+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Wireguard VPN site to site — всё за роутерами провайдеров.

Wireguard VPN site to site — всё за роутерами провайдеров., RouterOS

rapix61

Guest

02.05.2023 17:17:00

Я хотел бы настроить Wireguard VPN с использованием устройств Mikrotik между моим офисом и некоторыми клиентами. С интересом прочитал руководство anav https://forum.mikrotik.com/viewtopic.php?t=182340, но из-за объёма статьи немного запутался. Моя цель — иметь возможность через Wireguard VPN получить доступ к устройствам, расположенным в сетях клиентов. Для этого я планировал использовать роутеры Mikrotik, которые будут установлены в LAN клиентов и в моей LAN. Роутеры клиентов, включая мой, всегда имеют статический IP-адрес и доступны для проброса портов. В любом случае, роутеры Mikrotik будут всегда стоять за роутером, который является шлюзом по умолчанию для LAN. Некоторым клиентам также нужно иметь возможность через VPN обращаться к серверам в моей локальной сети. Хотелось бы узнать, может ли кто-то помочь мне с настройкой Wireguard VPN и файрвола на Mikrotik, а также с необходимыми статическими маршрутами на роутере ISP. Прикрепляю схему сети. ЗАДАЧИ: ПК А должен иметь доступ к АТС C и D через VPN ТЕЛ B должен иметь доступ к АТС A через VPN ПК B должен иметь доступ к СЕРВЕРУ A через VPN ПК А должен иметь возможность управлять всеми роутерами Mikrotik B1, C1, D1. Спасибо всем.

rapix61

Guest

17.05.2023 14:04:00

@anav Привет, anav! Я прочитал твой пост viewtopic.php?t=182340, особенно конфигурацию сценария 3. У меня вопрос: если устройства на стороне B, к которым я хочу получить удалённый доступ, находятся за первым роутером (ISP), но не за eth2 мAP, нужно ли в этом случае менять конфигурацию (если, конечно, это возможно)? Как думаешь, можно ли настроить маршрутизаторы MT за роутерами провайдера, настроенными в режиме моста, как на стороне B в твоей конфигурации?

anav

Guest

17.05.2023 14:37:00

Я так понимаю, ты спрашиваешь, должны ли устройства, которые нужно подключить, быть за MT роутером или находиться в той же подсети LAN, что и роутер… Хороший вопрос! Проблема в том, что я не знаком с роутерами провайдера и не знаю, что с ними можно сделать. Как заставить трафик пользователей идти через туннель, если у меня нет контроля над этим роутером? Так что, да, было бы гораздо проще, если устройства, которые должны связаться друг с другом через Wireguard, находились за MT роутером. Точно два компьютера и телефон должны быть за MT роутером (потому что это единственный ясный способ заставить их заходить в wg-туннель). А вот IP-АТС перемещать не обязательно, так как они не инициируют трафик, и мы можем source NATить трафик, исходящий с устройств MT, чтобы ответный трафик возвращался к MT и выходил уже через туннель. Ещё одна возможность — статические маршруты на роутерах провайдера? Если это возможно, то, может, не придётся передвигать устройства! Например, мы укажем телефону B статический маршрут до IP PBXA, чтобы он шел к IP локального Mikrotik в LAN. Поскольку все роутеры имеют публичные IP, Wireguard, вроде бы, не должен создавать проблем, НО! Есть вопрос — имеешь ли ты доступ к пробросу порта прослушивания хотя бы на одном из роутеров клиентов к Mikrotik (иначе публичный IP фактически недоступен)? Или же можно создать статические маршруты?

rapix61

Guest

18.05.2023 08:16:00

У меня полный контроль над роутером провайдера. Я могу настраивать статические маршруты и проброс портов, при этом любой сайт доступен по статическому адресу или ddns fqdn. Моя идея — использовать MT в локальной сети, не трогая текущие подключения, за исключением возможности добавлять статические маршруты и проброс портов на роутере провайдера, которым, как я уже говорил, я управляю.

Для начала, чтобы упростить задачу и разобраться, я бы начал с первых двух узлов, настроенных так, как показано на диаграмме ниже. Хотелось бы, чтобы устройства в локальной сети Site A могли подключаться к локальной сети Site B. При этом связь всегда должна инициироваться с Site A, хотя у меня есть сомнения, что будет, если TEL1 позвонит с телефона на Site B.

Решайте сами, какая настройка двух MT будет лучше всего, исходя из предоставленных данных. Спасибо.

anav

Guest

18.05.2023 10:46:00

Я останусь при исходной схеме, не собираюсь прыгать между разными диаграммами и частичными решениями, когда нужно учитывать всю систему для любого проекта. В любом случае, ты уже сам ответил на большинство своих вопросов и можешь начинать.

rapix61

Guest

18.05.2023 11:01:00

С этой реальной тестовой средой я могу начать экспериментировать с тем, что спроектировал. Я максимально сократил количество узлов, чтобы начать. Позже внесу необходимые изменения для интеграции оставшихся узлов. Я не прошу вас писать мне конфигурации, а лишь дать рекомендации, чтобы начать правильно. В конце концов, если бы я мог справиться сам, я бы не открывал этот пост.

Rox169

Guest

18.05.2023 11:14:00

Привет, на форуме можно найти очень сложное руководство. Но руководство от MT довольно простое. https://help.mikrotik.com/docs/display/ROS/WireGuard У тебя есть хотя бы один публичный IP-адрес? На нём будет сервер. Если нет, нужно попросить своего провайдера сделать проброс портов.

anav Guest	#8 0 18.05.2023 19:54:00 Маршрутизатор ISP Статические маршруты с удалёнными IP-адресами назначения должны быть направлены на microtik LANIP. ISPA пересылает порт Wireguard для прослушивания на mikrotikA LANIP. Маршрутизаторы MT (меньше, чем стандартная настройка) Простая базовая настройка, минимум правил. Для маршрутизатора A нужен только входящий фильтр (все остальные правила не требуются). Адрес ISP для маршрутизатора mikrotik в сети ISP LAN Адрес ISP для интерфейса Wireguard Основной маршрут: add dst-address=0.0.0.0/0 gateway=ISP LAN gateway IP table=main Другие маршруты (сколько угодно удалённых входящих подсетей и/или направленных в удалённые подсети): dst-address=remotesubnet gateway=wireguard-Interface-Name table=main Разрешённые адреса ------> 10.10.10.0/24, remoteSubnet(s), которые будут либо заходить на этот маршрутизатор, либо к которым будут обращаться локальные пользователи { настройка для всех маршрутизаторов, кроме A! } [ОДИН ПИР] Примечание: удалённые подсети должны совпадать с "Другими маршрутами". Разрешённые адреса для маршрутизатора A { несколько пиров } [peerB] 10.10.10.2/32, remoteSubnets у маршрутизатора B (либо поступающие на маршрутизатор A, либо посещаемые локальными пользователями маршрутизатора A) [peerC] 10.10.10.3/32, remoteSubnets у маршрутизатора C (либо поступающие на маршрутизатор A, либо посещаемые локальными пользователями маршрутизатора A) [peerD] 10.10.10.4/32, remoteSubnets у маршрутизатора D (либо поступающие на маршрутизатор A, либо посещаемые локальными пользователями маршрутизатора A) [peerE] 10.10.10.5/32 { ноутбук администратора для удалённого доступа } [peerF] 10.10.10.6/32 { смартфон/планшет администратора для удалённого доступа }

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры