WireGuard в Mikrotik
Вставка
- Опубліковано 12 лип 2023
- В видео рассмотрим VPN-протокол WireGuard и его настройку на оборудовании Mikrotik.
Mikrotik User Online Meeting в Москве! mum-russia.ru/?...
28 июля 2023 года
Ссылка на статью: mikrotik-training.ru/kb/wireg... - Наука та технологія
Роман, благодарю вас за ваш труд! По долгу службы часто приходится пользоваться вашими роликами!
Благодарю, Роман! Кратко и по сути.
Спасибо тебе хороший человек. Единственное место, где я наконец-то нашел причину почему у меня больше одного пира на одном интерфейсе не работало. Получается, что в настройках пира на сервере Allowed addresses это не адреса, на которые можно ходить клиенту, а именно адрес его интерфейса.
спасибо за пояснение, а я не понимал почему маршруты указанные в ip routes не работают, оказывается wireguard не пропускает пакеты если они проходят не из сети раздела allowed addresses
CapsMan на Wi-Fi Wave2 не получилось настроить. вроде все так же но что то не так) Расскажите пожалуйста! Спасибо за Ваши видео и за Ваш труд!!!
Расскажите, пожалуйста , об harpin nat
Добрый день.Уважаемый,Вы не подскажете на wg нужно ставить mtu тот же что и у провайдера?Провайдер 1500,wg 1420.
Рома, спасибо тебе большое. Как всегда топ. Все по полочкам с конкретными кейсами. Ждем новых образовательных роликов.
добрый день Роман так получилось разобрался с вирегуард до того как увидел ролик но не совсем можно рассмотреть случай когда по данному впн подключается еденичный клиент и его траффик полностью идет через инет доступ сети к которой он подключился
Есть ли клиент работающий без прав администратора(или как служба) и способный перенаправить отельные приложения? Windows. Спасибо.
У меня без указания заначения persistent keepalive тунель не поднимается
Привет. а как подключить микротик к серверу на ubuntu через wireguard/ на сервере поднят wireguard и находится этот сервер за бугром.
Черт, как вовремя то!)))
Я настроил сервер, подключил к нему два других микрота, прописал роуты, линк поднялся но.. пингуется только одна сеть (как я понял, та что была подключена первой). Сталкивались с таким?
А как сделать.. допустим виртуальную вайфай.. назовем ее впн.. и законектиться с WireGuard .. для доступа к запрещенке! инста и.т..д
как для клиента настроить доступ чисто чтоб было ip адрес логин и пароль?
Спасибо! Интересно, даже не думал, что все так просто...
Приветствую господа и дамы. Подскажите, а как правильно реализовывать на wirefuard связь нескольких пиров между собой, при наличии одного сервера и нескольких пиров? Или это невозможно?
а на этот вопрос ответ всё таки нет да?
Когда все это добро будет нормально ходить через фасттрэк?
На стареньком rb2011 скорость режется до 40мбит с нагрузкой CPU под 100.
От микротика слышно что? Решат эту проблему?
Никакого смысла нет использовать WG сеть-сеть, если один клиент железку положит.
Круто, спасибо! Подскажите, может кто-то делал настройку Mikrotik для работы с внешним VPN сервером? Хочется через VPN ходить только на заблокированные сайты, т.е. как-то фильтровать трафик нужно
делал так
Красавчик. Ставлю царский лайк!
немного не понял про такое - возможен ли мультипир на одном серверном интерфейсе? В разделе peers добавляю первого клиента - все работает нормально. По аналогии добавляю второго клиента - и глухо. Показывает, что соединение есть, но через него ничего не ходит. Или же лучше на каждого клиента делать отдельный интерфейс на сервере? Еще такой вопрос - а как настроить логгирование? В стандартном логе нет инфы про коннект/дисконнект.
Столкнулся с такой же ситуацией - больше одного пира с одним серверным интерфейсом не работает.
А что мешает каждому клиенту свой интерфейс сделать? Гордость и предупреждение?
@@user-bw3xr6zy7o ничего не мешает. Пока их мало, это не вызывает затруднений. Но как-то невесело представлять настройку нескольких десятков клиентов.
Нашел свою ошибку: на стороне сервера указал маску 24. Не нужно ничего указывать. Микрот сам подставляет /32 (ставить только на стороне сервера). Сейчас 6 пиров работает - проблем нет.
Пересмотрите видео, этот момент, к сожалению, не комментируется
@@helby255 Действительно, пересмотрел ролик и пронял свою ошибку - я в Peers Allowed Address вписывал неверные адреса (указывал разрешённые сети вместо адреса, выданного клиенту). Спасибо за направление, теперь тоже работает.
не работает у меня. пингуется , но трафик не идет. Даже не знаю что исправлять
Спасибо за пример настройки
Кто не может раздуплить настройку сервера линуксового: прописываете интерфейс и в настройках интерфейса указываются пиры, которым разрешено когтиццо! Проверка пиров идет по "паспорту", то есть по публичному ключу. Значит, в интерфейсе пишем: вот с этим паспортом можно и цеплять с таким-то ip.
Это по сути весь серверный конфиг (без настройки ip tables, я лишь поясняю пиры\ключи)
В конфигах пиров мы прописываем по какому адресу сидит интерфейс, указываем его ip\port и указываем свой закрытый ключ, на основании которого будет делаться ваш "паспорт" для авторизации.
Тот же принцип и у микрота: создаете интерфейс вг, а к нему пир на соседней вкладке. Пир может быть не один, но allowed адрес указываете с маской \32, то есть один, чтоб микрот его легко маршрутизировал.
Параметр allowed addres в интерфейсе указывает куда маршрутизировать клиента, а в пире - с каким адресом цепляться к интерфейсу.
Если пир собирается принять кучку виндовых клиентов, то в виндовом клиенте создаете пустой конфиг, этот конфиг сгенерит вам закрытый ключ и сверху покажет открытый. Вот тот открытый и суете в настройку пира на микрот.
Если цеплять два микрота, то с белым IP создаете интерфейс, к нему пира и в пире - публичный ключ другого микрота.
Надеюсь, прояснил )) У меня долго каша стояла, пока не разложил подобным образом для себя и тогда стало понятно!
Добрый день! Спасибо за видео! Вопрос - можно ли оставить сервер l2tp/ipsec, и на нем поднять wireguard сервер (для постепенного перехода на wireguard)? Спасибо!
конечно можно.
Подскажите,возможно ли активировать (временно) полную лицензию RouterOS с поддержкой реальных DDNS,мне необходимо обкатать 3 маршрутизатора (проверить задачу/подготовится)?
демо версия полная только на 24 часа. настраивайте и каждый день импорт\експорт конфигов
@@tr0jan4ik Как ее включить?
Там DDNS-адрес будет (в cloud)?
@@barabucho для ваейгарда. Это лучше чем дднс
@@tr0jan4ik Так как активировать полную лицензию на 24ч?
@@barabucho да демо и есть полная. Открой микротик Вики там описано лицензирование.
Спасибо большое!
Подскажите пожалуйста как настроить маршрутизацию для заворота всего трафика из локальной сети в тоннель.
он же описал в 7:39 как добавлять подсеть которой разрешена отправка данных в туннель
@@steelfactor9461 мне не нужна одна подсеть, мне нужен основной маршрут для локальной сети, который заворачивает трафик в тоннель и не ломает интернет для роутера.
@@user-px4on4qs7c
не прописывать в впн конфиге днс
тогда трафик для инторнета будет ходить через провайдера как обычно
Mangle?
у меня такой фунцкии нету.. что делать ?
Спасибо огромное за Ваш труд, хотелось бы в дальнейшем увидеть про технологию romon!
Роман но там же 443 udp а не tcp поэтому оператора всеравно его могут отлавливать 5:30 время
Я думаю, выбор 443 порта имел ввиду не избежание WireGuard детектирования (к слову с этим проблем вообще нет), а именно целесообразность анализа трафика на данном порту в плане "стоимости" и создаваемых оверхедов на стороне isp
в смысле "сейчас современная версия ros - 7.4"? может быть уже 7.10?
Это видео 2022 года
7.10.1
@@cuctemko 7.10.2
А как со скоростью тоннеля?
Присоединяюсь к вопросу. Что по итогу выйдет скоростнее, легковесный вг или аппаратно ускоренный ипсек на каком нибудь ас2 например
Странно, но получить доступ к компьютеру в разрешенной сети через wireguard не получилось. Видать что-то криво работает в микротике.
Mikrotok не уникален в работе с WireGuard. Вам нужно посмотреть настройки firewall на MikroTik и локальном компьютере. Приходите в телегам чат @miktrain - попробуем разобраться почему у вас не получилось настроить доступ к компьютеру.
не имеет смысла менять порт на 443, надеясь на лучшее прохождение через фаерволы. у каждого оператора стоит тспу, которому по барабану на destination порт, потому что он может блокировать тупо сам протокол
@@PepperCookiesпока самый надёжный в плане прохождения протокол - это sstp
@@PepperCookies почему палевный? шифрование ведь происходит через сертификат
А обфускацию пакетов поверх WireGuard'а можно настроить?
@@ilgamgalimov1243 есть форк wireguard, называется amnezia-wg. этот форк как раз и обфусцирует трафик wireguard. но между микротиками такое не заведешь, к сожалению...
самое стремное тут, про что не рассказывает Роман - это траблшутинг всего этого, если оно не работает - то вообще не понятно почему, ни тебе инфы в логах чтотнапример ключ не верный, ничего
У меня весь траблшутинг свелся в втыкамию минут 15 почему пакеты идут только в одну сторону, все ключи верные, адреса верные, пока не вспомнил, что неплохо бы в iptables правило создать на инпут. И сразу всё поехало.
Нафига в Allowed IP адрес интерфейса ? :))) Тогда уж и в firewall добавить правило для траффика между интерфейсами wireguard. :)))
Хм, я что-то не видел, чтобы по 443/UDP ходил https, как об этом говорит Роман...
Quic сидит на 443udp
Смотри протокол HTTP/3
У меня настроен dual wan. Не знаю почему, но он работает только с одним провайдером. По какой-то причине он получает пакет со второго интерфейса но всегда отправляет его на первый... Что я только не делал, у меня ни чего не вышло
ip сервера и клиента wg заверните в таблице маршрутизации только через одного провайдера. Вроде работает без проблем, только заворачивать желательно с двух сторон))
@@D1abl093 пробовал. Не работает. Возможно правила не те...
тоже настроен dualwan. В качестве Allowed IP указал адрес из IP/Cloud. Работает, пока не произойдет смена адреса на резервный. В таком случае приходится отключить/подключить интерфейс на клиенте
Можно ли использовать ipcloud ареса так как имеется динамические адреса у мобильного оператора?
Режется на уровне провайдера. Использую OpenVPN.
а если порт поменять на 443 как в видосе ?
@@TheDominik8602 Не помогает. Рвется соединение. Wireguard очень легко прикрыть.
с каких пор провайдеры стали резать впн? после ковида куча работяг отправилась на домашние офисы, а там всегда по впн доступ
на нормальном проверенном провайдерах надо сидеть, а не каком-то Ростелекоме...
@@kalobyte Я живу в ЕС .. тут сейчас многое режут идущее с РФ. Внутри страны то явно не блокируют соединения, а международку .....
WireGuard все! в РФ присутствует DPI, ждать теперь от микротика новых функций shadowsocks
его минус в том, что клиент не получает ип адрес от дхцп
возни много с настройкой под каждого
если только site2site
есть софтовый, ставится на комп. ты там настраиваешь только ник сотрудника и он в автоматическом режиме создает все настройки. на выходе получается файл с расширением .conf для приложения на пк и QR код для приложения на телефоне
@@lunahod2426
.я в курсе про скрипт генерации конфига и даже вебморду
но это все равно не то малость
да и механизм направления инторнетного трафика через впн или через провайдера непонятен
должен быть какой-то параметр, чтобы включить полное перенаправление через впн или же выключить его
Надо рассказать про настройку Wi-Fi 6 там перелопатили интерфейс
Мой 751 от седьмой прошивки дохнет, наверное уже слишком стар 🙂
Роман, моё почтение!
Can u do English version please
Вопрос, а как защитить WireGuard от перебора ключей. Меня начали пытаться ломануть, в логах видно, что рандомными ключами пытаются перебрать подключение. Понятно, что вряд ли смогут, но канал то забивают, что не есть хорошо.
Это многое проясняет.Я имею ввиду обратную маршрутизацию.
Настроил на телефон вг, очень доволен. Раньше ходил домой через опенвпн, который было лень разбираться с сертификатами, между адресами на микротиках был сделан в упрощённом виде без сертификатов. А для телефона отдельный вход на линукс машинке. Всё работает как то медленно, смотрю через них видеонаблюдение, открывается с задержкой. Сейчас за вечер разобрался с вг, устроил вход с телефона прям на мт. Камеры открываются мгновенно, без задержек. Очень понравилось. Буду переводить на вг так же и все свои межмикротиковские стыки
Как увидеть покдлючение клиентов в Lease-ах?
чет не пашет, пингует только внешку, А ПОЧЕМУ?? а потому что Роман как всегда про правило firewall не говорит /ip firewall filter
add action=accept chain=input dst-port=443 in-interface-list=WAN protocol=\udp
Ещё одна НЕ рабочая инструкция!!! Пинги между роутерами идут а вот до железок в сети - полная тишина. пакеты пропадают в роутерах. Фаервола для теста НЕТ совсем!!!
Спасибо, нудно и запутано. Обратился к специалистам официального источника и все понял...
0:59 В видео приведено сравнение по кодовой базе. Строк кода WireGuard приблизительно в 31 раз меньше чем у OpenVPN. В животном мире, например, такая разница в соотношение нейронов в мозгу позволяет организму выделиться уже в новый тип. Это все равно что сравнивать насекомое (например таракана) с мелкими млекопитающими (бурозубки). У них разница в числе нейронов в мозгу тоже, как раз в 30 раз. Если же сравнить по кодовой базе WireGuard c IPSEC, то это все равно что сравнивать таракана с предствителями мелких птиц (Зебровая амадина).
Чем больше строк кода тем лучше? Понял, спасибо
@@kifchan Скорее этот комментарий про то, что сравнивать лучше насекомых с насекомыми , птиц с птицами, а млекопитающих с млекопитающими.
@@ninjasassasin3224 Раньше компьютеры ели в офисе помещались, а теперь в кармане лежит. Время не стоит на месте...
@@gordon-free-man В стародавние времена, когда компьютеры были большими, а программы на них маленькими...)))
А если серьезно - меньший код - лучшее быстродействие.
wireguard поикольный, если ничего не нужно от слова совсем. А так примитивный, как полено. ВПН из серии "закат солнца вручную"
сравнивал скорость передачи файлов на одном и том же оборудовании с разными типами впн-подключения. Скорость копирования через wireguard оказалась в разы выше, чем например L2TP или PPTP. Кроме того, wireguard отлично настраивается на устройствах Windows, iOS, Android из серии настроил и забыл. Скорость, опять же, на высоте
@@PredatorGHПо скорости он отличный, тут вопросов нет. Самый быстрый. Но всё вручную ) вообще всё и на всём. (для телефонов можно настроить выдачу настроек по QR коду). Но тот же Ovpn может натурально чёрта лысого и раздавать клиентам и настраивать. Маршруты, например, индивидуально и всё на уровне сервера. wg не умеет вообще ничего ) просто шифрует траффик и всё. А остальное ручками. Ну и отлаживать wg тяжко. Если что то не работает, то понять что, например по логу - обычно просто нельзя ))) Например добавил клиента (пира) и забыл перегрузить сервер. На клиенте (пире) уже просто измождился, всё перепробовал. Не работает. а что, почему - хз.
Ещё пока сырая технология.
В ядре Linux. В MikroTik реализация из ядра.
Почему он у тебя вдруг вЕргуард, когда он вАэргард? Ты столько лет работаешь с зарубежными железками, но так и не научился произносить простое слово - Провод + охрана?)
Просто немного смущает этот момент.
Ничего,скоро и это в Сроссии заблочат, не заморачивайтесь