Changes for page Настройка WireGuard VPN на роутерах Mikrotik
Last modified by Сергей Коршунов on 2023/01/27 12:33
From version 1.1
edited by Сергей Коршунов
on 2023/01/27 08:43
on 2023/01/27 08:43
Change comment:
There is no comment for this version
To version 2.1
edited by Сергей Коршунов
on 2023/01/27 12:33
on 2023/01/27 12:33
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -11,15 +11,19 @@ 11 11 12 12 В RouterOS 7 появился новый пункт меню - **WireGuard**, переходим в него на одноименную закладку и создаем новый интерфейс. Заполняем поля **Name** и **Listen Port**, их назначения понятны, советуем использовать осмысленные названия интерфейсов, чтобы вы могли понимать, для чего тот или иной предназначен. Ключи будут созданы автоматически. 13 13 14 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-001.png||alt="mikrotik-wireguard-001.png" height="452" width="488"]] Если вы предпочитаете работать в терминале, то выполните команду:14 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-001.png||alt="mikrotik-wireguard-001.png" height="452" width="488"]] 15 15 16 +Если вы предпочитаете работать в терминале, то выполните команду: 17 + 16 16 {{{/interface wireguard 17 17 add listen-port=34567 mtu=1420 name=wireguard-sts}}} 18 18 19 19 Затем присвоим созданному интерфейсу IP-адрес, для чего перейдем в **IP - Addresses** и просто добавим нужный адрес. 20 20 21 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-002.png||alt="mikrotik-wireguard-002.png" height="350" width="548"]] Или:23 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-002.png||alt="mikrotik-wireguard-002.png" height="350" width="548"]] 22 22 25 +Или: 26 + 23 23 {{{/ip address 24 24 add address=10.10.0.1/24 interface=wireguard-sts network=10.10.0.0}}} 25 25 ... ... @@ -32,13 +32,41 @@ 32 32 33 33 Данное правило следует расположить перед запрещающим принимать входящие подключения на внешний интерфейс. 34 34 39 + 40 +**Добавление клиента с телефона:** 41 + 42 + 43 +1) на телефона создаем новое подключение, вносим ip адрес vpn соединения (подсеть выделенная для vpn) 44 + 45 +2) Генерим приватный и публичный ключ и публичный вносим на Mikrotik в созданный Peer 46 + 35 35 Чтобы к нашему роутеру могла подключаться другие узлы нужно создать для каждого из них пир, для этого возвращаемся в **WireGuard - Peers** и создаем новую запись. Здесь нам потребуется **открытый ключ** пира, который следует внести в поле **Public Key** и указать разрешенные сети в **Allowed Address**. В нашем случае мы реализуем сценарий удаленного доступа или объединения сетей, поэтому укажем там внутренний адрес в WireGuard сети, который мы выделили пиру и сеть за ним. 36 36 37 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-003.png||alt="mikrotik-wireguard-003.png" height="309" width="428"]] В терминале:49 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-003.png||alt="mikrotik-wireguard-003.png" height="309" width="428"]] 38 38 51 +В терминале: 52 + 39 39 {{{/interface wireguard peers 40 40 add allowed-address=10.10.0.2/32,192.168.233.0/24 interface=wireguard-sts public-key="9pVP67ehKtQEr6BV46X9SuQrdvys+1QeVT0oeUg71wo="}}} 41 41 56 +3) Берем публичнй ключ с интерфейса сервера на Mikrotik и добавляем его в ПИР мобильного клиента: 57 + 58 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-001.png||alt="mikrotik-wireguard-001.png"]] 59 + 60 +4) В ПИР вводим в поле Конечная точка, iP:порт сервера; разрешенные Ip-адреса 0.0.0.0/0 61 + 62 +5) Сохраняем и подключаемся. 63 + 64 + 65 +Чтобы к нашему роутеру могла подключаться другие узлы нужно создать для каждого из них пир, для этого возвращаемся в **WireGuard - Peers** и создаем новую запись. Здесь нам потребуется **открытый ключ** пира, который следует внести в поле **Public Key** и указать разрешенные сети в **Allowed Address**. В нашем случае мы реализуем сценарий удаленного доступа или объединения сетей, поэтому укажем там внутренний адрес в WireGuard сети, который мы выделили пиру и сеть за ним. 66 + 67 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-003.png||alt="mikrotik-wireguard-003.png" height="309" width="428"]] 68 + 69 +В терминале: 70 + 71 +{{{/interface wireguard peers 72 +add allowed-address=10.10.0.2/32,192.168.233.0/24 interface=wireguard-sts public-key="9pVP67ehKtQEr6BV46X9SuQrdvys+1QeVT0oeUg71wo="}}} 73 + 42 42 Еще раз напомним, что вся адресация внутри WireGuard сети назначается администратором вручную и явно прописывается для каждого пира с обоих сторон. Это один из недостатков WireGuard, который следует из его простоты. 43 43 44 44 С другой стороны, у нас, допустим, будет Windows. Быстро настраиваем там новый туннель, в разделе **Interface** добавляем выделенный узлу адрес, а в разделе **Peer** указываем публичный ключ Mikrotik, его адрес и порт, а в разделе разрешенных адресов добавим адрес WireGuard интерфейса и сети за роутером.