Changes for page Настройка WireGuard VPN на роутерах Mikrotik
Last modified by Сергей Коршунов on 2023/01/27 12:33
From version 2.1
edited by Сергей Коршунов
on 2023/01/27 12:33
on 2023/01/27 12:33
Change comment:
There is no comment for this version
To version 1.1
edited by Сергей Коршунов
on 2023/01/27 08:43
on 2023/01/27 08:43
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -11,19 +11,15 @@ 11 11 12 12 В RouterOS 7 появился новый пункт меню - **WireGuard**, переходим в него на одноименную закладку и создаем новый интерфейс. Заполняем поля **Name** и **Listen Port**, их назначения понятны, советуем использовать осмысленные названия интерфейсов, чтобы вы могли понимать, для чего тот или иной предназначен. Ключи будут созданы автоматически. 13 13 14 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-001.png||alt="mikrotik-wireguard-001.png" height="452" width="488"]] 14 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-001.png||alt="mikrotik-wireguard-001.png" height="452" width="488"]]Если вы предпочитаете работать в терминале, то выполните команду: 15 15 16 -Если вы предпочитаете работать в терминале, то выполните команду: 17 - 18 18 {{{/interface wireguard 19 19 add listen-port=34567 mtu=1420 name=wireguard-sts}}} 20 20 21 21 Затем присвоим созданному интерфейсу IP-адрес, для чего перейдем в **IP - Addresses** и просто добавим нужный адрес. 22 22 23 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-002.png||alt="mikrotik-wireguard-002.png" height="350" width="548"]] 21 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-002.png||alt="mikrotik-wireguard-002.png" height="350" width="548"]]Или: 24 24 25 -Или: 26 - 27 27 {{{/ip address 28 28 add address=10.10.0.1/24 interface=wireguard-sts network=10.10.0.0}}} 29 29 ... ... @@ -36,41 +36,13 @@ 36 36 37 37 Данное правило следует расположить перед запрещающим принимать входящие подключения на внешний интерфейс. 38 38 39 - 40 -**Добавление клиента с телефона:** 41 - 42 - 43 -1) на телефона создаем новое подключение, вносим ip адрес vpn соединения (подсеть выделенная для vpn) 44 - 45 -2) Генерим приватный и публичный ключ и публичный вносим на Mikrotik в созданный Peer 46 - 47 47 Чтобы к нашему роутеру могла подключаться другие узлы нужно создать для каждого из них пир, для этого возвращаемся в **WireGuard - Peers** и создаем новую запись. Здесь нам потребуется **открытый ключ** пира, который следует внести в поле **Public Key** и указать разрешенные сети в **Allowed Address**. В нашем случае мы реализуем сценарий удаленного доступа или объединения сетей, поэтому укажем там внутренний адрес в WireGuard сети, который мы выделили пиру и сеть за ним. 48 48 49 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-003.png||alt="mikrotik-wireguard-003.png" height="309" width="428"]] 37 +[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-003.png||alt="mikrotik-wireguard-003.png" height="309" width="428"]]В терминале: 50 50 51 -В терминале: 52 - 53 53 {{{/interface wireguard peers 54 54 add allowed-address=10.10.0.2/32,192.168.233.0/24 interface=wireguard-sts public-key="9pVP67ehKtQEr6BV46X9SuQrdvys+1QeVT0oeUg71wo="}}} 55 55 56 -3) Берем публичнй ключ с интерфейса сервера на Mikrotik и добавляем его в ПИР мобильного клиента: 57 - 58 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-001.png||alt="mikrotik-wireguard-001.png"]] 59 - 60 -4) В ПИР вводим в поле Конечная точка, iP:порт сервера; разрешенные Ip-адреса 0.0.0.0/0 61 - 62 -5) Сохраняем и подключаемся. 63 - 64 - 65 -Чтобы к нашему роутеру могла подключаться другие узлы нужно создать для каждого из них пир, для этого возвращаемся в **WireGuard - Peers** и создаем новую запись. Здесь нам потребуется **открытый ключ** пира, который следует внести в поле **Public Key** и указать разрешенные сети в **Allowed Address**. В нашем случае мы реализуем сценарий удаленного доступа или объединения сетей, поэтому укажем там внутренний адрес в WireGuard сети, который мы выделили пиру и сеть за ним. 66 - 67 -[[image:https://interface31.ru/tech_it/images/mikrotik-wireguard-003.png||alt="mikrotik-wireguard-003.png" height="309" width="428"]] 68 - 69 -В терминале: 70 - 71 -{{{/interface wireguard peers 72 -add allowed-address=10.10.0.2/32,192.168.233.0/24 interface=wireguard-sts public-key="9pVP67ehKtQEr6BV46X9SuQrdvys+1QeVT0oeUg71wo="}}} 73 - 74 74 Еще раз напомним, что вся адресация внутри WireGuard сети назначается администратором вручную и явно прописывается для каждого пира с обоих сторон. Это один из недостатков WireGuard, который следует из его простоты. 75 75 76 76 С другой стороны, у нас, допустим, будет Windows. Быстро настраиваем там новый туннель, в разделе **Interface** добавляем выделенный узлу адрес, а в разделе **Peer** указываем публичный ключ Mikrotik, его адрес и порт, а в разделе разрешенных адресов добавим адрес WireGuard интерфейса и сети за роутером.