WireGuard в Mikrotik

Роман, благодарю вас за ваш труд! По долгу службы часто приходится пользоваться вашими роликами!

Благодарю, Роман! Кратко и по сути.

Спасибо тебе хороший человек. Единственное место, где я наконец-то нашел причину почему у меня больше одного пира на одном интерфейсе не работало. Получается, что в настройках пира на сервере Allowed addresses это не адреса, на которые можно ходить клиенту, а именно адрес его интерфейса.

спасибо за пояснение, а я не понимал почему маршруты указанные в ip routes не работают, оказывается wireguard не пропускает пакеты если они проходят не из сети раздела allowed addresses

CapsMan на Wi-Fi Wave2 не получилось настроить. вроде все так же но что то не так) Расскажите пожалуйста! Спасибо за Ваши видео и за Ваш труд!!!

Расскажите, пожалуйста , об harpin nat

Добрый день.Уважаемый,Вы не подскажете на wg нужно ставить mtu тот же что и у провайдера?Провайдер 1500,wg 1420.

Рома, спасибо тебе большое. Как всегда топ. Все по полочкам с конкретными кейсами. Ждем новых образовательных роликов.

добрый день Роман так получилось разобрался с вирегуард до того как увидел ролик но не совсем можно рассмотреть случай когда по данному впн подключается еденичный клиент и его траффик полностью идет через инет доступ сети к которой он подключился

Есть ли клиент работающий без прав администратора(или как служба) и способный перенаправить отельные приложения? Windows. Спасибо.

У меня без указания заначения persistent keepalive тунель не поднимается

Привет. а как подключить микротик к серверу на ubuntu через wireguard/ на сервере поднят wireguard и находится этот сервер за бугром.

Черт, как вовремя то!)))

Я настроил сервер, подключил к нему два других микрота, прописал роуты, линк поднялся но.. пингуется только одна сеть (как я понял, та что была подключена первой). Сталкивались с таким?

А как сделать.. допустим виртуальную вайфай.. назовем ее впн.. и законектиться с WireGuard .. для доступа к запрещенке! инста и.т..д

как для клиента настроить доступ чисто чтоб было ip адрес логин и пароль?

Спасибо! Интересно, даже не думал, что все так просто...

Приветствую господа и дамы. Подскажите, а как правильно реализовывать на wirefuard связь нескольких пиров между собой, при наличии одного сервера и нескольких пиров? Или это невозможно?

Когда все это добро будет нормально ходить через фасттрэк?
На стареньком rb2011 скорость режется до 40мбит с нагрузкой CPU под 100.
От микротика слышно что? Решат эту проблему?
Никакого смысла нет использовать WG сеть-сеть, если один клиент железку положит.

Круто, спасибо! Подскажите, может кто-то делал настройку Mikrotik для работы с внешним VPN сервером? Хочется через VPN ходить только на заблокированные сайты, т.е. как-то фильтровать трафик нужно

Красавчик. Ставлю царский лайк!

немного не понял про такое - возможен ли мультипир на одном серверном интерфейсе? В разделе peers добавляю первого клиента - все работает нормально. По аналогии добавляю второго клиента - и глухо. Показывает, что соединение есть, но через него ничего не ходит. Или же лучше на каждого клиента делать отдельный интерфейс на сервере? Еще такой вопрос - а как настроить логгирование? В стандартном логе нет инфы про коннект/дисконнект.

не работает у меня. пингуется , но трафик не идет. Даже не знаю что исправлять

Спасибо за пример настройки

Кто не может раздуплить настройку сервера линуксового: прописываете интерфейс и в настройках интерфейса указываются пиры, которым разрешено когтиццо! Проверка пиров идет по "паспорту", то есть по публичному ключу. Значит, в интерфейсе пишем: вот с этим паспортом можно и цеплять с таким-то ip.
Это по сути весь серверный конфиг (без настройки ip tables, я лишь поясняю пиры\ключи)
В конфигах пиров мы прописываем по какому адресу сидит интерфейс, указываем его ip\port и указываем свой закрытый ключ, на основании которого будет делаться ваш "паспорт" для авторизации.
Тот же принцип и у микрота: создаете интерфейс вг, а к нему пир на соседней вкладке. Пир может быть не один, но allowed адрес указываете с маской \32, то есть один, чтоб микрот его легко маршрутизировал.
Параметр allowed addres в интерфейсе указывает куда маршрутизировать клиента, а в пире - с каким адресом цепляться к интерфейсу.
Если пир собирается принять кучку виндовых клиентов, то в виндовом клиенте создаете пустой конфиг, этот конфиг сгенерит вам закрытый ключ и сверху покажет открытый. Вот тот открытый и суете в настройку пира на микрот.
Если цеплять два микрота, то с белым IP создаете интерфейс, к нему пира и в пире - публичный ключ другого микрота.
Надеюсь, прояснил )) У меня долго каша стояла, пока не разложил подобным образом для себя и тогда стало понятно!

Добрый день! Спасибо за видео! Вопрос - можно ли оставить сервер l2tp/ipsec, и на нем поднять wireguard сервер (для постепенного перехода на wireguard)? Спасибо!

Подскажите,возможно ли активировать (временно) полную лицензию RouterOS с поддержкой реальных DDNS,мне необходимо обкатать 3 маршрутизатора (проверить задачу/подготовится)?

Спасибо большое!

Подскажите пожалуйста как настроить маршрутизацию для заворота всего трафика из локальной сети в тоннель.

у меня такой фунцкии нету.. что делать ?

Спасибо огромное за Ваш труд, хотелось бы в дальнейшем увидеть про технологию romon!

Роман но там же 443 udp а не tcp поэтому оператора всеравно его могут отлавливать 5:30 время

в смысле "сейчас современная версия ros - 7.4"? может быть уже 7.10?

А как со скоростью тоннеля?

Странно, но получить доступ к компьютеру в разрешенной сети через wireguard не получилось. Видать что-то криво работает в микротике.

не имеет смысла менять порт на 443, надеясь на лучшее прохождение через фаерволы. у каждого оператора стоит тспу, которому по барабану на destination порт, потому что он может блокировать тупо сам протокол

самое стремное тут, про что не рассказывает Роман - это траблшутинг всего этого, если оно не работает - то вообще не понятно почему, ни тебе инфы в логах чтотнапример ключ не верный, ничего

Нафига в Allowed IP адрес интерфейса ? :))) Тогда уж и в firewall добавить правило для траффика между интерфейсами wireguard. :)))

Хм, я что-то не видел, чтобы по 443/UDP ходил https, как об этом говорит Роман...

У меня настроен dual wan. Не знаю почему, но он работает только с одним провайдером. По какой-то причине он получает пакет со второго интерфейса но всегда отправляет его на первый... Что я только не делал, у меня ни чего не вышло

Можно ли использовать ipcloud ареса так как имеется динамические адреса у мобильного оператора?

Режется на уровне провайдера. Использую OpenVPN.

WireGuard все! в РФ присутствует DPI, ждать теперь от микротика новых функций shadowsocks

его минус в том, что клиент не получает ип адрес от дхцп
возни много с настройкой под каждого
если только site2site

Надо рассказать про настройку Wi-Fi 6 там перелопатили интерфейс

Мой 751 от седьмой прошивки дохнет, наверное уже слишком стар 🙂

Роман, моё почтение!

Вопрос, а как защитить WireGuard от перебора ключей. Меня начали пытаться ломануть, в логах видно, что рандомными ключами пытаются перебрать подключение. Понятно, что вряд ли смогут, но канал то забивают, что не есть хорошо.

Это многое проясняет.Я имею ввиду обратную маршрутизацию.

Настроил на телефон вг, очень доволен. Раньше ходил домой через опенвпн, который было лень разбираться с сертификатами, между адресами на микротиках был сделан в упрощённом виде без сертификатов. А для телефона отдельный вход на линукс машинке. Всё работает как то медленно, смотрю через них видеонаблюдение, открывается с задержкой. Сейчас за вечер разобрался с вг, устроил вход с телефона прям на мт. Камеры открываются мгновенно, без задержек. Очень понравилось. Буду переводить на вг так же и все свои межмикротиковские стыки

Как увидеть покдлючение клиентов в Lease-ах?

чет не пашет, пингует только внешку, А ПОЧЕМУ?? а потому что Роман как всегда про правило firewall не говорит /ip firewall filter
add action=accept chain=input dst-port=443 in-interface-list=WAN protocol=\udp

Ещё одна НЕ рабочая инструкция!!! Пинги между роутерами идут а вот до железок в сети - полная тишина. пакеты пропадают в роутерах. Фаервола для теста НЕТ совсем!!!

Спасибо, нудно и запутано. Обратился к специалистам официального источника и все понял...

0:59 В видео приведено сравнение по кодовой базе. Строк кода WireGuard приблизительно в 31 раз меньше чем у OpenVPN. В животном мире, например, такая разница в соотношение нейронов в мозгу позволяет организму выделиться уже в новый тип. Это все равно что сравнивать насекомое (например таракана) с мелкими млекопитающими (бурозубки). У них разница в числе нейронов в мозгу тоже, как раз в 30 раз. Если же сравнить по кодовой базе WireGuard c IPSEC, то это все равно что сравнивать таракана с предствителями мелких птиц (Зебровая амадина).

wireguard поикольный, если ничего не нужно от слова совсем. А так примитивный, как полено. ВПН из серии "закат солнца вручную"

Ещё пока сырая технология.

Почему он у тебя вдруг вЕргуард, когда он вАэргард? Ты столько лет работаешь с зарубежными железками, но так и не научился произносить простое слово - Провод + охрана?)
Просто немного смущает этот момент.

Ничего,скоро и это в Сроссии заблочат, не заморачивайтесь