WireGuard клиента в Mikrotik

[ya]

Зайдите в веб-интерфейс MikroTik, введите IP-адрес вашего устройства в браузере.
Перейдите во вкладку "System" и выберите "Scripts".
Создайте новый скрипт, нажав на кнопку "+".
Вставьте содержимое конфигурационного файла WireGuard в поле "Source" скрипта.
Нажмите кнопку "OK" для сохранения скрипта.
Затем выполните скрипт, чтобы импортировать конфигурацию WireGuard в MikroTik.


Для интеграции WireGuard клиента в Mikrotik, вам нужно создать интерфейс WireGuard на Mikrotik и настроить его на подключение к серверу WireGuard. Вот пример скрипта для этого:

Код: Выделить всё

# Создание интерфейса WireGuard
/interface wireguard add name=wg-client private-key=GENERATED_PRIVATE_KEY listen-port=51820

# Добавление пирса (сервера WireGuard)
/ip address add address=SERVER_IP interface=wg-client comment="WireGuard peer" disabled=no
/ip route add dst-address=0.0.0.0/0 gateway=SERVER_IP

# Настройка пирса (сервера WireGuard)
/interface wireguard peer add interface=wg-client public-key=SERVER_PUBLIC_KEY endpoint=SERVER_IP:51820 allowed-address=0.0.0.0/0 comment="WireGuard server"

# Активация интерфейса WireGuard
/interface wireguard set wg-client disabled=no

Замените GENERATED_PRIVATE_KEY на ваш сгенерированный приватный ключ, SERVER_IP на IP-адрес сервера WireGuard и SERVER_PUBLIC_KEY на публичный ключ сервера.

Запустите этот скрипт на Mikrotik, чтобы создать и настроить интерфейс WireGuard для подключения к серверу.

[ya]

Видеоинструкция
https://www.youtube.com/watch?v=xGJeof6I6EI

Настройка WireGuard в ROS 7
https://habr.com/ru/articles/775110/

Код: Выделить всё

/interface wireguard
add listen-port=51820 mtu=1420 name=wg0 private-key="$PRIVATE"

/interface wireguard peers add allowed-address=0.0.0.0/0 comment=wireguard endpoint-address=$HOST endpoint-port=51820 interface=wg0 persistent-keepalive=25s preshared-key="$PRESHARED" public-key="$PUBLIC"

/ip address add address=$IP interface=wg0 network=$NETWORK

/ip firewall nat add action=masquerade chain=srcnat out-interface=wg0

для проверки коннэкта на интерфейс wg0

Код: Выделить всё

ping habr.com interface=wg0

Маршруты для vpn

Тестовый шаблон

YOUR_AS - ваша рандомная AS. Число в диапазоне 64512-65543, кроме 65432
IP - ваш внешний IP-адрес для того, чтобы не пересекаться с другими пользователями
INTERFACE - имя VPN интерфейса, через который необходимо пустить трафик

Код: Выделить всё

/routing bgp template
add as=$YOUR_AS disabled=no hold-time=4m input.filter=bgp_in .ignore-as-path-len=yes keepalive-time=1m multihop=yes name=antifilter routing-table=main
/routing bgp connection
add disabled=no hold-time=4m input.filter=bgp_in .ignore-as-path-len=yes keepalive-time=1m local.role=ebgp multihop=yes name=antifilter_bgp remote.address=45.154.73.71/32 .as=65432 router-id=$IP routing-table=main templates=antifilter
/routing filter rule
add chain=bgp_in disabled=no rule="set gw $INTERFACE; accept;"

Проверить, что префиксы пришли, можно командой

Код: Выделить всё

/routing/bgp/session print

Маршруты маркировки vpn-трафика для локальной сети (рабочая конфигурация)

Код: Выделить всё

# Маршруты макрировки vpn

/ip firewall address-list add list=vpn-domains address="2ip.ru"
/ip firewall address-list add list=vpn-domains address="myip.ru"


/routing table add disabled=no fib name=vpn
/ip route add comment=vpn disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wg0 pref-src="" routing-table=vpn suppress-hw-offload=no
/ip firewall mangle add action=mark-routing chain=prerouting disabled=no dst-address-list=vpn-domains new-routing-mark=vpn passthrough=yes

[ya]

ДНС

Код: Выделить всё

/ip dns set servers="77.88.8.1,77.88.8.8"
/ip dns set use-doh-server="https://1.1.1.1/dns-query"