/ip route add dst-address=proton-dns-ip gateway=wireguard-inet table=main
/ip firewall nat add chain=dstnat action=dst-nat src-address=192.168.88.0/24 dst-port=53 protocol=udp to-address=proton-dns-ip
/ip firewall nat add chain=dstnat action=dst-nat src-address=192.168.88.0/24 dst-port=53 protocol=tcp to-address=proton-dns-ip

Важно: если туннель wireguard перестанет работать (сломается), придется отключить оба dstnat правила. Есть способ автоматизировать это, сейчас над этим работают.

anav

Guest

20.06.2025 15:01:00

/interface bridge add admin-mac=DC:2C:6E:5F:1C:87 auto-mac=no comment=defconf name=bridge
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-5F1C8B wireless-protocol=802.11
/interface wireless set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-5F1C8C wireless-protocol=802.11
/interface wireguard add comment="ProtonVPN interface" listen-port=60085 mtu=1420 name=protonwg01
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile set [ find default=yes ] html-directory=hotspot
/ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add address-pool=default-dhcp interface=bridge name=defconf
/routing table add fib name=protonvpn_wg
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=ether5
/interface bridge port add bridge=bridge comment=defconf interface=wlan1
/interface bridge port add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface list member add comment=defconf interface=bridge list=LAN
/interface list member add comment=defconf interface=ether1 list=WAN
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=protonServerIP { любой endpoint, который предоставляет proton } endpoint-port=51820 interface=protonwg01 public-key="*** /KLlMHc=" persistent-keep-alive=30s
/ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip address add address=10.2.0.2/24 interface=protonwg01 network=10.2.0.0
/ip dhcp-client add comment=defconf interface=ether1
/ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=10.2.0.1 gateway=192.168.88.1
/ip dns set allow-remote-requests=yes servers=1.1.1.1,9.9.9.9
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat out-interface=protonwg01
/ip firewall nat add action=dstnat chain=dstnat src-address=192.168.88.0/24 dst-port=53 protocol=udp to-address=10.2.0.1
/ip firewall nat add action=dstnat chain=dstnat src-address=192.168.88.0/24 dst-port=53 protocol=tcp to-address=10.2.0.1
/ip route add dst-address=0.0.0.0 gwy=ISPgatway_IP table=main
/ip route add dst-address=0.0.0.0 gwy=protonwg01 table=protonvpn_wg
/routing rule add dst-address=192.168.88.0/24 action=lookup table=main
/routing rule add src-address=192.168.88.0/24 action=lookup table=protonvpn_wg
/system clock set time-zone-name=Europe/Moscow
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

Примечания:
Не совсем уверен, включает ли WANIP уже основной маршрут по умолчанию или нет. Я предположил, что нет, поэтому вручную прописал маршрут в таблице main.

roberthedlund

Guest

01.02.2023 11:02:00

Я только что получил ответ от ProtonVPN, смотрите ниже.

«Хотели бы отметить, что наша команда уже в курсе этого конкретного поведения на некоторых роутерах Mikrotik и сейчас работает над обновлением нашего официального руководства. Однако на данный момент мы не можем назвать конкретные сроки, когда это произойдет. Тем временем, пожалуйста, попробуйте настроить ваше Wireguard-подключение, используя инструкции ниже:»

/interface/wireguard/add listen-port=13231 mtu=1420 name=wireguard-inet private-key="<YOUR PRIVATE KEY>"

/ip/address/add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0

/interface/wireguard/peers/add allowed-address=0.0.0.0/0 endpoint-address=<YOUR ENDPOINT IP> endpoint-port=51820 interface=wireguard-inet persistent-keepalive=25s public-key="<YOUR PUBLIC KEY>"

/ip/firewall/nat/add action=masquerade chain=srcnat out-interface=wireguard-inet src-address=192.168.88.0/24

/ip/route/add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.2.0.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

/ip/route/add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=10.2.0.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

/ip/route/add disabled=no dst-address=<YOUR ENDPOINT IP>/32 gateway=[/ip dhcp-client get [find interface=ether1] gateway] routing-table=main suppress-hw-offload=no

/ip/dns/set servers=10.2.0.1

/ip/dhcp-client/set 0 use-peer-dns=no

Я проверял — всё работает. Есть у кого-то мысли по конфигурации?

abracadabricx

Guest

29.06.2023 21:59:00

Если честно, я только что настроил такую же конфигурацию — и сразу же всё заработало. Единственное отличие: у моего роутера статический внешний IP, а не [/ip dhcp-client get [find interface=ether1] gateway]. Настройка, кажется, довольно шустрая, даже лучше, чем в предыдущих инструкциях ProtonVPN (и их разных вариациях).

alexeyvinokurov

Guest

#10

04.06.2024 09:46:00

Всем привет! Пытаюсь настроить Mikrotik hap ac2 для работы через мой платный Proton. Прочитал вот эту страницу, но ничего не работает. Применил следующие команды в терминале:

/interface wireguard add listen-port=13231 mtu=1420 name=wireguard-inet private-key=“”
/ip address add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=149.22.94.1 endpoint-port=51820 interface=wireguard-inet persistent-keepalive=25s public-key=“PbK”
/ip route add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.2.0.1 pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip route add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=10.2.0.1 pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip route add disabled=no dst-address=149.22.94.1/32 gateway=[/ip dhcp-client get [find interface=ether1] gateway] routing-table=main suppress-hw-offload=no

С таким конфигом сайты не открываются. Но при использовании этого конфига Windows Proton может подключиться к тому же серверу USGA210 через Mikrotik. Странно! Почему Proton может подключиться, а остальные сайты нет? Помогите, пожалуйста!

anav

Guest

#11

04.06.2024 10:34:00

Опубликуйте ваш конфигурационный файл командой /export file=любоеназвание (без серийного номера роутера, любой публичной WANIP информации, ключей). Пожалуйста, предоставьте инструкции по настройке (без ключей), как в посте выше под номером 14. Кстати, они дали IP-адрес DNS для использования?

alexeyvinokurov

Guest

#12

04.06.2024 14:23:00

Смотрите приложенную конфигурацию. Я скопировал инструкции из поста №14, заменив Endpoint, Public и Private ключи. Похоже, что-то не так в приложенной конфигурации… До этих попыток настроить wireGuard я по ошибке восстановил какой-то .rsc файл, из-за чего роутер перестал работать. После этого пришлось использовать netinstall, чтобы его загрузить. Большое спасибо! hap-ac2-config-2.rsc (8 КБ)

mitsuhamone Guest	#13 0 20.06.2025 04:53:00 Учебник работает идеально! Спасибо! Я искал инструкцию по настройке WireGuard ProtonVPN на моём Mikrotik с PPPoE-соединением. Оказалось, что достаточно просто сделать так: настроить WG → настроить таблицу маршрутизации → настроить правило маршрутизации → настроить IP-маршрут. Нет необходимости настраивать Firewall Mangle, NAT и прочее.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры