Недоступны сайты через WireGuard

Brujo · 11 окт 2022, 11:29

Добрый день!

Есть роутер Mikrotik 951G-2HnD (RouterOS 7.5), есть сервер WireGuard на VPS. Сервер рабочий, проверен на нескольих устройствах.
Пробую настроить подключение по этому мануалу: https://interface31.ru/tech_it/2022/04/ ... rotik.html, а именно по второй части "Mikrotik как инициатор (клиент)".
На сервере добавил нового клиента для домашнего роутера, перезапустил. Сделал все настройки согласно мануалу, но указанные подсети вообще недоступны. Пробовал на 2ip.ru (195.201.201.32/32).

ping

tracert

При этом, если смотреть в веб-интерфейсе роутера ("Webfig", "Interfaces"), то видно, что пакеты передаются, появляется значение скорости в столбце Tx, но при этом ничего не принимается. Что не так? Пока что не могу понять.

xvo · 11 окт 2022, 11:38

Кусок конфига с настройками WG?

Brujo · 11 окт 2022, 12:01

Вот, всё лишнее убрал, данные сервера закрыл.

config

xvo · 11 окт 2022, 12:28

Маршрут вот этот для 2ip - он активным показывается?

На стороне сервера для этого пира allowed-address=10.10.1.11 прописан?
Нигде nat случайно не подменяет адрес на какой-то другой?

Brujo · 11 окт 2022, 12:32

xvo писал(а): ↑11 окт 2022, 12:28Маршрут вот этот для 2ip - он активным показывается?

Да.

xvo писал(а): ↑11 окт 2022, 12:28На стороне сервера для этого пира allowed-address=10.10.1.11 прописан?

Да.

xvo писал(а): ↑11 окт 2022, 12:28Нигде nat случайно не подменяет адрес на какой-то другой?

Нет.

Вот скриншот, закрыл только адрес провайдера (у меня белый внешний IP).

xvo · 11 окт 2022, 13:24

И все-таки по поводу NAT’а - маскарад наверняка прописан на interface-list=WAN
Случаем туда wg1 не добавляли?

Brujo · 11 окт 2022, 13:45

Нет. Я не особо продвинутый пользователь в Mikrotik, базовые настройки знаю, но где не уверен, там ничего не делаю. Что я менял по сравнению со стандартными настройками:

Создана учётка с другим именем, а admin удалена.
Адрес локальной подсети - мне 10.0.0.0/24 привычнее.
Имя, пароль и канал Wi-Fi.
DHCP - задал диапазон для выдачи домашним устройствам.
Зарезервировал ряд IP за устройствами - свой компьютер, жены и т.д.
Настраивал проброс двух портов снаружи, сейчас отключено, так как необходимости уже нет.
WireGuard.

P.S. Роутер покупался очень давно, нужно было подключение дома двух провайдеров, а это было самое простое на тот момент решение. В тонкости вникать не было необходимости - работает, и хорошо. Если надо попробовать сбросить настройки, не проблема - всё делается максимум за 10 минут.

xvo · 11 окт 2022, 15:16

А, так подождите, если вам доступ через этот туннель нужен для выхода наружу, то наоборот либо маскарад нужен, либо на сервере дополнительно настраивать надо.

С самого микротика ping/traceroute туда до куда вы пробуете норм идет?

Brujo · 11 окт 2022, 15:20

Пинг идёт, если выбираю интерфейс ether1 или bridge. При выборе wg1 пинга нет.

xvo писал(а): ↑11 окт 2022, 15:16А, так подождите, если вам доступ через этот туннель нужен для выхода наружу

Доступ нужен именно наружу, к ряду ресурсов, доступных в России, но владельцы которых блокируют Крым, например, NVidia.

xvo · 11 окт 2022, 15:22

Просто тупо пересоздть пробовали?
Может где-то ключи не те вставили.

Недоступны сайты через WireGuard

Вход • Регистрация