WireGuard в Mikrotik

В чем преимущества WireGuard?

• Работает только по Layer 3
• Включен в Linux kernel
• Работает только по UDP/ Неплохо проходит firewall /Нет проблем с NAT
• Современная криптография
• Прост в использовании и аудите
• Модель аутентификации схожа с SSH

Сравним WireGuard с другими VPN-протоколами:

Сравнивая WireGuard со своими конкурентами по количеству строк, можно сказать, что он является очень маленьким и простым VPN-протоколом.

Рассмотрим настройку данного VPN на оборудовании Mikrotik.

На оборудовании Mikrotik WireGuard появился с версии RouterOS7.1.

Мы можем настроить VPN-туннель между двумя оборудованиями Mikrotik через Интернет (версия RouterOS7.4).

1. Первым делом создадим WireGuard интерфейс.

 

/interface/wireguard/add name=wireguard1 mtu=1420 listen-port=13231



Можно сделать как клиентскую, так и серверную часть. Клиентская часть будет подключаться к серверу, а серверная – ждать подключения.

2. Далее необходимо на созданный интерфейс назначить какой-либо IP-адрес.

 

 /ip/address/add address=10.1.1.1/24 interface=wireguard1 



3. После этого, уже в настройках второго оборудования, точно так же создаем VPN-интерфейс.

 


4. Далее необходимо создать Peers как на сервере, так и на клиенте.

 

add interface=wireguard1 public-key=(PublickKey) endpoint-address=198.51.100.254 endpoint-port=443 allowed-address=10.1.1.0/24,172.29.1.0/24



Поле Public Key у клиента заполняется с данных интерфейса сервера, а у сервера берется с данных клиента, т.е. происходит обмен публичными кодами.

Peers всегда привязываются к интерфейсам, и к каждому интерфейсу их может быть привязано несколько.

С клиентской стороны один интерфейс привязывается к одному серверу.

5. Дальше в настройках клиента мы должны прописать, куда будем подключаться, т.е. указать внешний IP-адрес сервера, куда будем получать доступ.

 


Для этого копируем внешний IP-адрес сервера и вставляем в поле Endpoint.



Данные для поля Endpoint Port берутся из поля Listen Port сервера (можно использовать общедоступные порты для лучшего прохождения Firewall, например, 443).

6. В Peers сервера указываем, какой адрес будет иметь клиент

 


И указываем этот адрес на WireGuard Interface.



7. На клиенте в Allowed Address можно прописать сеть, которая находится за WireGuard сервером.

 


8. Проверить связь между устройствами можно через терминал.

Со стороны клиента прописываем IP-адрес сервера, а со стороны сервера – адрес клиента.

Если же нужна маршрутизация, то есть, например, нужно прописать маршруты в сеть, которая находится у сервера, выполняем следующие действия:

1. Выбираем из таблицы маршрутизации сеть.

 


2. В настройках клиента WireGuard Peer прописываем этот адрес.

 


3. Кроме этого, добавляем эти данные в таблицу маршрутизации.

 


4. Проверяем работу в терминале, прописав адрес.

 

Чтобы была связь между сетями, нужно на сервере прописать маршрут в обратную сторону.

1. Для этого из таблицы маршрутизации выбираем один маршрут и копируем его адрес.

 


2. То же самое делаем на сервере WireGuard, указываем в Peers скопированный адрес.

 


3. В таблице маршрутизации добавляем новый маршрут с этими данными.

 


4. В терминале проверяем адрес командой ping.

Также можно проверить работу сети, которая находится за сервером.

Большинство настроек WireGuard находятся в ручном режиме.

На этом обзор WireGuard закончен.