Mikrotik.moscow [тема: Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x]

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 23:33:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Похоже, текст для перевода не был добавлен. Пожалуйста, пришлите его, и я выполню перевод согласно вашим правилам.
30.04.2025 23:33:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 23:32:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
В данном случае у меня возникла ошибка при попытке добавить [admin@MikroTik] /ip/firewall/filter> add action=accept chain=forward comment="Subnet to wireguard" out-interface=wg-nordvpn src-address=50.50.50/0/24 — значение диапазона должно содержать маску подсети после ‘/’ в виде числа или IP-адреса.
30.04.2025 23:32:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 23:26:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Для безопасности роутера также рекомендую следующие правила.

/ip firewall filter { input chain default rules to keep }
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-address=127.0.0.1 (админские правила)
add action=accept chain=input in-interface=bridge-lan src-address=50.50.50.0/24
add action=drop chain=input comment="drop all else" { вставьте это правило сюда, но в самый конец списка — чтобы правило разрешения по src-адресу было применено первым }

ПРИМЕЧАНИЕ: правило для wireguard в цепочке input не нужно, так как входящего рукопожатия к вашему роутеру, будучи peer-клиентом, не происходит. Кстати, причина, по которой мы делаем sourcenat для интерфейса wireguard, в том, что все IP-адреса пользователей получают NAT на IP-адрес wireguard, назначенный вам, поскольку удалённый конец ожидает, что на их сервер придёт только один исходный IP-адрес.
30.04.2025 23:26:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 23:16:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Да, эти правила обеспечивают хорошую защиту и предотвращают утечку данных, как вы и хотите. Они пропускают только локальный трафик через туннель wireguard. Что касается второго вопроса, просто хочу убедиться, что у вас в настройках LTE включён маршрут по умолчанию. Я предполагаю, что так и есть, иначе туннель не смог бы установиться.
30.04.2025 23:16:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 22:48:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Извините за мою неопытность, но что именно вам нужно по этому поводу? «Что для меня не понятно, так это то, что, не настраивая LTE, я не знаю, есть ли в настройках LTE опция для маршрута по умолчанию и DNS по умолчанию, так как нет клиента DHCP и прочего. Вам стоит рассказать нам, что именно вы сделали (но без указания публичных IP-адресов, паролей и прочего)».

Что касается пункта №9, мне нужно, чтобы интернет всегда работал внутри туннеля, чтобы избежать утечек. На моём роутере нет других пользователей, он для личного пользования. Правительство Греции строго придерживается нескольких правил, поэтому использование VPN стало обязательным.

Я добавил правила firewall NAT для UDP и TCP на порту 53. Единственное, что я ещё не добавил — это такие правила: «add action=fasttrack-connection chain=forward connection-state=established,related add action=accept chain=forward connection-state=established,related,untracked add action=drop chain=forward connection-state=invalid add action=accept chain=forward comment=“Subnet to wireguard” out-interface=wg-nordvpn src-address=50.50.50/0/24 add action=drop chain=forward comment=“drop all else”».

Хотите, чтобы я их тоже добавил? Я хочу, чтобы сеть была максимально защищённой.

Огромное спасибо за ваше время, усилия и то, как вы были полезны и предельно понятны в своих инструкциях <3
30.04.2025 22:48:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 22:31:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Люблю тебя, брат <3. Пишу быстро, потому что, кажется, всё работает, я всё ещё на шаге 8.
30.04.2025 22:31:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 22:02:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Окей, измени allowed IPs с:
/interface wireguard peers add allowed-address=0.0.0.0/0,::/0 endpoint-address= endpoint-port= interface=wg-nordvpn name=peer1 public-key=“”
на:
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=“as provided” endpoint-port=51820 interface=wg-nordvpn name=peer1 public-key=“as provided” persistent-keep-alive=25s

2. Из
add address=10.5.0.2/16 interface=wg-nordvpn network=10.5.0.0
в
add address=10.5.0.2/24 interface=wg-nordvpn network=10.5.0.0

Из
add action=masquerade chain=srcnat
add action=masquerade chain=srcnat out-interface=wg-nordvpn
в
/ip firewall nat add action=masquerade chain=srcnat out-interface=lte1
add action=masquerade chain=srcnat out-interface=wg-nordvpn

из
/ip route add blackhole distance=5 routing-table=private_route
add distance=2 gateway=wg-nordvpn@main routing-table=private_route
/routing rule add action=lookup-only-in-table src-address=192.168.1.100/32 table=private_route
в
/ip route add dst-address=0.0.0.0/0 gateway=wg-nordvpn routing-table=private_route
/routing rule add action=lookup-only-in-table dst-address=50.50.50.0/24 table=main
add action=lookup-only-in-table src-address=50.50.50.0/24 table=private_route

из
/ip dhcp-server network add address=50.50.50.0/24 dns-server=1.1.1.1,1.0.0.1,9.9.9.9 gateway=_
в
/ip dhcp-server network add address=50.50.50.0/24 dns-server=103.86.96.100 gateway=50.50.50.1

чтобы маршрутизатор знал про этот адрес…
/ip route add dst-address=103.86.96.100 gateway=wg-nordvpn routing-table=main

из
add action=accept chain=forward comment=“Allow VPN Traffic” out-interface=wg-nordvpn src-address-list=access_vpn
в
add action=accept chain=forward comment=“Allow VPN Traffic” out-interface=wg-nordvpn src-address=50.50.50.0/24

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Что мне непонятно, так это то, что я никогда не настраивал LTE — есть ли там вообще возможность задать default route и default DNS в настройках LTE, учитывая, что нет DHCP клиента и так далее. Нужно, чтобы вы рассказали, что именно вы сделали (но без публичных IP и паролей, конечно).

Добавьте:
/ip dns set server=1.1.1.1,9.9.9.9

И, наконец, поговорим про black hole. По моему мнению, он не нужен. У меня такое ощущение, что вы не хотите, чтобы пользователи из сети 50.50 ходили в обычный интернет напрямую.
a. Поскольку подсеть направляется в таблицу wireguard через routing rule, трафик никогда не пойдет в основную таблицу. Обычно для этого используют action lookup-only-in-table, чтобы гарантировать этот момент. Однако на самом деле это не обязательно, потому что маршрутизатор по протоколу wireguard не может понять, что интерфейс упал и недоступен, поэтому ему не нужно проверять или отвечать на запросы в routing rule.

Чтобы чувствовать себя увереннее, помогают правила фаервола, которые не дают локальному трафику утекает на WAN. Так что я бы сделал что-то вроде этого:

{FORWARD CHAIN}
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward comment=“Подсеть в wireguard” out-interface=wg-nordvpn src-address=50.50.50.0/24
add action=drop chain=forward comment=“Сбрасывать всё остальное”

Таким образом, подсеть не имеет доступа к WAN через LTE1.
Обратите внимание, что мы также настроили пользователей на использование DNS, предоставляемого через туннель, чтобы не было утечки DNS-запросов через LTE.

Чтобы сделать это еще надежнее, можно добавить:
/ip firewall nat add chain=dstnat action=dst-nat src-address=50.50.50.0/24 dst-port=53 protocol=udp to-address=103.86.96.100
add chain=dstnat action=dst-nat src-address=50.50.50.0/24 dst-port=53 protocol=tcp to-address=103.86.96.100
30.04.2025 22:02:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Wed, 30 Apr 2025 20:54:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Это LTE-роутер, я думаю, у всех таких, если не запросить публичный IP, они находятся за CGNAT. Если WireGuard отключён, у меня есть интернет, так что killswitch, по крайней мере тот, который я настроил, кажется, не работает. Думаю, теперь конфиги правильные, по крайней мере, такие, какие вам нужны. anynameyouwish.rsc (2.33 KB) vpn (2).rsc (139 Bytes)
30.04.2025 20:54:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Tue, 29 Apr 2025 23:05:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Ты скрываешь слишком много информации, чтобы действительно помочь. Единственное, что не должно быть указано — это:

a. Настройки NORD VPN:
- приватный ключ
- публичный ключ
- адрес endpoint

Остальное должно быть доступно для просмотра.

b. Настройки роутера:
- серийный номер (проверено)
- адрес endpoint (проверено)
- публичный ключ (проверено)
- любая публичная, локальная WANIP или информация о шлюзе

Также неясно, выходит ли этот роутер напрямую в интернет или стоит за верхним роутером или модемом/роутером из-за неполной конфигурации, особенно правил фаервола и информации о локальной WAN-сети, которые важны для установления подключения WireGuard с самого начала.

И что происходит, если WireGuard недоступен??
29.04.2025 23:05:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Tue, 08 Apr 2025 14:16:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Привет, команда! Я пытаюсь настроить NordVPN через Wireguard, но новая таблица маршрутизации не работает. Как с этим разобраться? Не обращайте внимания на сообщение, проблема решена.
08.04.2025 14:16:00, scostopos1.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Sun, 06 Apr 2025 17:57:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Перечитывая твой первый пост — БРЕД...

Требования:
- Маршрутизатор Mikrotik с RouterOS версии 7.x
- Linux-система (например, Debian) для получения нужных ключей
- Активная подписка NordVPN

Зачем?
NordVPN даст тебе приватный ключ для использования на интерфейсе Mikrotik. Это создаст публичный ключ, который NordVPN уже знает. Всё, что нужно сделать:
a. настроить интерфейс с именем wireguardnord и приватным ключом, который тебе даст Nord
b. добавить адрес, который выдал Nord, в маршрутизатор (10.20.30.X /24)
c. добавить allowed-addresses=0.0.0.0/0, interface=wireguardnord, endpoint-address=, endpoint-port=XXXXX, persistent-keep-alive=… Если у Nord есть предварительно общий ключ (preshared key), то его тоже добавляешь сюда.
d. добавить правило source NAT для любого трафика, который идёт через wireguard, чтобы весь трафик имел нужный исходный адрес от NordVPN и принимался на удалённом конце.
e. когда решишь, какой трафик должен идти через NordVPN, тогда:
i. настроить правила файервола
ii. настроить маршрутизацию (через mangles или routing rules)
f. возможно, изменить настройки DNS, в зависимости от того, что Nord тебе дал для DNS.
06.04.2025 17:57:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Sun, 06 Apr 2025 17:38:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Отличное руководство, всё работает идеально, большое спасибо. Хотелось бы использовать список пунктов назначения, а не вставлять их по одному в список правил. Я пробовал (в основном с mangle), но у меня не получилось. Как думаете, это возможно?
06.04.2025 17:38:00, ilfavi.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Sat, 07 Dec 2024 15:12:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Самый простой способ предоставить доступ к стороннему сервису WireGuard — через Wi-Fi. Просто создайте виртуальную WLAN исключительно для выхода в интернет через Nord… Если есть возможность, можно выделить VLAN и обеспечить тем, кто нуждается в доступе на своих рабочих местах, управляемый коммутатор рядом с ПК (старые hex’ы для этого отлично подходят), и тогда они смогут подключать свои компьютеры к нужному порту, когда хотят выйти в интернет через Nord.

Что касается вашего требования — чтобы один пользователь или устройство выходили через Nord — это довольно просто реализуется с помощью правил маршрутизации, без всяких сложностей.

Но меня не совсем понятно, почему вы хотите иметь возможность обращаться к этому устройству из любого места. Можете чуть подробнее объяснить варианты использования? Зачем устройству нужно выходить через Nord и почему пользователям нужен доступ к устройству? В уравнении чего-то не хватает, чтобы понять всю картину.
07.12.2024 15:12:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Sat, 07 Dec 2024 01:53:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Итак, в моём случае мне нужно, чтобы только одно устройство с адресом 10.10.15.x/32 использовало nordlynx, но при этом я хочу иметь возможность получить доступ к этому устройству из любой точки сети. На данный момент я смог внести в белый список 10.10.15.0/24, 10.10.10.0/24 и так далее. Можно ли это настроить через routeros?
07.12.2024 01:53:00, msalathe.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Tue, 29 Apr 2025 21:38:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Вот файлы, еще раз спасибо vpn.rsc (101 байт) anynameyouwish.rsc (1,71 КБ)
29.04.2025 21:38:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Tue, 29 Apr 2025 14:17:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Предоставьте: а) настройки конфигурации (без адреса конечной точки, замените его на x.x.x.x.x, и без любых ключей); б) файл экспорта конфигурации маршрутизатора /export file=любое_имя_на_ваш_выбор (без серийного номера маршрутизатора, любой публичной WAN IP-информации и ключей).
29.04.2025 14:17:00, anav.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Tue, 29 Apr 2025 13:52:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Ребята, чтобы всё заработало, нужно ли делать это на чистой установке? Уже месяц пробую с другими VPN, но так и не могу настроить у себя в шато. Сегодня купил Nord, а оно всё равно не работает. Какие-то идеи? Заранее спасибо.
29.04.2025 13:52:00, utopistis.

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x

Mon, 23 Sep 2024 19:26:00 +0300

Как настроить VPN-подключение WireGuard к NordVPN на роутере Mikrotik с ROS версии 7.x RouterOS в форуме RouterOS.
Всем привет! Хочу поделиться инструкцией по настройке WireGuard VPN-соединения с NordVPN на роутере Mikrotik под управлением RouterOS v7.x. Хотя NordVPN предоставляет инструкции для подключения через IKEv2/IPSec (которое работает нормально), там нужно использовать mangle для маршрутизации конкретных направлений, и реализовать kill switch невозможно. Другие протоколы, такие как L2TP/IPSec, NordVPN уже отключил, а OpenVPN не совместим с роутерами Mikrotik. WireGuard же даёт больше гибкости — можно настроить kill switch и маршрутизировать конкретный трафик без сложных конфигураций.

Требования:
- Роутер Mikrotik с RouterOS v7.x
- Linux-система (например, Debian) для получения необходимых ключей
- Активная подписка NordVPN

Шаг 1: Установка NordVPN и WireGuard на Linux
Сначала установите клиент NordVPN на Linux. Подробные инструкции есть на сайте поддержки NordVPN: Installing NordVPN on Linux distributions
Дальше установите WireGuard:
sudo apt install wireguard

Шаг 2: Получение приватного ключа и информации о сервере
Подключитесь к VPN через клиент NordVPN:
nordvpn connect
Получите приватный ключ:
sudo wg show nordlynx private-key
Важно: храните приватный ключ в безопасности и никому не раскрывайте.
Далее узнайте публичный ключ, IP-адрес и порт NordVPN WireGuard-сервера:
sudo wg show nordlynx
Пример вывода:
peer: aaaaaaabbbbbbbbxxxxxxyyyyyyyyy=
endpoint: x.x.x.x:51820
Также для поиска других серверов и их данных можно использовать NordVPN API:
curl 'https://nordvpn.com/wp-admin/admin-ajax.php?action=servers_recommendations&filters\[servers_technologies\]\[identifier\]=wireguard_udp&limit=1' | python3 -m json.tool
Примечание: у каждого сервера свой публичный ключ, а приватный ключ у вас один.

Шаг 3: Настройка WireGuard на роутере Mikrotik
Создайте WireGuard-интерфейс:
/interface wireguard add listen-port=51820 mtu=1420 name=wg-nordvpn private-key="your_private_key"
Замените “your_private_key” на полученный приватный ключ.
Добавьте Peer (сервер NordVPN):
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=your_server_address endpoint-port=51820 interface=wg-nordvpn persistent-keepalive=5s public-key="server_public_key"
Вместо your_server_address подставьте адрес сервера (например, us100.nordvpn.com). Вместо “server_public_key” — публичный ключ сервера NordVPN.
Назначьте IP-адрес интерфейсу:
/ip address add address=10.5.0.2 interface=wg-nordvpn network=10.5.0.0

Шаг 4: Настройка правил файрвола
Разрешите входящие соединения WireGuard:
/ip firewall filter add action=accept chain=input comment="Allow WireGuard" dst-port=51820 protocol=udp
Определите список IP, которые могут использовать VPN:
/ip firewall address-list add address=192.168.1.0/24 list=access_vpn
Создайте правило для разрешения форвардинга:
/ip firewall filter add action=accept chain=forward comment="Allow VPN Traffic" out-interface=wg-nordvpn src-address-list=access_vpn
Настройте NAT для исходящего трафика:
/ip firewall nat add action=masquerade chain=srcnat out-interface=wg-nordvpn

Шаг 5: Настройка маршрутизации и реализация kill switch
Создайте новую таблицу маршрутизации:
/routing table add fib name="private_route"
Добавьте правила маршрутизации, чтобы трафик от конкретных хостов шёл через VPN:
/routing rule add action=lookup-only-in-table src-address=192.168.1.100/32 table=private_route
Или маршрутизируйте трафик к определённым адресам (например, DNS-сервер NordVPN):
/routing rule add action=lookup-only-in-table dst-address=103.86.96.100/32 table=private_route
Примечание: 103.86.96.100 — один из DNS-серверов NordVPN.
Настройте маршруты для новой таблицы:
Добавьте blackhole-маршрут как kill switch:
/ip route add blackhole distance=5 routing-table=private_route
Добавьте маршрут через интерфейс WireGuard:
/ip route add distance=2 gateway=wg-nordvpn@main routing-table=private_route

Шаг 6: Проверка настройки
Убедитесь, что устройства из списка адресов направляют трафик через VPN. Проверьте работу kill switch, отключив интерфейс WireGuard — трафик с указанных устройств должен быть заблокирован.

Заключение
Вот и всё! Теперь у вас должно быть рабочее WireGuard VPN-соединение с NordVPN на роутере Mikrotik, с политической маршрутизацией и kill switch. Такая настройка позволяет направлять через VPN конкретный трафик и гарантирует, что при обрыве VPN-соединения трафик не утечёт через обычный интернет. Пишите, как у вас получилось и если будут вопросы!
23.09.2024 19:26:00, pssara1.