+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

WireGuard MT-сервер / Android-клиент

WireGuard MT-сервер / Android-клиент, RouterOS

bourneagainsh

Guest

18.11.2021 19:19:00

Я использую RouterOS Development 7.1rc6. Мой роутер RB4011 — это «WG сервер», а Android-смартфоны (около 20+) — «WG клиенты», которые подключаются к серверу для доступа (некоторые из них будут иметь доступ к LAN IP 192.168.88.1/24 на этом роутере и к WAN RB4011 через VPN для каждого подключенного клиента). Роутер RB4011 «WG сервер» имеет публичный IPv4-адрес WAN на порту ether1, а мост — LAN с ether2-10 + sfp-sfpplus1 на 192.168.88.1/24 [10-254] с подключёнными разными серверами. Пока от провайдера нет IPv6.

При настройке роутера я принял стандартную конфигурацию «Firewall»:
/ip firewall filter export
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

И вот стандартные NAT-настройки:
/ip firewall nat export
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Я использую следующие настройки, частично заимствованные из руководства по подключению двух сайтов через WireGuard: https://help.mikrotik.com/docs/display/ROS/WireGuard
/interface wireguard add listen-port=13231 name=wireguard1
/interface wireguard print public-key="SERVER-PUB-KEY="

Или воспользуйтесь WinBox → Wireguard - Public key: "SERVER-PUB-KEY="

Далее установлен Wireguard на Android через приложение https://f-droid.org/en/packages/com.wireguard.android/

Создаём с нуля:
– Интерфейс
— Имя: WG-VPN
— Приватный ключ: ->/-> “создать”
— Публичный ключ: (автоматически сгенерирован, например “PUB-KEY-ANDROID=”)
— Адреса: 10.1.101.1/24
— DNS: 1.0.0.1

Добавляем Peers:
– Peer
— Публичный ключ: "SERVER-PUB-KEY="
— Предварительный ключ: нет
— Постоянное подключение Keepalive: нет
— Endpoint: RB4011-WAN-IP:13231
— Разрешённые IP: 0.0.0.0/0

Остальные команды для настройки Wireguard клиента:
/interface wireguard peers add allowed-address=10.1.101.0/24 endpoint-port=13231 interface=wireguard1 public-key="PUB-KEY-ANDROID="
/ip address add address=10.255.255.1/30 interface=wireguard1
/ip route add dst-address=10.1.101.0/24 gateway=wireguard1
/ip firewall filter add action=accept chain=input dst-port=13231 protocol=udp

На этом этапе VPN работает, но есть вопрос: есть ли более простой способ создавать клиентов или файлы “*.conf” для Wireguard клиентов? Мне нравится веб-генератор для CloudFlare WRAP клиентов: https://github.com/maple3142/cf-warp
Или простой скрипт для управления Wireguard VPN пользователями IPv4/6: https://github.com/tmiklas/wg_config с возможностью быстро генерировать QR-код через shell:
qrencode -t ansiutf8 < ~/wg_config/users/alice/client.conf

Но проблема в том, что при подключении нет доступа к LAN IP 192.168.88.1/24 [10-254]. Я пробовал зайти на веб-интерфейс MikroTik 192.168.88.1 — ничего, пробовал приложение MikroTik на Android — (ОБНАРУЖЕНО), но тоже ничего.

Буду признателен за любую помощь.

jvanhambelgium Guest	#2 0 07.01.2022 15:15:00 Ну, он «отключён», так что особо не мешает, но всё равно лучше убрать этот беспорядок.

hazyd Guest	#3 0 07.01.2022 01:02:00 Думаю, ты не добавил интерфейс в список LAN, поэтому фаервол его блокирует.

anav

Guest

07.01.2022 01:25:00

Первый совет — обновись до стабильной версии 7.1.1. У одного android-устройства, как я понимаю, должен быть IP в таком формате? – Адреса: 10.1.101.2/32 (одиночный IP)?? Остальная часть клиента выглядела нормально… Что касается сервера RB4011:

FROM:
/interface wireguard peers add allowed-address=10.1.101.0/24 endpoint-port=13231 interface=wireguard1 public-key=“PUB-KEY-ANDROID=”
/ip address add address=10.255.255.1/30 interface=wireguard1
/ip route add dst-address=10.1.101.0/24 gateway=wireguard1
/ip firewall filter add action=accept chain=input dst-port=13231 protocol=udp

TO
/interface wireguard peers add allowed-address=10.1.101.2/32 endpoint-port=13231 interface=wireguard1 public-key=“PUB-KEY-ANDROID=”
/ip address add address=10.1.101.1/24 network=10.1.101.0 interface=wireguard1
/ip route add dst-address=10.1.101.0/24 gateway=wireguard1 (не обязательно, так как IP-адрес выше уже задан!!!)
/ip firewall filter add action=accept chain=input dst-port=13231 protocol=udp {хорошо, хотя можно точнее указать in-interface-list=WAN}

Если вы не используете список адресов в файрволе, IP-маршруты не будут создаваться динамически и придется задавать маршруты вручную:
dst-address=10.1.101.2/32 gwy=wireguard interface.

Если планируете подключать несколько android-устройств с разными IP, убедитесь, что используете одиночные IP-адреса в подсети, описанной указанным IP, и тогда всё будет работать без проблем.

jvanhambelgium

Guest

07.01.2022 06:55:00

Хотя можно было бы сделать и так, я решил поступить иначе. Создал отдельные списки интерфейсов WG-ZONE и ZT-ZONE для трафика типов Wireguard и ZeroTier и поместил туда интерфейсы «wireguard1» и «zerotier1». Я не считаю входящие пакеты с этих зон/мест «LAN» с точки зрения «зоны безопасности/уровня доверия», так понятнее в политике. Конечно, при создании правил нужно будет чуть внимательнее следить, чтобы разрешить трафик в этих зонах и обратно.

anav

Guest

07.01.2022 11:50:00

Неплохая идея, jvan, это определённо вариант. Если это касается только меня, админ не слишком волнуется. Но если речь о нескольких других людях — уже другая ситуация. LAN-интерфейс всё же не так уж плох, если у тебя отдельный интерфейс для управления и в конфигурации настроены правила drop all. В любом случае, в принципе я согласен, что нужно контролировать, где и когда разрешён трафик.

bourneagainsh

Guest

07.01.2022 13:52:00

Конечно, я уже на версии 7.1.1, но в ноябре, когда я писал, у меня была ещё 7.1rc6. Да, ты прав, моя ошибка, исправляю: для первого клиента должно быть 10.1.101.1/32?

/interface wireguard peers print
/interface wireguard peers edit number=0 allowed-address 10.1.101.1/32
Ctrl+o=сохранить и выйти

У моего Android-клиента в интерфейсе стоит адрес 10.1.101.1/32

/ip address print
/ip address disable numbers=1
/ip address add address=10.1.101.1/24 network=10.1.101.0 interface=wireguard1

#Разве не должен быть 10.1.101.0/24?

/ip address print
Flags: X, D - DYNAMIC
Столбцы: ADDRESS, NETWORK, INTERFACE

ADDRESS NETWORK INTERFACE
;;; defconf
0 192.168.88.1/24 192.168.88.0 bridge
1 X 10.255.255.1/30 10.255.255.0 wireguard1
2 D xxx.xxx.xxx.xxx/26 xxx.xxx.xxx.xxx ether1
3 10.1.101.1/24 10.1.101.0 wireguard1

/ip firewall filter print
/ip firewall filter edit number=7 value-name=in-interface-list WAN
Ctrl+o=сохранить и выйти

/ip route print
Flags: D - DYNAMIC; A - ACTIVE; c, d, y - COPY
Столбцы: DST-ADDRESS, GATEWAY, DISTANCE

DST-ADDRESS GATEWAY DISTANCE
DAd 0.0.0.0/0 xxx.xxx.xxx.xxx 1
DAc 10.1.101.0/24 wireguard1 0
DAc xxx.xxx.xxx.xxx/26 ether1 0
DAc 192.168.88.0/24 bridge 0

Но сейчас туннель вообще не работает. Упс.

bourneagainsh Guest	#8 0 07.01.2022 13:54:00 Не мог бы ты, пожалуйста, выложить полную настройку wg для тех, кто не очень силён в сетевых делах?

anav

Guest

07.01.2022 13:55:00

Я бы не стал использовать .1, а начал бы с 10.1.101.2/32, как я и писал. Сейчас гляну конфигурацию. Не понимаю, откуда взялась эта строка. 1 X 10.255.255.1/30 10.255.255.0 wireguard1?? Лучше выложи свою конфигурацию через /export hide-sensitive file=anynameyouwish.

bourneagainsh Guest	#10 0 07.01.2022 14:11:00 /интерфейс список участник добавить интерфейс=wireguard1 список=LAN Выглядит правильно?

bourneagainsh Guest	#11 0 07.01.2022 14:13:00 Сетевые настройки — это не то, что мне нравится. Всё было методом проб и ошибок, начиная с настройки здесь: https://help.mikrotik.com/docs/display/ROS/WireGuard

bourneagainsh

Guest

#12

07.01.2022 14:34:00

Я внес правки в конфигурацию, добавив немного неважной информации… # jan/07/2022 15:14:04, RouterOS 7.1.1
# software id = 3HDX-880N
#
# модель = RB4011iGS+5HacQ2HnD
# серийный номер = AAAAAAAAAAAAAAA
/interface bridge add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX comment="Wireless 5 GHz chip model: QCA9984" country="xxxxxxxxxxxx" disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge secondary-frequency=auto ssid=XXXXXX wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country="xxxxxxxxxxxx" disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=xxxxxx wireless-protocol=802.11

/interface wireless manual-tx-power-table set wlan1 comment="Wireless 5 GHz chip model: QCA9984"
/interface wireless nstreme set wlan1 comment="Wireless 5 GHz chip model: QCA9984"

/interface wireguard add comment=WIREGUARD listen-port=13231 mtu=1420 name=wireguard1

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface lte apn
set [ find default=yes ] ip-type=ipv4

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik

/ip kid-control
add fri=0s-1d mon=0s-1d name=system-dummy sat=0s-1d sun=0s-1d thu=0s-1d tue=0s-1d tur-fri=0s-1d tur-mon=0s-1d tur-sat=0s-1d tur-sun=0s-1d tur-thu=0s-1d tur-tue=0s-1d tur-wed=0s-1d wed=0s-1d

/ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add address-pool=dhcp interface=bridge name=defconf

/port
set 0 name=serial0
set 1 name=serial1

/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks

/routing table
add fib name=""

/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6
add bridge=bridge comment=defconf ingress-filtering=no interface=ether7
add bridge=bridge comment=defconf ingress-filtering=no interface=ether8
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2

/ip neighbor discovery-settings set discover-interface-list=LAN
/ip settings set max-neighbor-entries=8192

/ipv6 settings set max-neighbor-entries=8192

/interface detect-internet set detect-interface-list=all

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=wireguard1 list=LAN

/interface wireguard peers
add allowed-address=10.1.101.1/32 endpoint-port=13231 interface=wireguard1 public-key="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.255.255.1/30 disabled=yes interface=wireguard1 network=10.255.255.0
add address=10.1.101.1/24 interface=wireguard1 network=10.1.101.0

/ip dhcp-client add comment=defconf interface=ether1

/ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns set servers=1.1.1.1,1.0.0.1
/ip dns static add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall address-list
add address=xxx.xxx.xxx.xxx/26 comment="xxxxxxxx" list=allowed-in
add address=13.230.0.0/15 comment=AMAZON-NRT list=block-in

/ip firewall filter
add action=accept chain=input comment="defconf: принять established, related, untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: отбросить invalid" connection-state=invalid
add action=drop chain=input comment="defconf: отбросить invalid" connection-state="" log=yes src-address-list=block-in
add action=accept chain=input comment="defconf: принять ICMP" log=yes protocol=icmp src-address-list=allowed-in
add action=accept chain=input comment="принять SSH / IP адреса" dst-port=22 log=yes protocol=tcp src-address-list=allowed-in
add action=accept chain=input comment="defconf: принять WinBox / IP адреса" dst-port=8291 log=yes protocol=tcp src-address=xxx.xxx.xxx.xxx/28
add action=accept chain=input comment=WIREGUARD dst-port=13231 in-interface-list=WAN log=yes protocol=udp
add action=accept chain=input comment="defconf: принять локальный loopback (для CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: отбросить всё, что не из LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: принять внутреннюю ipsec политику" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: принять исходящую ipsec политику" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: принять установленное, связанное, непроверенное" connection-state=established,related,untracked
add action=accept chain=forward disabled=yes src-address=10.1.101.0/24
add action=accept chain=forward disabled=yes dst-address=10.1.101.0/24
add action=drop chain=forward comment="defconf: отбросить invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: отбросить всё с WAN, что не DSTNAT" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: маскарадинг" ipsec-policy=out,none out-interface-list=WAN

/ip service set www-ssl disabled=no
/ip ssh set host-key-size=8192 strong-crypto=yes
/ip upnp set enabled=yes

/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external

/system clock set time-zone-name=Europe/xxxxxxx

/system identity set name=RB4011iGS+5HacQ2HnD

/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive

/system ntp client set enabled=yes
/system ntp client servers
add address=xx.pool.ntp.org
add address=0.xx.pool.ntp.org
add address=1.xx.pool.ntp.org
add address=2.xx.pool.ntp.org
add address=3.xx.pool.ntp.org

/system resource irq rps set sfp-sfpplus1 disabled=no

/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

bourneagainsh

Guest

#13

07.01.2022 14:51:00

#wg peers Как рекомендовано, клиенты начнут с xxx.xxx.xxx.2/32
/interface wireguard peers print
/interface wireguard peers edit number=0 allowed-address 10.1.101.2/32
Ctrl+o = сохранить и выйти

Мой Android-клиент имеет интерфейс - адрес 10.1.101.1/32

#IP адрес
/ip address print
/ip address disable numbers=1
/ip address add address=10.1.101.1/24 network=10.1.101.0 interface=wireguard1
#Разве не должно быть 10.1.101.0/24?

/ip address print
Флаги: X, D - DYNAMIC
Колонки: ADDRESS, NETWORK, INTERFACE
ADDRESS NETWORK INTERFACE
;;; defconf
0 192.168.88.1/24 192.168.88.0 bridge
1 X 10.255.255.1/30 10.255.255.0 wireguard1
2 D xxx.xxx.xxx.xxx/26 xxx.xxx.xxx.xxx ether1
3 10.1.101.1/24 10.1.101.0 wireguard1

#Добавил in-interface-list как WAN
/ip firewall filter print
/ip firewall filter edit number=7 value-name=in-interface-list WAN
Ctrl+o = сохранить и выйти

#Проверка IP маршрута
/ip route print
Флаги: D - DYNAMIC; A - ACTIVE; c, d, y - COPY
Колонки: DST-ADDRESS, GATEWAY, DISTANCE
DST-ADDRESS GATEWAY DISTANCE
DAd 0.0.0.0/0 xxx.xxx.xxx.xxx 1
DAc 10.1.101.0/24 wireguard1 0
DAc xxx.xxx.xxx.xxx/26 ether1 0
DAc 192.168.88.0/24 bridge 0

#Добавляем WG в LAN интерфейсы
/interface list member print
/interface list member add interface=wireguard1 list=LAN

jvanhambelgium

Guest

#14

07.01.2022 14:57:00

Эээ, не думаю, что это сработает:

/interface wireguard peers add allowed-address=10.1.101.1/32 endpoint-port=13231 interface=wireguard1 public-key="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="
/ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.255.255.1/30 disabled=yes interface=wireguard1 network=10.255.255.0 (а что это здесь вообще делает??)
add address=10.1.101.1/24 interface=wireguard1 network=10.1.101.0

Так что бери либо *.1, либо *.254 как реальный IP-адрес на Mikrotik/шлюзе и начинай раздавать IP-переменным с *.2 или что-то вроде того.

Моя конфигурация:

/interface wireguard peers add allowed-address=192.168.1.1/32 interface=wireguard1 public-key=***************************************
/ip address add address=192.168.1.254/24 comment=WG-L3 interface=wireguard1 network=192.168.1.0

bourneagainsh Guest	#15 0 07.01.2022 15:13:00 Это было методом проб и ошибок, начиная с настройки здесь: https://help.mikrotik.com/docs/display/ROS/WireGuard Сеть — это не мое.

bourneagainsh

Guest

#16

07.01.2022 15:20:00

Может, я что-то путаю, ты сказал начать с xx.x.xxx.2/32, значит это мой первый клиент, и будет так:
/interface wireguard peers add allowed-address=10.1.101.2/32 endpoint-port=13231 interface=wireguard1 public-key="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="
/ip address add address=10.1.101.2/24 interface=wireguard1 network=10.1.101.0

А если я хочу добавить второго клиента, то делаю так:
/interface wireguard peers add allowed-address=10.1.101.3/32 endpoint-port=13231 interface=wireguard1 public-key="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="
/ip address add address=10.1.101.3/24 interface=wireguard1 network=10.1.101.0

И так далее, верно?

jvanhambelgium

Guest

#17

07.01.2022 15:31:00

Есть два аспекта настройки Wireguard: «сторона» Mikrotik и каждый пир. Команда ниже назначает IP-адрес на Mikrotik для wireguard «endpoint». Это нужно сделать один раз! Не повторять для каждого пира или чего-то подобного.

/ip address add address=10.1.101.1/24 interface=wireguard1 network=10.1.101.0

Дальше вторая часть конфигурации действительно для КАЖДОГО пира (=клиента) и так далее.

/interface wireguard peers add allowed-address=10.1.101.2/32 endpoint-port=13231 interface=wireguard1 public-key=“xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=”

/interface wireguard peers add allowed-address=10.1.101.3/32 endpoint-port=13231 interface=wireguard1 public-key=“xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=”

Представьте это как колесо с спицами. Центральная часть — это «общая» часть для каждой спицы (=пира), и туда вы ставите один IP из определённого диапазона. Затем каждый из пиров/спиц получает IP из того же диапазона, но, естественно, не тот, который вы назначили на Mikrotik.

anav Guest	#18 0 07.01.2022 16:54:00 По твоему вопросу — правильный ответ! Перефразируя пост Jvan. У каждого андроид-клиента должен быть уникальный IP-адрес (начиная с .2 и так далее) в настройках его основного интерфейса Wireguard. Каждый андроид-пир должен быть отражён в настройках пиринга на Wireguard-сервере с этим уникальным IP и, конечно, с уникальным публичным IP-адресом (с устройства Android). IP-адрес, который у тебя в роутере сервера, обеспечит всю динамическую маршрутизацию (и для запросов из локальной сети, и для запросов из интернета) для всех Android-подключений, так как они все находятся в одной сети.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры