+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Настройка аварийного отключателя — Wireguard (Surfshark) — ROS 7.8

Настройка аварийного отключателя — Wireguard (Surfshark) — ROS 7.8, RouterOS

malabar

Guest

03.04.2023 09:30:00

Дорогие, первое сообщение в этом форуме, поэтому представлюсь. Сейчас у меня есть один роутер hAP AC2 (работает под ROS 7.8) за оптическим ONT в Испании. Я успешно настроил Surfshark Wireguard VPN и теперь хочу реализовать kill switch (если VPN отключается, VPN-трафик просто блокируется). В моей локальной сети только одно устройство использует VPN, остальные — идут без VPN. Я уже прошёлся по обсуждению http://forum.mikrotik.com/t/nordlynx-server-wireguard-setup/156064/22, но пока не понимаю, что не так. Ниже мой конфиг для Mangle — NAT, а также маршрутизации — правила — таблицы. Похоже, что-то не так с правилами?

Mangle
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=Surfshark_blackhole passthrough=yes src-address-list=Under_VPN
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=WG-Surfshark passthrough=yes protocol=tcp tcp-flags=syn
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1

NAT
/ip firewall nat
add action=masquerade chain=srcnat comment=“defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-ovpn src-address=192.168.76.0/24
add action=masquerade chain=srcnat comment=“default configuration” out-interface-list=Vlan2&3
add action=masquerade chain=srcnat comment=masq-surfshark out-interface=WG-Surfshark

ROUTE
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WG-Surfshark pref-src=“” routing-table=Surfshark scope=30 suppress-hw-offload=no target-scope=10

TABLE
/routing table
add disabled=no fib name=Surfshark

RULES
/routing rule
add action=lookup-only-in-table disabled=no interface=bridge src-address=192.168.87.241/32 table=Surfshark

Заранее спасибо за помощь!
С уважением,

dgalizi

Guest

31.05.2023 22:17:00

Привет, Anav. Спасибо за ответ!!! Безопасно ли использовать WireGuard без какой-либо «защиты»? Что насчёт утечки DNS-запросов и пакетов? Я направляю весь трафик через туннель, но если по какой-то причине соединение прервётся... Заранее спасибо!! Dan

userarrayuser Guest	#3 0 08.08.2023 09:59:00 Не могли бы вы поделиться своими настройками? Я пытаюсь перейти с IKEv2 на WireGuard, но не получается. Большое спасибо!

anav

Guest

08.08.2023 12:01:00

@dgalizi. Я больше привык использовать правила маршрутизации... В этом случае, допустим, у меня есть три подсети: 192.168.0.0/24, 192.168.30.0/24, 192.168.50.0/24, и предположим, что нужен межвлановый трафик, даже общий принтер... Тогда я бы сделал так:

add fib table=use-WG
add dst-address=0.0.0.0/0 gateway=wg-interface-name table=use-WG

Правила маршрутизации:

add dst-address=192.168.0.0/18 action=lookup-only-in-table table=main comment=“сохраняет возможность локального трафика”
add src-address=192.168.0.0/24 action=look-up-only-in-table table=use-WG
add src-address=192.168.30.0/24 action=look-up-only-in-table table=use-WG
add src-address=192.168.50.0/24 action=look-up-only-in-table table=use-WG

Функция параметра action означает, что если соединение отсутствует, НЕ ИСКАТЬ альтернативу. Если бы мы использовали просто ‘lookup’, то маршрутизатор был бы настроен так, что если нет соединения в заданной таблице, он проверяет доступен ли маршрут в основной таблице.

userarrayuser Guest	#5 0 08.08.2023 15:56:00 Думаю, мне тоже нужно это решение. Мой вопрос: в таком случае мне нужно отключить mangle, верно?

anav Guest	#6 0 08.08.2023 16:56:00 Ну, мне бы сначала посмотреть весь контекст конфигурации. Почему ты сейчас всё портишь?

userarrayuser

Guest

09.08.2023 12:51:00

Вот моя конфигурация:
# RouterOS 7.10.2
# model = RB5009UG+S+

/interface bridge
add ingress-filtering=no name=LAN-BRIDGE vlan-filtering=yes

/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard-surfshark

/interface vlan
add interface=LAN-BRIDGE name=GEUST_VLAN vlan-id=30
add interface=LAN-BRIDGE name=TEST_VLAN vlan-id=20

/interface list
add name=WAN
add name=VLAN
add name=GUEST_VLAN

/interface wifiwave2 channel
add disabled=no frequency=2300-7300 name=5GHz width=20/40/80mhz
add disabled=no frequency=2300-7300 name=2GHz width=20/40mhz

/interface wifiwave2 datapath
add bridge=LAN-BRIDGE disabled=no name=GUEST vlan-id=30

/interface wifiwave2 security
add authentication-types=wpa3-psk disabled=no name=WPA3 wps=disable
add authentication-types=wpa2-psk disabled=no name=WPA2 wps=disable
add authentication-types=wpa2-psk disabled=no name=GUEST wps=disable

/interface wifiwave2 configuration
add country="United States" disabled=no name=HOME-5GHz security=WPA3 ssid=HOME-5GHz
add country="United States" disabled=no name=HOME-2GHz security=WPA2 ssid=HOME-2GHz
add country="United States" datapath=GUEST disabled=no name=GUEST security=GUEST ssid=GUEST

/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool1 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool2 ranges=192.168.30.2-192.168.30.254

/ip dhcp-server
add address-pool=dhcp_pool0 interface=LAN-BRIDGE name=dhcp1
add address-pool=dhcp_pool1 interface=TEST_VLAN name=dhcp2
add address-pool=dhcp_pool2 interface=GEUST_VLAN name=dhcp3

/routing table
add disabled=no fib name=surfshark

/interface bridge port
add bridge=LAN-BRIDGE interface=sfp-sfpplus1
add bridge=LAN-BRIDGE interface=ether2
add bridge=LAN-BRIDGE interface=ether3
add bridge=LAN-BRIDGE interface=ether4
add bridge=LAN-BRIDGE interface=ether5
add bridge=LAN-BRIDGE interface=ether6
add bridge=LAN-BRIDGE interface=ether7
add bridge=LAN-BRIDGE interface=ether8

/interface bridge vlan
add bridge=LAN-BRIDGE tagged=LAN-BRIDGE,ether3 vlan-ids=20
add bridge=LAN-BRIDGE tagged=LAN-BRIDGE,ether3,ether8 vlan-ids=30

/interface list member
add interface=ether1 list=WAN
add interface=GEUST_VLAN list=VLAN
add interface=LAN-BRIDGE list=VLAN
add interface=TEST_VLAN list=VLAN

/interface wifiwave2 capsman
set ca-certificate=auto enabled=yes package-path="" require-peer-certificate=no upgrade-policy=none

/interface wifiwave2 provisioning
add action=create-dynamic-enabled disabled=no master-configuration=HOME-5GHz supported-bands=5ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=HOME-2GHz slave-configurations=GUEST supported-bands=2ghz-n

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=us-chi.prod.surfshark.com endpoint-port=51820 interface=wireguard-surfshark public-key="DpMfulanF/MVHmt3AX4dqLqcyE0dpPqYBjDlWMaUI00="

/ip address
add address=192.168.1.1/24 interface=LAN-BRIDGE network=192.168.1.0
add address=192.168.20.1/24 interface=TEST_VLAN network=192.168.20.0
add address=192.168.30.1/24 interface=GEUST_VLAN network=192.168.30.0
add address=10.14.0.2/16 interface=wireguard-surfshark network=10.14.0.0

/ip dhcp-client
add interface=ether1

/ip dhcp-server lease
add address=192.168.1.2 client-id=1:48:a9:8a:8b:48:ef comment=AX-AP mac-address=48:A9:8A:8B:48:EF server=dhcp1
add address=192.168.30.11 client-id=1:0:c:29:f8:91:1b comment=TEST-CLIENT mac-address=00:0C:29:F8:91:1B server=dhcp3

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=162.252.172.57 gateway=192.168.30.1

/ip dns
set allow-remote-requests=yes

/ip firewall address-list
add address=192.168.30.11 list=GUEST-DEVICE1

/ip firewall filter
add action=accept chain=input comment="РАЗРЕШИТЬ ESTABLISHED И RELATED" connection-state=established,related
add action=accept chain=input comment="РАЗРЕШИТЬ VLAN ДОСТУП К СЕРВИСАМ РОУТЕРА" in-interface-list=VLAN
add action=drop chain=input comment=ОТКАЗ
add action=accept chain=forward comment="РАЗРЕШИТЬ ESTABLISHED И RELATED" connection-state=established,related
add action=accept chain=forward comment="ВСЕМ VLAN ОТКРЫТЬ ДОСТУП В ИНТЕРНЕТ ТОЛЬКО" connection-state=new in-interface-list=VLAN out-interface-list=WAN
add action=accept chain=forward comment="РАЗРЕШИТЬ GUEST VLAN ДОСТУП В WIRESHARK" connection-state=new in-interface-list=VLAN out-interface=wireguard-surfshark
add action=drop chain=forward comment=ОТКАЗ

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
add action=mark-routing chain=prerouting new-routing-mark=surfshark passthrough=no src-address-list=GUEST-DEVICE1

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=wireguard-surfshark

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard-surfshark routing-table=surfshark suppress-hw-offload=no

Так вот, я использую mangle для принудительного направления трафика в туннель WireGuard. Но если интерфейс wireguard отключается, то трафик переключается на интернет от провайдера. Значит ли это, что происходит утечка, или такая ситуация возможна только если я вручную отключу интерфейс wireguard?
Дополнительная проблема: я не могу добавить подсеть, только отдельные устройства, например 192.168.30.11.
Спасибо большое!

userarrayuser Guest	#8 0 11.08.2023 14:19:00 @anav Моя конфигурация действительно настолько ужасна?

anav

Guest

11.08.2023 14:26:00

Ха-ха, нет, у меня просто есть своя жизнь, вот и всё. Я не достаточно квалифицирован, чтобы комментировать настройки, где в wifi-параметрах лезут в не-wifi вещи, типа datapath, capsman и так далее. Я предпочитаю простой подход — настройки по wifi, которые касаются только wifi. Если бы datapath и capsman не меняли текущую конструкцию bridge/vlan, как описал pcunite, тогда бы мой взгляд был другим. Единственная причина, почему я вообще задумался о capsman — это когда нужно изолировать wifi-пользователей от проводных в одной подсети, а такое случается редко.

userarrayuser

Guest

#10

12.08.2023 08:25:00

Ладно, не буду показывать твой комментарий своей жене, а то все мои отмазки пойдут прахом. Но если тебе нужно управлять 20+ точками доступа, как ты это делаешь без capsman?

Окей, я отключил настройки Wi-Fi, вот моя базовая конфигурация:

# RouterOS 7.10.2
# модель = RB5009UG+S+

/interface bridge
add ingress-filtering=no name=LAN-BRIDGE vlan-filtering=yes

/interface wireguard
add listen-port=51820 mtu=1420 name=wireguard-surfshark

/interface vlan
add interface=LAN-BRIDGE name=GEUST_VLAN vlan-id=30
add interface=LAN-BRIDGE name=TEST_VLAN vlan-id=20

/interface list
add name=WAN
add name=VLAN
add name=GUEST_VLAN

/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool1 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool2 ranges=192.168.30.2-192.168.30.254

/ip dhcp-server
add address-pool=dhcp_pool0 interface=LAN-BRIDGE name=dhcp1
add address-pool=dhcp_pool1 interface=TEST_VLAN name=dhcp2
add address-pool=dhcp_pool2 interface=GEUST_VLAN name=dhcp3

/routing table
add disabled=no fib name=surfshark

/interface bridge port
add bridge=LAN-BRIDGE interface=sfp-sfpplus1
add bridge=LAN-BRIDGE interface=ether2
add bridge=LAN-BRIDGE interface=ether3
add bridge=LAN-BRIDGE interface=ether4
add bridge=LAN-BRIDGE interface=ether5
add bridge=LAN-BRIDGE interface=ether6
add bridge=LAN-BRIDGE interface=ether7
add bridge=LAN-BRIDGE interface=ether8

/interface bridge vlan
add bridge=LAN-BRIDGE tagged=LAN-BRIDGE,ether3 vlan-ids=20
add bridge=LAN-BRIDGE tagged=LAN-BRIDGE,ether3,ether8 vlan-ids=30

/interface list member
add interface=ether1 list=WAN
add interface=GEUST_VLAN list=VLAN
add interface=LAN-BRIDGE list=VLAN
add interface=TEST_VLAN list=VLAN

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=us-chi.prod.surfshark.com endpoint-port=51820 interface=wireguard-surfshark public-key="DpMfulanF/MVHmt3AX4dqLqcyE0dpPqYBjDlWMaUI00="

/ip address
add address=192.168.1.1/24 interface=LAN-BRIDGE network=192.168.1.0
add address=192.168.20.1/24 interface=TEST_VLAN network=192.168.20.0
add address=192.168.30.1/24 interface=GEUST_VLAN network=192.168.30.0
add address=10.14.0.2/16 interface=wireguard-surfshark network=10.14.0.0

/ip dhcp-client
add interface=ether1

/ip dhcp-server lease
add address=192.168.30.11 client-id=1:0:c:29:f8:91:1b comment=TEST-CLIENT mac-address=00:0C:29:F8:91:1B server=dhcp3

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=162.252.172.57 gateway=192.168.30.1

/ip dns
set allow-remote-requests=yes

/ip firewall address-list
add address=192.168.30.11 list=GUEST-DEVICE1

/ip firewall filter
add action=accept chain=input comment="ALLOW ESTABLISHED AND RELATED" connection-state=established,related
add action=accept chain=input comment="ALLOW VLAN ACCESS ROUTER SERVICES" in-interface-list=VLAN
add action=drop chain=input comment=DROP
add action=accept chain=forward comment="ALLOW ESTABLISHED AND RELATED" connection-state=established,related
add action=accept chain=forward comment="ALL VLANS INTERNET ACCESS ONLY" connection-state=new in-interface-list=VLAN out-interface-list=WAN
add action=accept chain=forward comment="ALLOW GUEST VLAN TO WIRESHARK ACCESS" connection-state=new in-interface-list=VLAN out-interface=wireguard-surfshark
add action=drop chain=forward comment=DROP

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
add action=mark-routing chain=prerouting new-routing-mark=surfshark passthrough=no src-address-list=GUEST-DEVICE1

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=wireguard-surfshark

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard-surfshark routing-table=surfshark suppress-hw-offload=no

anav

Guest

#11

12.08.2023 12:07:00

Если бы мне пришлось управлять 20-ю, по одной, ха-ха. На настройку одного capac у меня уходит максимум 5 минут — почти «настроил и забыл». Не то чтобы кто-то собирался что-то часто менять. Обычно у тебя есть 2-3-4 WiFi LAN, и всё. DHCP и всё остальное обрабатывает роутер. Единственная причина «лезть» в capac — обновить ПО. К тому же я очень сомневаюсь, что все 20 capac будут настроены одинаково, разве что в какой-нибудь художественной книге.

userarrayuser Guest	#12 0 09.09.2023 11:59:00 @anav Если мы используем этот метод, будет ли возможна связь между VLAN? В этом случае трафик с 192.168.30.0/24 на 192.168.50.0/24 будет принудительно идти через WireGuard, верно? Разве в этом случае mangle не лучше? Спасибо.

anav

Guest

#13

09.09.2023 14:14:00

Если внимательно посмотреть на первое правило маршрутизации… что оно говорит? Любой трафик, направляющийся в локальную подсеть, должен маршрутизироваться через основную таблицу, то есть он будет идти как положено! А после того, как с этим трафиком разобрались, правила обрабатывают трафик WireGuard. Так что никакого мутного переделывания, и локальный трафик останется в безопасности.

userarrayuser Guest	#14 0 09.09.2023 21:28:00 Хорошо, в этом случае что-то не так у меня (у меня есть это правило, но перекрестное движение не работает, я продолжаю пытаться, потом возвращаюсь, если не могу решить проблему).

anav

Guest

#15

10.09.2023 00:29:00

У вас есть правило в цепочке forward для доступа к серверу? Обычно, если у вас VLAN, нужно такое правило: добавьте chain=forward action=accept in-interface-list=VLAN dst-address=server_IP. Вы можете сузить это правило до конкретной подсети, ведущей к серверу, или до списка разрешённых LAN-адресов для доступа к серверу.

userarrayuser

Guest

#16

10.09.2023 13:21:00

Ладно, сдаюсь. Если добавляю эти правила — всё работает идеально (пинг есть, с 192.168.9.0/24 до 192.168.10.2 доступ есть), без них — перестаёт работать:

/routing rule
add action=lookup-only-in-table disabled=no dst-address=192.168.10.0/24 src-address=192.168.9.0/24 table=main
add action=lookup-only-in-table disabled=no dst-address=192.168.9.0/24 src-address=192.168.10.0/24 table=main

Вот мои настройки:

/interface bridge
add name=BRIDGE-LAN vlan-filtering=yes

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=ISP user=username533

/interface wireguard
add listen-port=51820 mtu=1420 name=WG-NORDVPN

/interface vlan
add interface=BRIDGE-LAN name=VLAN-LAN_VPN vlan-id=9
add interface=BRIDGE-LAN name=VLAN-TEST vlan-id=10
add interface=BRIDGE-LAN name=VLAN-GUEST vlan-id=100

/interface list
add name=WAN
add name=VLAN

/ip pool
add name=POOL-LAN ranges=192.168.1.2-192.168.1.254
add name=POOL-LAN_VPN ranges=192.168.9.2-192.168.9.254
add name=POOL-TEST ranges=192.168.10.2-192.168.10.254
add name=POOL-GUEST ranges=192.168.100.2-192.168.100.254

/ip dhcp-server
add address-pool=POOL-LAN interface=BRIDGE-LAN name=DHCP-LAN
add address-pool=POOL-LAN_VPN interface=VLAN-LAN_VPN name=DHCP-LAN_VPN
add address-pool=POOL-TEST interface=VLAN-TEST name=DHCP-TEST
add address-pool=POOL-GUEST interface=VLAN-GUEST name=DHCP-GUEST

/routing table
add disabled=no fib name=NORDVPN

/interface bridge port
add bridge=BRIDGE-LAN interface=sfp-sfpplus1
add bridge=BRIDGE-LAN interface=ether2
add bridge=BRIDGE-LAN interface=ether3 pvid=9
add bridge=BRIDGE-LAN interface=ether4 pvid=10
add bridge=BRIDGE-LAN interface=ether5
add bridge=BRIDGE-LAN interface=ether6
add bridge=BRIDGE-LAN interface=ether7 pvid=30
add bridge=BRIDGE-LAN interface=ether8

/interface bridge vlan
add bridge=BRIDGE-LAN tagged=BRIDGE-LAN,ether2,ether6 vlan-ids=9
add bridge=BRIDGE-LAN tagged=BRIDGE-LAN,ether2 vlan-ids=10
add bridge=BRIDGE-LAN tagged=BRIDGE-LAN vlan-ids=20
add bridge=BRIDGE-LAN tagged=BRIDGE-LAN,ether6 vlan-ids=30
add bridge=BRIDGE-LAN tagged=BRIDGE-LAN,ether2,ether6 vlan-ids=100

/interface list member
add interface=ISP list=WAN
add interface=VLAN-LAN_VPN list=VLAN
add interface=VLAN-TEST list=VLAN
add interface=VLAN-TEST_SECURE list=VLAN
add interface=VLAN-GUEST list=VLAN

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=217.138.192.35 endpoint-port=51820 interface=WG-NORDVPN public-key="ksadnck34wrbwfjh34b"

/ip address
add address=192.168.1.1/24 interface=sfp-sfpplus1 network=192.168.1.0
add address=192.168.10.1/24 interface=VLAN-TEST network=192.168.10.0
add address=192.168.9.1/24 interface=VLAN-LAN_VPN network=192.168.9.0
add address=192.168.100.1/24 interface=VLAN-GUEST network=192.168.100.0
add address=10.5.0.2/24 interface=WG-NORDVPN network=10.5.0.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.9.0/24 dns-server=192.168.9.1 gateway=192.168.9.1
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1

/ip dns
set allow-remote-requests=yes servers=103.86.96.100

/ip firewall filter
add action=drop chain=input comment="BLOCK WAN SIDE DNS REQUEST" dst-port=53 in-interface=ISP protocol=tcp
add action=accept chain=input comment="ALLOW LAN ACCESS ROUTER SERVICES" src-address=192.168.1.0/24
add action=accept chain=input comment="ALLOW ESTABLISHED AND RELATED CONNECTIONS" connection-state=established,related
add action=accept chain=input comment="ALLOW VLANS ACCESS ROUTER SERVICES" in-interface-list=VLAN
add action=drop chain=input comment="DROP ANYTHING ELSE" disabled=yes
add action=accept chain=forward comment="ALLOW LAN TRAFFIC TO EVERYWHERE" src-address=192.168.1.0/24
add action=accept chain=forward comment="ALLOW TRAFFIC FROM LAN_VPN TO LAN" dst-address=192.168.1.0/24 src-address=192.168.9.0/24
add action=accept chain=forward comment="ALLOW TRAFFIC FROM LAN_VPN TO LAN_VPN" dst-address=192.168.10.0/24 src-address=192.168.9.0/24
add action=accept chain=forward comment="ALLOW ESTABLISHED AND RELATED CONNECTIONS" connection-state=established,related
add action=accept chain=forward comment="ALLOW VLANS NORDVPN ACCESS" connection-state=new in-interface-list=VLAN out-interface=WG-NORDVPN
add action=drop chain=forward comment="DROP ANYTHING ELSE" disabled=yes

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn

/ip firewall nat
add action=masquerade chain=srcnat comment=NAT-ISP out-interface=ISP
add action=masquerade chain=srcnat comment=NAT-VPN out-interface=WG-NORDVPN

/ip route
add disabled=no distance=5 dst-address=0.0.0.0/0 gateway=WG-NORDVPN pref-src="" routing-table=NORDVPN scope=30 suppress-hw-offload=no target-scope=10

/routing rule
add action=lookup-only-in-table comment="KEEPS LOCAL TRAFFIC POSSIBLE" disabled=no dst-address=192.168.0.0/16 table=main
add action=lookup-only-in-table comment="REDIRECT VLAN-LAN_VPN TRAFFIC VIA NORDVPN" disabled=no src-address=192.168.9.0/24 table=NORDVPN
add action=lookup-only-in-table comment="REDIRECT VLAN-TEST TRAFFIC VIA NORDVPN" disabled=no src-address=192.168.10.0/24 table=NORDVPN
add action=lookup-only-in-table comment="REDIRECT VLAN-GUEST TRAFFIC TO NORDVPN" disabled=no src-address=192.168.100.0/24 table=NORDVPN

anav Guest	#17 0 10.09.2023 14:55:00 Не нужно сдаваться, давай следовать логике. Два правила, которые ты указал, нужны, чтобы обеспечить, что пакеты из подсетей, идущие через WireGuard, сначала маршрутизируются к другим локальным подсетям — как для трафика, исходящего в другие локальные подсети, так и для возвратного трафика от них. Всё отлично! Ты движешься в правильном направлении. Я просто упростил ситуацию, так как у тебя несколько подсетей. К тому же тебе не нужно добавлять адрес источника в эти правила... Маска подсети /18 охватывает диапазон с 192.168.1.0 по 192.168.64.254, так что это покрывает все твои подсети, кроме 192.168.100.0, но это гостевая сеть, и, предполагаю, для гостей трафик есть только в интернет и обратно. Если хочешь иметь возможность обращаться к гостевой сети, то либо уменьшай диапазон гостевой подсети до 192.168.64.0 или ниже, либо изменяй правило на /17. В твоём случае проще, так как нужно покрыть только от 192.168.1 до 192.168.10, и тогда достаточно использовать: add dst-address=192.168.1.0/20 Это покрывает адреса с 192.168.1.1 по 192.168.17.254. Значит, подходят оба варианта: /routing rule add action=lookup-only-in-table disabled=no dst-address=192.168.10.0/24 table=main add action=lookup-only-in-table disabled=no dst-address=192.168.9.0/24 table=main ИЛИ add action=lookup-only-in-table disabled=no dst-address=192.168.1.0/20 table=main ++++++++++++++++++++++++++++++++++++++++++++++++ Теперь, когда с этим всё понятно, другая часть моего предыдущего ответа — нам всё ещё нужно проверить, чтобы правила файрвола позволяли трафику свободно ходить между подсетями и устройствами. Правила файрвола не маршрутизируют, они просто дают разрешения на прохождение трафика. Похоже, у тебя это есть, но правила в файрволе у тебя скудные и немного запутаны в порядке — посмотрю на это позже сегодня.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры