Отличная инструкция, спасибо. Хочу отметить несколько моментов: 1. Вначале настройки вы говорите что для подключения необходимы белые IP на каждой из сторон, что может ввести в заблуждение. Во второй части видео вы показываете что необязательно прописывать Endpoint от компа (или второго роутера) на стороне первого роутера. 2. Для новичков полезно отметить, что вместо белого IP можно использовать DNS name из раздела IP --> Cloud. Именно таким образом и установлено подключение между роутерами в моём случае. 3. Настраивал WG по другой инструкции и не мог понять почему иногда не мог пропинговать домашний роутер. Не знал про параметр Persistent Keepalive и походу соединение прекращалось пока со стороны дома не попытаться подключиться к офису.
1. согласен, в первой части видео для поднятия туннеля между офисами необязательно нужен белый IP на двух сторонах, достаточно на одной стороне. но в этом случае, если мы захотим со своего компьютера получить доступ к локальной сети офиса, у которого нет белого IP, мы не сможем это сделать. поэтому рекомендовал подключить белый IP сразу на обоих роутерах. 2. да, кстати, можно и так, но это только в случае, если провайдер выдает хоть и динамический, но всё же белый IP. знаю, что многие провайдеры даже динамические белые IP не выдают и всех своих абонентов по умолчанию прячут за NAT. а в этом случае DNS в IP > Cloud уже не поможет.
@@loskiq Не совсем понял по первому пункту. В моём случае в офисе белый IP, а дома адрес за NAT. При этом туннель заработал и после прописывания маршрутов могу подключаться из дома к офисным службам и серверам, так и из офиса могу подключиться к домашнему Synology. Но пока не уверен что решилась проблема "отвала" туннеля с помощью Persistent Keepalive. Т.е. через некоторое время становилось невозможно подключиться из офиса к дому. При этом как только с домашнего компа пытаешься подключиться к офису туннель сразу оживает. Нужно время чтобы понаблюдать. (отвечаю с личного аккаунта, а первоначальные вопросы писал с рабочего)
@@loskiq сможем мы все -белый ip нужен СУГУБО на стороне сервера chr (wg server) а все остальные подключаясь к нему будут получать внутритуннельный адрес и на серваке достаточно будет в пирах прописать какие сети за пиром находятся и маршрутизаццией все рразрулить
Здравствуйте! Хочу поделиться своим опытом. Может кому будет полезно. Настроил по инструкции связь офиса со складом. На складе контроллер домена и сервера. Связь получилась только по TCP-IP, DNS имена бообще не виделись, как бы я не делал маршруты, firewall и т.д. Короче решилось всё крайне просто - я добавил статические маршруты в сам микротик в офисе. A-записи с полными доменными именами и адресами серверов и NX запись с названием @ и адресом в полное имя контроллера домена с DNS сервером воедино. И бац - всё заработало! Аллилуя!
Спасибо за видео. Поднял WG для клиентских машин и все норм, если они по обычному инету. С мобильного инета не подключаются, хотя рукопожатие есть. Сотовые операторы блочат и как быть ?
есть регионы по стране, в которых, к сожалению, могут блочить некоторые протоколы vpn. можете почитать форум ntc.party там делятся о случаях блокировки какого-либо ресурса или протокола
Все просто отлично, но для некоторых настроек Микротика придётся прописывать дополнительные правила NAT и Filter Rules, чтобы внешние компы могли видеть внутреннюю сеть. "Дефолтные" настройки как в видео тогда не прокатывают. Туннель устанавливается, но дальше туннельного IP фиг чего увидишь.
@@terraecology9962благодарю за совет, но у меня не пошло... проброс input по 17(udp) на порт wireguarda - уже был.. в NAT сделал маскарад по srcnat на bridge-local прописал - результат тот-же... как и раньше идеально проходит пинг х.х.х.1 в обе стороны и всё, к сожалению
@@arthurdpua Тут уже надо смотреть локальные настройки. Скорее всего они блочатся другими правилами, или где-то ошибка с настройкой. Так что анализируйте собственную последовательность правил. Как вариант - попробуйте разместить правила WireGuarda вначале списка. Если заработает значит, проблема в последовательности. Если нет, то в неверной настройке правил, тогда только смотреть.
Спасибо! Между компьютером и сетью офиса будет полноценно открыта сеть? По всем портам? Например удалённый клиент из любой точки мира имеет в своей домашней сети специфичное оборудование, оно работает сразу на 4 tcp/ip и udp портах, смогу ли я из офиса получить к нему полноценный доступ? т.е. будет ли клиент подключён в режиме бриджа?
верно, два белых ip необязательно. достаточно одного белого ip с любой из сторон, так как wireguard может спокойно работать в одностороннем режиме без указания конкретного endpoint у одной из сторон.
Скажите, в чем заключаются тонкости соединения вг точка -многоточка. Типа звезда. Все клиенты подключаются к одному "серверу". У меня только один микротик имеет белый адрес, остальные за нат. Ну и не выходит настроить так, чтобы клиенты оба работали. Работает либо один, либо другой. И они не видят друг друга
Штука удобная, но вот есть проблемка, которая заклбчается как раз в том, что каждый офис должен иметь белый айпишник, иначе с мобильных устройств не приконнектиться. У меня 3 офиса соединяются через l2tp на ipsec сертификатах, 1 офис с сервером l2tp, остальные 2 офиса имеют серые адреса и коннектятся к серверу, если с пк подключаться, то все круто, сразу попадаешь в локальную сеть, получаешь айпи из преднастроенного пула, без лишних телодвижений и переключений имеешь доступ во все офисы одновременно. А тут так не получается, маршруты не совместимы, через wg пиры нельзя увидеть подсети второго и третьего офиса, хотя маршруты есть и по l2tp пакеты направляются куда нужно. И ладно если 3 офиса всего, а если сотни? Короче wg штука быстрая и простая, но с маршрутизацией нужно еще доработать. Удобно когда доступ иметь нужно только к одному роутеру, например к домашнему, видеонаблюдение и мониторинг там всякий, но как серьезный инструмент для администрирования больших сеток, продукт еще сыроват. Но поскольку на андроиде l2tp вырезали, приходится либо ikev2 настраивать (а на винде этот протокол работает криво и вечно куча проблем с настройкой), либо openvpn, что вариант получше но все равно не идеал.
не должен каждый офис иметь белый ip Подними chr на vps и их одного белого ip будет для wg достаточно, у меня штук 5 микротиков +несколько openwrt подключаются так к chr и есть доступ к их внутренним сетям по ip, а если охота по dns именам ходить, то на любом виндовом серваке поднимается роль wins и прописывается ipшник сервака в Микротики. Да, с их клиента по dns имени доступа нет, но windows тачки если wins прописать друг дружку по dns видят (не в "сетевом окружении" конечно же)
Спасибо Вам. за Ваш труд. А мне вот интересно: Теряется скорость на устройстве при подключении вайргард. К примеру, при выключеном вайргвард устройство получает 100мбит. А если включить на устройстве какая скорость будет? Если можно замеряйте ппожалуйста спидтестом. Спс
Вы с кенетиком не работаете? Не могли бы рассказать как грамотно соединить кинетик и микротик, в случае если у микротик есть белый адрес. например, айписек? Могу предоставить для тестов свой
![Blox Fruits Dragon Rework Update [Full Stream]](http://i.ytimg.com/vi/EqDAp8udhm0/mqdefault.jpg)
Здравствуйте, лучшая инструкция, спасибо вам большое! Если можете выпустите дополнение по поводу объединения трёх офисов 😹
Ru-WireGuard на RouteOS возможно настроить? Вопрос к тому, чтобы туннели и пересекая границу продолжали работать.
Отличная инструкция, спасибо. Хочу отметить несколько моментов:
1. Вначале настройки вы говорите что для подключения необходимы белые IP на каждой из сторон, что может ввести в заблуждение. Во второй части видео вы показываете что необязательно прописывать Endpoint от компа (или второго роутера) на стороне первого роутера.
2. Для новичков полезно отметить, что вместо белого IP можно использовать DNS name из раздела IP --> Cloud. Именно таким образом и установлено подключение между роутерами в моём случае.
3. Настраивал WG по другой инструкции и не мог понять почему иногда не мог пропинговать домашний роутер. Не знал про параметр Persistent Keepalive и походу соединение прекращалось пока со стороны дома не попытаться подключиться к офису.
1. согласен, в первой части видео для поднятия туннеля между офисами необязательно нужен белый IP на двух сторонах, достаточно на одной стороне. но в этом случае, если мы захотим со своего компьютера получить доступ к локальной сети офиса, у которого нет белого IP, мы не сможем это сделать. поэтому рекомендовал подключить белый IP сразу на обоих роутерах.
2. да, кстати, можно и так, но это только в случае, если провайдер выдает хоть и динамический, но всё же белый IP. знаю, что многие провайдеры даже динамические белые IP не выдают и всех своих абонентов по умолчанию прячут за NAT. а в этом случае DNS в IP > Cloud уже не поможет.
@@loskiq Не совсем понял по первому пункту. В моём случае в офисе белый IP, а дома адрес за NAT. При этом туннель заработал и после прописывания маршрутов могу подключаться из дома к офисным службам и серверам, так и из офиса могу подключиться к домашнему Synology.
Но пока не уверен что решилась проблема "отвала" туннеля с помощью Persistent Keepalive. Т.е. через некоторое время становилось невозможно подключиться из офиса к дому. При этом как только с домашнего компа пытаешься подключиться к офису туннель сразу оживает. Нужно время чтобы понаблюдать.
(отвечаю с личного аккаунта, а первоначальные вопросы писал с рабочего)
@@loskiq это по ходу rline ☺
@@shamilaxbaxsky167 нет, но рядом)
@@loskiq сможем мы все -белый ip нужен СУГУБО на стороне сервера chr (wg server) а все остальные подключаясь к нему будут получать внутритуннельный адрес и на серваке достаточно будет в пирах прописать какие сети за пиром находятся и маршрутизаццией все рразрулить
Здравствуйте! Хочу поделиться своим опытом. Может кому будет полезно.
Настроил по инструкции связь офиса со складом. На складе контроллер домена и сервера. Связь получилась только по TCP-IP, DNS имена бообще не виделись, как бы я не делал маршруты, firewall и т.д.
Короче решилось всё крайне просто - я добавил статические маршруты в сам микротик в офисе. A-записи с полными доменными именами и адресами серверов и NX запись с названием @ и адресом в полное имя контроллера домена с DNS сервером воедино. И бац - всё заработало! Аллилуя!
Спасибо за видео. Поднял WG для клиентских машин и все норм, если они по обычному инету. С мобильного инета не подключаются, хотя рукопожатие есть. Сотовые операторы блочат и как быть ?
есть регионы по стране, в которых, к сожалению, могут блочить некоторые протоколы vpn. можете почитать форум ntc.party
там делятся о случаях блокировки какого-либо ресурса или протокола
Все просто отлично, но для некоторых настроек Микротика придётся прописывать дополнительные правила NAT и Filter Rules, чтобы внешние компы могли видеть внутреннюю сеть. "Дефолтные" настройки как в видео тогда не прокатывают. Туннель устанавливается, но дальше туннельного IP фиг чего увидишь.
Да, вы правы.. а как решить эту проблему? Поделитесь опытом. Спасибо
@@arthurdpua В Filter прописал проброс input по 17(udp) на порт wireguarda, а в NAT сделал маскарад по srcnat на bridge-local
@@terraecology9962благодарю за совет, но у меня не пошло... проброс input по 17(udp) на порт wireguarda - уже был.. в NAT сделал маскарад по srcnat на bridge-local прописал - результат тот-же... как и раньше идеально проходит пинг х.х.х.1 в обе стороны и всё, к сожалению
@@arthurdpua Тут уже надо смотреть локальные настройки. Скорее всего они блочатся другими правилами, или где-то ошибка с настройкой. Так что анализируйте собственную последовательность правил. Как вариант - попробуйте разместить правила WireGuarda вначале списка. Если заработает значит, проблема в последовательности. Если нет, то в неверной настройке правил, тогда только смотреть.
@@terraecology9962 Благодарю (P.S. - все правила WireGuarda - самые верхние, таблица правил пуста только маскарад для инета и правило WireGuarda)
почему после настрйки пишет медленный шлюз можете помочь
Спасибо! Между компьютером и сетью офиса будет полноценно открыта сеть? По всем портам? Например удалённый клиент из любой точки мира имеет в своей домашней сети специфичное оборудование, оно работает сразу на 4 tcp/ip и udp портах, смогу ли я из офиса получить к нему полноценный доступ? т.е. будет ли клиент подключён в режиме бриджа?
если у оборудования есть ip адрес если в fwправила настроены правильно то все будет работать
А зачем 2 Белых IP адреса??? Всё работает с одним.
верно, два белых ip необязательно. достаточно одного белого ip с любой из сторон, так как wireguard может спокойно работать в одностороннем режиме без указания конкретного endpoint у одной из сторон.
Большое спасибо!
Скажите, в чем заключаются тонкости соединения вг точка -многоточка. Типа звезда. Все клиенты подключаются к одному "серверу". У меня только один микротик имеет белый адрес, остальные за нат. Ну и не выходит настроить так, чтобы клиенты оба работали. Работает либо один, либо другой. И они не видят друг друга
каждому клиенту нужен свой адрес и на сервере у пиров к каждому клиенту нет точек подключения
Штука удобная, но вот есть проблемка, которая заклбчается как раз в том, что каждый офис должен иметь белый айпишник, иначе с мобильных устройств не приконнектиться. У меня 3 офиса соединяются через l2tp на ipsec сертификатах, 1 офис с сервером l2tp, остальные 2 офиса имеют серые адреса и коннектятся к серверу, если с пк подключаться, то все круто, сразу попадаешь в локальную сеть, получаешь айпи из преднастроенного пула, без лишних телодвижений и переключений имеешь доступ во все офисы одновременно. А тут так не получается, маршруты не совместимы, через wg пиры нельзя увидеть подсети второго и третьего офиса, хотя маршруты есть и по l2tp пакеты направляются куда нужно. И ладно если 3 офиса всего, а если сотни? Короче wg штука быстрая и простая, но с маршрутизацией нужно еще доработать. Удобно когда доступ иметь нужно только к одному роутеру, например к домашнему, видеонаблюдение и мониторинг там всякий, но как серьезный инструмент для администрирования больших сеток, продукт еще сыроват. Но поскольку на андроиде l2tp вырезали, приходится либо ikev2 настраивать (а на винде этот протокол работает криво и вечно куча проблем с настройкой), либо openvpn, что вариант получше но все равно не идеал.
не должен каждый офис иметь белый ip Подними chr на vps и их одного белого ip будет для wg достаточно, у меня штук 5 микротиков +несколько openwrt подключаются так к chr и есть доступ к их внутренним сетям по ip, а если охота по dns именам ходить, то на любом виндовом серваке поднимается роль wins и прописывается ipшник сервака в Микротики. Да, с их клиента по dns имени доступа нет, но windows тачки если wins прописать друг дружку по dns видят (не в "сетевом окружении" конечно же)
непонятен смысл подключения ко второму роутеру с компа или телефона) проще просто маршрут написать было в 3 кнопки
Спасибо.
Но у меня на Микротике-951 нет пункта WireGuard. Его нужно как то отдельно устанавливать?
Вам нужно обновить прошивку до 7-й версии. тогда раздел WireGuard появится
@@loskiq Спасибо за ответ
Спасибо Вам. за Ваш труд. А мне вот интересно: Теряется скорость на устройстве при подключении вайргард. К примеру, при выключеном вайргвард устройство получает 100мбит. А если включить на устройстве какая скорость будет? Если можно замеряйте ппожалуйста спидтестом. Спс
Вы с кенетиком не работаете? Не могли бы рассказать как грамотно соединить кинетик и микротик, в случае если у микротик есть белый адрес. например, айписек? Могу предоставить для тестов свой
Только доступ у тебя сейчас сугубо по IP, я для работы по dns именам поднял wins на виртуалке и в микротиках его прописал