Создание прокси для VPN (обновлённый скрипт Wireguard)

Привет! Я хотел сделать примерно то же самое. В итоге я использовал встроенный веб-прокси с выделенной VLAN, затем отметил исходящий трафик меткой маршрутизации и направил этот трафик через IPSec-интерфейс. VLAN я создал только для того, чтобы добавить к нему IP-адрес, который потом использую как src-адрес для трафика прокси.

/interface l2tp-client  
add connect-to=[vpn server] disabled=no ipsec-secret=[shared secret] name=my_vpn password=[password] use-ipsec=yes user=[username]

/interface vlan  
add interface=bridge name=vlan100 vlan-id=100

/ip address  
add address=192.168.100.1/24 interface=vlan100 network=192.168.100.0

/ip proxy  
set anonymous=yes enabled=yes src-address=192.168.100.1

/ip firewall mangle  
add action=mark-routing chain=output new-routing-mark=through_vpn passthrough=yes src-address=192.168.100.1

/ip route  
add distance=1 gateway=my_vpn routing-mark=through_vpn

Теперь вы можете указать в браузере прокси по адресу [router ip address]:8080, и трафик будет идти через VPN. Если хотите ловить весь веб-трафик без настройки прокси в браузере, можете сделать прокси прозрачным: https://wiki.mikrotik.com/wiki/Manual:IP/Proxy#Transparent_proxy_configuration_example

Надеюсь, это поможет.

Это работает только с Google: я ввожу «мой IP», и вижу, что это VPN, но страницы грузятся ужасно медленно, чаще всего происходит тайм-аут. Счётчик VLAN тоже не показывает никаких данных по трафику. Что-то здесь не в порядке, интересно, как бы ты настроил это с использованием ikev2 в моём случае? Добавлю: возможно, дело в VPN-сервере — я пробовал разные бесплатные серверы Proton, и некоторые из них работали нормально, без тайм-аутов и прочего. Так что, думаю, на этом можно закрыть эту тему.

Наконец-то удалось запустить Wireguard. Я использую ProtonVPN, можно просто зарегистрироваться бесплатно и скачать конфиги с их сайта, выбрав страну и так далее. #ваши клиенты будут выходить через VPN

/ip firewall address-list add address=192.168.0.0/24 list=under_protonvpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_protonvpn new-connection-mark=under_protonvpn passthrough=yes

/interface/wireguard/add name=protonwg01 private-key="paste_here" comment="ProtonVPN интерфейс"
/interface/wireguard/peers/add endpoint-address=paste_here endpoint-port=51820 public-key="paste_here" allowed-address=0.0.0.0/1,128.0.0.0/1 interface=protonwg01

/ip/address/add address=10.2.0.2/30 interface=protonwg01
# поставьте 10.2.0.1 в качестве DNS на DHCP сервере ваших клиентов...

/routing/table/add name=protonvpn_wg fib
/ip/firewall/mangle/add chain=prerouting src-address-list=under_protonvpn action=mark-routing new-routing-mark=protonvpn_wg passthrough=yes
/ip/route/add routing-table=protonvpn_wg dst-address=0.0.0.0/0 gateway=protonwg01 comment="Основной маршрут Wireguard ProtonVPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=under_protonvpn tcp-flags=syn tcp-mss=!0-1375
/ip firewall nat add chain=srcnat action=masquerade out-interface=protonwg01

И, кроме того, чтобы он работал как прокси для браузеров на вашем роутере по адресу IP:8080

/interface vlan add interface=bridge1 name=vlan100 vlan-id=100
/ip address add address=192.168.100.1/24 interface=vlan100 network=192.168.100.0
/ip proxy set anonymous=yes enabled=yes src-address=192.168.100.1
/ip firewall mangle add action=mark-routing chain=output new-routing-mark=through_vpn passthrough=yes src-address=192.168.100.1
/ip route add distance=1 gateway=protonwg01 routing-mark=through_vpn

Вы можете управлять и приоритизировать это, создавая специфические правила mangle для вашего QoS дерева по желанию.