Mikrotik + Wireguard

Локальные сети и Интернет
Ответить
Автор
Сообщение
rembomen
Junior

Сообщение

Всім доброго дня!
Допоможіть будь ласка розібратись з проблемою.
Маю роутер Mikrotik, версія прошивки 7+ (точно не згадаю), збитий до заводських налаштувань, налаштований тільки провайдер, всі інші налаштування базові.
Також маю оплачений впн surfshark намагаюсь їх подружити через wireguard але є трабли в роботі.

Розпишу по пунктам що зробив:
1. з конфіг файлу для wireguard зробив на роутері новий інтерфейс wireguard, добавив peers, данні заповнив з конфіг файлу.
2. Добавив ip адресу з конфіг файлу для wireguard в address list
3. в інтерфейс, в вкладці interface list додав інтерфейс wireguard, назначив йому wan.
4. в роутах дадав маршрут від мого провайдера до сервера wireguard
5. в роутах дадав маршрут від wireguard до 0.0.0.0/0, маршруту від провайдера до 0.0.0.0/0 задав distance 55
6. додав в фаєрволі, в вкладці нат нове правило маскараду для wireguard интерфейсу.

Після всіх дій всі сайти пінгуються, але працює тільки гугл, іноді ютуб та ще деякі сайти, але дуже повільно чи, в більшості випадків, не працюють зовсім. ДНС роздаеться 8.8.8.8, підставляв ДНС з конфіг файлу, все те саме. Перезавантаження роутеру не допоманає.
В пошуку гугл він вірно показую аресу- ареса шлюза wireguard.
В налаштаваннях інтерфейсу wireguard MTU стоїть 1420, міняв значення на інші, результат не дало.
Якщо цей самий конфіг файл завантажити в клієнта wireguard для windows- все працює добре.

Всі скріни тут
спойлер
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Буду дуже вдячний за будь яку допомогу, передивився багато мануалів, робив все як вказано, в них все працює, в мене ні)
Також пробував все це зробити на іншому Mikrotik, прошивка теж 7+, але відрізняеться від попереднього+ інший провайдер, результат той самий.
KashernoTaki
Member
Откуда: Вінниця UA <3

Сообщение

Спробуй fastrack вимкнути в налаштуваннях firewall :).
Якщо не допоможе покажи що там наконфiжено.
Зробити це можна наступним чином:
/export terse hide-sensitive в термiналi мiкрота > встав на pastebin > лiнк сюди.
rembomen
Junior

Сообщение

KashernoTaki: 25.10.2023 14:32 Спробуй fastrack вимкнути в налаштуваннях firewall :).
Якщо не допоможе покажи що там наконфiжено.
Зробити це можна наступним чином:
/export terse hide-sensitive в термiналi мiкрота > встав на pastebin > лiнк сюди.
Готово - https://pastebin.com/FZemyVYR
BohdanUA
Member
Откуда: Львів

Сообщение

Маю свій корпоративний wireguard сервер, коли потрібно виходити через нього в інет то вмикаю маршрут 0.0.0.0/1 до нього. Сам інтрефайс wireguard у списку локальних, без додаткових правил у фаєрфолі. У wireguard peer - allowed addresess включаю також 0.0.0.0/1.
rembomen
Junior

Сообщение

BohdanUA: 25.10.2023 16:32 Маю свій корпоративний wireguard сервер, коли потрібно виходити через нього в інет то вмикаю маршрут 0.0.0.0/1 до нього. Сам інтрефайс wireguard у списку локальних, без додаткових правил у фаєрфолі. У wireguard peer - allowed addresess включаю також 0.0.0.0/1.
Спробував вашу конфігурацію, та інтернет зник взагалі :rotate: пінги не проходять
BohdanUA
Member
Откуда: Львів

Сообщение

У вас там бачу /interface list member add interface=wireguard1 list=WAN, можливо у цьому причина? Так важко сказати. Я про те, щоб роутити 0.0.0.0/1 вичитав на форумі мікротіка, добавив 2 пункта у кофіг і усе запрацювало відразу.
rembomen
Junior

Сообщение

BohdanUA: 25.10.2023 17:45 У вас там бачу /interface list member add interface=wireguard1 list=WAN, можливо у цьому причина? Так важко сказати. Я про те, щоб роутити 0.0.0.0/1 вичитав на форумі мікротіка, добавив 2 пункта у кофіг і усе запрацювало відразу.
Чомусь в моєму випадку це не прцює, міняв з wan на lan та маску з 0 на 1, інтернету нема, пінги не ідуть :insane:
BohdanUA
Member
Откуда: Львів

Сообщение

Що б виявити, де проблема, я раджу для початку зробити в таблиці маршрутизації 1 запис для якось конкретного ресурсу, скажем 1.1.1.1/32. І його пінгувати/трейсити. Так визначити де проблема. Роутити весь трафік 0.0.0.0/0 така собі ідея, він може тупо не доходити до шлюзу провайдера (через маршрут по замовчуванню).
rembomen
Junior

Сообщение

Пінги ідуть до всіх ресурсів :) але на сайти не ходить, тільки гугл і працює. Схоже на проблему з днс :shuffle: по дефолту на роутері стоїть днс гугла, в дхцп теж налаштовано 8.8.8.8. Змінював днс-и на ті, що вказані в config файлі wireguard, результату не дало. Фото траси до гугла виклав в спойлер в темі.

Отправлено спустя 1 минуту 3 секунды:
Також міняв значення mtu, не допомло :weep:
Shpoker
Member
Откуда: Киев

Сообщение

господи, какой мту, куда... (оставь мту автомат либо тот что прямо рекомендует впн провайдер)
1) трейсроут на айпи случайный если идет через гейтвей вайргарда с клиентского компа - значит роутинг ок (таблицу маршрутов не трогаем)
2) днс резолвит имена в айпи при пинге - значит днс ок (днс службу не трогаем)
3) первые 2 ок - копаем фаерволл в сторону позволить всё. не проезжает - копаем глубже в сторону нат (хотя если пинг проезжает сам нат работает, но может где галочку роутбэка проебсмотрел). проезжает - копаем в сторону недостающего правила
4) как подпункт предыдущего, раз про роутбэк вспомнил. если роуты на разные сайты ходят случайными путями (то вайргардом то нет), то ты балансировку случайно безроутбэковую и без прилипания сессии сделал и шифрованный траф просто сходит с ума, при этом голый хттп должен ходить

Отправлено спустя 2 минуты 2 секунды:
rembomen: 25.10.2023 16:54то вмикаю маршрут 0.0.0.0/1
вот это наркомания, простите. это отсекает половину из существующих адрессов и они роутятся мимо. хотим выкинуть гейтвей провайдера - делаем руками, а не задницей (весом маршрута(метрикой) или правильной маленькой маской гейтвея, что автоматом выберет маршрут предпочтительным)
rembomen
Junior

Сообщение

Shpoker: 25.10.2023 20:53 господи, какой мту, куда... (оставь мту автомат либо тот что прямо рекомендует впн провайдер)
1) трейсроут на айпи случайный если идет через гейтвей вайргарда с клиентского компа - значит роутинг ок (таблицу маршрутов не трогаем)
2) днс резолвит имена в айпи при пинге - значит днс ок (днс службу не трогаем)
3) первые 2 ок - копаем фаерволл в сторону позволить всё. не проезжает - копаем глубже в сторону нат (хотя если пинг проезжает сам нат работает, но может где галочку роутбэка проебсмотрел). проезжает - копаем в сторону недостающего правила
4) как подпункт предыдущего, раз про роутбэк вспомнил. если роуты на разные сайты ходят случайными путями (то вайргардом то нет), то ты балансировку случайно безроутбэковую и без прилипания сессии сделал и шифрованный траф просто сходит с ума, при этом голый хттп должен ходить

Отправлено спустя 2 минуты 2 секунды:
rembomen: 25.10.2023 16:54то вмикаю маршрут 0.0.0.0/1
вот это наркомания, простите. это отсекает половину из существующих адрессов и они роутятся мимо. хотим выкинуть гейтвей провайдера - делаем руками, а не задницей (весом маршрута(метрикой) или правильной маленькой маской гейтвея, что автоматом выберет маршрут предпочтительным)
Дякую за підказки :beer: спробую, відпишу
Andrii_s
Junior

Сообщение

rembomen
Не знаю чи якось допоможе, але буквально вчора теж на своєму мікротіку налаштовував Wireguard. Я повний новачок у всьому цьому і робив по Ютубу/Гуглу. Моєю помилкою було прописування IP пірів з закінченням хх.хх.хх.хх/24. Заміна на /32 виправила проблему. Можливо та ж ситуація.
BorisBrejcha
Member
Откуда: Odessa

Сообщение

Если ARM платформа - как вариант - zerotier
Ответить