Mikrotik WireGuard в качестве WireGuard клиента (peer)
В RouterOS 7 появился WireGuard, который позиционирует себя как максимально простой в настройке VPN
Исходные данные
- WireGuard Server в сети предприятия: 192.16.1.0/24, UDP-порт опубликован
- Туннельная сеть: 172.16.30.0/24
- Туннельный IP WireGuard Server: 172.16.30.1
- Туннельный IP WireGuard Peer: 172.16.30.9
- Домашняя сеть: 192.168.11.0/24
- Домашний роутер (Mikrotik, RouteOS 7): 192.168.11.1
Настройка WireGuard клиента
Запускаем Winbox, переходим пункт меню wireguard создаем новый интерфейс
1
2
Name: wireguard1
MTU: 1420
создаем новый интерфейс
После сохранения должны сгенерироваться приватный и публичный ключи
Далее идем: IP -> Addresses, добавляем туннельный ip-адрес
1
2
3
Address: 172.16.30.9/24
Network: 172.16.30.0
Interface: wireguard1 (из прошлого шага)
добавляем туннельный ip-адрес
Возвращаемся в пункт меню WireGuard, вкладка Peers. Будем настраивать наш роутер как Wireguard Peer
1
2
3
4
5
6
Interface: wireguard1
Publiv Key: вставляем публичный ключ wireGuard сервера
Endpoint: публичный ip wireguard сервера
Endpoint Port: UDP-порт wireGuard сервера
Allowed Address: 172.16.30.1/32 - туннельный ip wireGuard сервера
192.168.1.0/24 - сеть предприятия
Wireguard Peer
Добавляем маршрутизацию, переходим: IP -> Routes
Тут сам должен был появиться маршрут:
1
2
3
Dst Address: 172.16.30.0/24
Gateway: wireguard1
Distance: 0
Добавляем маршрут до сети предприятия
1
2
Dst Address: 192.168.1.0/24
Gateway: wireguard1
добавляем маршрут
Настройка WireGuard сервера
Редактируем конфиг сервера, добавляем пира
1
2
3
4
5
6
$ sudo nano /etc/wireguard/wg0.conf
...
[Peer]
# Client 3
PublicKey = %публичный ключ с клиента (с нашего роутера)%
AllowedIPs = 172.16.30.9/32, 192.168.11.0/24
AllowedIPs - список разрешенных ip, в том числе наша домашняя сетка (иначе из нашей сети не будет доступа к удаленной сети)
Перезапускаем WireGuard Server
1
$ sudo systemctl restart wg-quick@wg0
Теперь из домашней сети должны быть доступны ПК из сети предприятия