+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Wireguard Mikrotik — направить весь трафик через VPN

Wireguard Mikrotik — направить весь трафик через VPN, RouterOS

joshhboss

Guest

04.04.2022 19:48:00

Я недавно приобрёл небольшой маршрутизатор MikroTik, чтобы использовать его в поездках и работе, с целью быстро подключаться к сетям, для которых я настроил туннели, или чтобы пропускать весь трафик через него. Мне удалось установить туннель, но теперь возникла проблема с маршрутизацией всего трафика через него с помощью моего офисного роутера PFsense. Полагаю, что на стороне PFsense всё настроено правильно, поскольку я уже делал это раньше. Может, кто-то сможет взглянуть на мою конфигурацию и подсказать, что я делаю не так?

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 7.1.5 © 1999-2022 https://www.mikrotik.com/

Нажмите F1 для помощи

[admin@MikroTik] > export hide-sensitive
# apr/04/2022 15:45:48 by RouterOS 7.1.5
# software id = FTHJ-YLS5
#
# model = RBmAP2nD
# serial number = DE500F5EF7D9
/interface bridge
add admin-mac=DC:2C:6E:39:54:CE auto-mac=no comment=defconf name=bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country="united states" disabled=no distance=indoors frequency=2462 installation=indoor mode=ap-bridge ssid=JoshMikro-Tik vlan-id=200 vlan-mode=use-tag
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface vlan
add interface=wlan1 name=VLAN200 vlan-id=200
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=10.200.1.2-10.200.1.50
add name=dhcp_pool2 ranges=10.200.1.2-10.200.1.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
add address-pool=dhcp_pool2 interface=bridge1 name=dhcp1
/routing table
add disabled=no fib name=Wireguard
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=pwr-line1
add bridge=bridge1 comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge1 interface=VLAN200
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=10.55.124.0/24 endpoint-address=12.x.,X.CC:45785 endpoint-port=45785 interface=wireguard1 persistent-keepalive=25s public-key="4nEOvxvvsisboidoifniwerjfp23je9fj2oeipfj923jopfp2jk8="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.200.1.1/24 interface=VLAN200 network=10.200.1.0
add address=10.55.124.2/24 interface=wireguard1 network=10.55.124.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=10.200.1.0/24 dns-server=8.8.8.8,4.2.2.2 gateway=10.200.1.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=AllowFromWifi src-address=10.200.1.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat out-interface=wireguard1 realm=1024 src-address=10.200.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.55.124.1 pref-src=0.0.0.0 routing-table=Wireguard scope=30 suppress-hw-offload=no target-scope=10
/system clock
set time-zone-name=America/New_York
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool romon
set enabled=yes
[admin@MikroTik] >

452

Guest

01.05.2022 07:50:00

Это пример настройки, как направить весь трафик через VPN-сервис с доступом в Интернет. Подробнее можно почитать здесь: https://forum.mikrotik.com/viewtopic.php?t=182340

/interface wireguard add listen-port=51820 name=wireguard-inet private-key="xxx" comment="Интернет через WireGuard от коммерческого VPN-провайдера"
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=xxx.xxx.xxx.xxx endpoint-port=51820 interface=wireguard-inet persistent-keepalive=25m preshared-key="xxx" public-key="xxx" comment="Интернет через WireGuard от коммерческого VPN-провайдера"
/interface list member add interface=wireguard-inet list=WAN comment="Интернет через WireGuard от коммерческого VPN-провайдера"

###

/ip address add address=xxx.xxx.xxx.xxx/32 interface=wireguard-inet comment="Интернет через WireGuard от коммерческого VPN-провайдера"
/routing table add name=wireguard-wan fib comment="Интернет через WireGuard от коммерческого VPN-провайдера"
/ip route add dst-address=0.0.0.0/0 gateway=wireguard-inet routing-table=wireguard-wan comment="Интернет через WireGuard от коммерческого VPN-провайдера"

# xxx.xxx.xxx.xxx/24 замените на вашу локальную сеть
/routing rule add action=lookup src-address=192.168.xxx.0/24 table=wireguard-wan comment="Интернет через WireGuard от коммерческого VPN-провайдера"

# Добавьте ограничение скорости соединения, если загрузка CPU 100%, зависит от оборудования Mikrotik
# /queue simple add max-limit=0/4500k name=queue-vpn target=wireguard-inet

# Добавьте DNS от VPN-сервиса
/ip/dhcp-server/network/set dns-server=10.xxx.0.1 0

# Нужно переподключить ваше устройство (ПК, телефон), чтобы получить новый DNS-сервер от роутера

rextended Guest	#3 0 01.05.2022 13:28:00 0.0.0.0/1 ??? Половина интернета… от 1.0.0.0 до 126.255.255.255… (бесполезные 0.x, 10.x, 127.x и прочие) и остальное от 128.0.0.0 до 223.255.255.255?

anav

Guest

01.05.2022 13:49:00

Назначьте IP-адрес для интерфейса wireguard следующим образом:
/ip address add address=10.101.121.122/24 interface=wireguard-inet network=10.101.121.122
(Предполагается, что разрешённый IP на стороне pfsense или сервера для вашего мобильного устройства — 10.101.121.122/32)

Не уверен насчёт маршрутизации IP… сначала должен быть доступ в интернет.

Не знаю, как у вас это устроено, но предположим, что у вас есть маршрут по умолчанию от провайдера через IP DHCP. В таком случае нужна дополнительная маршрутная запись, чтобы заставить трафик пользователей идти через WG:
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=wireguard-inet table=useWG
/routing rule add src-address=LANsubnet action=lookup table=useWG
/routing table add name=useWG fib

(Если вы не хотите иметь доступ к обычному интернету через провайдера на мобильном устройстве, когда WG отключён, тогда используйте action=lookup-only-in-table.)

В зависимости от структуры правил файрвола, возможно, понадобится добавить правило в цепочку форварда:
add chain=forward action=accept in-interface-list=LAN (или src-address=подсеть) out-interface=wireguard-inet

P.S. Показывать урезанную конфигурацию неудобно и малоинформативно…

Sob Guest	#5 0 01.05.2022 14:25:00 Если ты не готов к всему интернету сразу и хочешь начать потихоньку.

anav Guest	#6 0 01.05.2022 15:15:00 С haplite wifi надо быть осторожным, чтобы не перегрузить емкость сети.

452 Guest	#7 0 02.05.2022 10:19:00 Да, ты абсолютно прав, это моя ошибка, потому что я новичок))) Я обновил свой пост, пожалуйста, посмотри его снова.

452 Guest	#8 0 02.05.2022 10:35:00 Спасибо, это помогло мне, работает.

anav Guest	#9 0 02.05.2022 11:19:00 Не спешите, уделите время тем разделам, которые вас заинтересуют. https://forum.mikrotik.com/viewtopic.php?t=182340

452 Guest	#10 0 02.05.2022 13:42:00 Также в моей конфигурации добавил /queue simple add max-limit=0/4500k name=queue-vpn target=wireguard-inet. Это потому что у меня много син-трафика, загрузка процессора 100%, и из-за ограничений скорости возникают лаги и отключения в Winbox (ethernet-порт, подключённый к ПК, падает и поднимается — перезагрузка). При этом загрузка CPU примерно 97-99%, но интернет не тормозит (в основном работает нормально).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры