No name

Links

GitHub
WireGuard вместо PPtP

WireGuard вместо PPtP

visibility409 2022-05-29 09:57:21
Задачи:
Ознакомиться с протоколом WireGuard
Заменить старый протокол PPtP на WireGuard

Для начала, что такое WireGuard – это VPN на спидах. Он не использует различного формата legacy-инструменты что привело к уменьшению потребления ресурсов и увеличению скорости. Для установки соединения не требуется логин/пароль, всё работает через ключи (public & private).
При использовании PPtP на Microtik не удается в настройках брандмауэра использовать конкретный интерфейс так как при сбросе канала он создается заново и правила перестают работать, что приводит к дальней поездке, поэтому приходится использовать all ppp что, на мой взгляд, менее безопасно если подключений VPN много.

Между двумя точками полностью за связь отвечают два роутера MicroTik c 7 версией прошивки. Один из них с белым адресом, он и будет центром, как на старом протоколе. Настройка не составит труда, для этого необходимо в Winbox или веб-версии:
перейти в пункт WireGuard > Интерфейс 
Добавить новый интерфейс, дать название по желанию и нажать Применить. Появятся ключи
Также необходимо изменить MTU на 1450, в противном случае, большая часть сайтов не будет отрываться, если через канал будет идти сетевой трафик в интернет.

UPD:  если нет возможности реализовать MTU 1450, на сервере, то для этого можно использовать следующие правила на клиенте, в моём случае хватило первого с MTU 1300: 
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp out-interface=*название WAN интерфеса* tcp-mss=1300-65535 log=no

/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp in-interface=*название WAN интерфеса* tcp-mss=1300-65535 log=no

IP > Addresses > и назначить адрес для сервера WireGuard например 1.1.1.1/24, interface (выбрать название которое было дано этапом выше)
WireGuard > Peers > Добавить пир в котором нужно указать 
Interface (из 1 этапа), 
Allowed Address (это должен быть адрес клиента и подсеть за этим клиентом или в качестве первого опыта указать 0.0.0.0/0), 
Public Key из интерфейса КЛИЕНТА который будет создан этапом ниже.
Persistent Keepalive – 10

Для настройки клиента потребуется проделать почти всё тоже самое с небольшими поправками
WireGuard > Interface > Добавить интерфейс > также нужно изменить MTU, установить такой же порт как и на сервере нажать применить и появившийся public key скопировать в пир СЕРВЕРА.
IP > Addresses > и назначить адрес для клиента WireGuard например 1.1.1.2/24, interface (выбрать название которое было дано этапом выше)
WireGuard > Peers > Добавить пир в котором нужно указать 
Interface (из 1 этапа), 
Allowed Address (это должен быть адрес сервера и подсеть за этим сервером или в качестве первого опыта указать 0.0.0.0/0), 
Public Key из интерфейса СЕРВЕРА
Persistent Keepalive – 10
Endpoint – белый адрес сервера
Endpoint Port – порт сервера, который был указан в интерфейсе.

После данных этапов должен образоваться канал, наличие которого можно проверить через консоль.

Пару слов если вы всё сделали правильно у сайты через WireGuard не открываются, нужно установить NAT правило 
Chain – srcnat
Out. Interface – название интерфейса WireGuard
Action – masquerade или src-nat и адрес в этой сети что будет более правильно.

Источники:
1) WireGuard — прекрасный VPN будущего?

https://habr.com/ru/post/432686/

2) Настройка WireGuard в MikroTik, VPN туннель между двумя роутерами

https://xn----7sba7aachdbqfnhtigrl.xn--j1amh/nastrojka-wireguard-v-mikrotik-vpn-tunnel-mezhdu-dvumya-routerami/



Back
(c) H963Z57 2014-2022