Как настроить Mikrotik на работу с Wireguard?

Question

[mrdanic]

Здравствуйте!
Имеется VPS с установленным Wireguard, что нужно прописать в конфиг на сервере и в Mikrotik'e для того чтобы весь трафик шел через тунель и устройства в сети VPN могли "сообщаться" друг с другом?
На Mikrotik'e IP адрес динамический, интернет идет через модем, RouterOS 7.1beta4.

Answer 1

[Ragnar Black]

Отлично, раз у вас beta 7.1, то этот момент сразу пропускаем.

И так.
На сервере вы настраиваете всё точно также как и обычно - добавляете нового peer в файл настроек wireguard.
На микротик настраиваете подключение согласно одной из множества инструкций по настройке WG на MikroTik

Как только коннект установлен и линки подняты начинается интересное.
На vps уже должны быть разрешены форфардинг пакетов с и на интернфейс wireguard (обычно это wg0) и включен форвардинг пакетов на уровне ядра (соответствующая настройка в файл sysctl.conf)

Теперь настройки микротик:
настроить новый NAT на интерфейс wireguard
в настройках firewall в address list добавить адрес вашей локальной сети (например имя LAN, адрес 192.168.88.0/24)
Там же в firewall в mangle настраиваете маркировку соединений: prerouting - src. address list "LAN" - action "Mark Connetion" - New connection mark "bh-conn"
рядом же маркируете маршруты по этому соединению: prerouting - connection mark "bh-conn" - src. address list "LAN" - action "mark routing" new routing mark "bh-rt"
После заходите в ip - route, добавляете новый статический маршрут с большой "ценой", пусть будет 100, gateway выбираете интерфейс wireguard, route mark выбираете bh-rt
после всех этих манипуляций весь трафик из вашей локальной сети должен пойти в тоннель на vps

Answer 2

[Владислав]

Wireguard через модем не заработает, нужны белые IP с двух сторон.
Вы можете поднять на VPS сервер L2TP+IPSec и с микротика, имеющего серый IP, подключиться к серверу.