Направить весь трафик через VPN Wireguard

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
EmilTk
Сообщения: 2
Зарегистрирован: 28 сен 2022, 23:46

Добрый день!

Столкнулся с проблемой направления всего пользовательского трафика через VPN Wireguard.
Имеется mikrotik mAP Lite, который подключается к VPN серверу Wireguard, и все подключенные к нему клиенты по wi-fi должны ходить в Интернет через VPN туннель.

Интерфейс подключения к серверу WG настроил, с mAP вижу всю сеть в туннеле, но не получается завернуть весь пользовательский трафик через этот интерфейс. Если делать трассировку с выбранного интерфейса wireguard1 то трафик идет через него.

Мой конфиг:

Код: Выделить всё

/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=mAP \
    wireless-protocol=802.11
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=192.168.88.100-192.168.88.120
/ip dhcp-server
add address-pool=dhcp interface=wlan1 name=dhcp1
/routing table
add disabled=no fib name=rtab-VPN
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=LAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=<WG_Server_IP> endpoint-port=\
    13321 interface=wireguard1 public-key=<Server_Public_Key>"
/ip address
add address=192.168.88.1/24 interface=wlan1 network=192.168.88.0
add address=10.255.255.11/24 interface=wireguard1 network=10.255.255.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wireguard1 \
    routing-table=rtab-VPN scope=30 suppress-hw-offload=no target-scope=10
/routing rule
add action=lookup-only-in-table disabled=no dst-address=192.168.88.0/24 \
    src-address=192.168.88.0/24 table=main
add action=lookup-only-in-table disabled=no dst-address=0.0.0.0/0 src-address=\
    192.168.88.0/24 table=rtab-VPN
Подскажите, пожалуйста, что я делаю не так, как правильно настроить маршрут для клиентов Wi-Fi через шлюз wireguard1?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

В dhcp клиенте на ether1 параметр Add default route выбираете no.

Вручную в IP-Routes добавляете нужный маршрут.

Что-то вроде Dst. Address 0.0.0.0/0, gateway - IP адрес удаленной стороны в туннеле.

Все!


EmilTk
Сообщения: 2
Зарегистрирован: 28 сен 2022, 23:46

gmx писал(а): 29 сен 2022, 09:03 В dhcp клиенте на ether1 параметр Add default route выбираете no.

Вручную в IP-Routes добавляете нужный маршрут.

Что-то вроде Dst. Address 0.0.0.0/0, gateway - IP адрес удаленной стороны в туннеле.

Все!
Да, это действительно помогло, решение было гораздо проще.
Спасибо!


Ответить