Роман, благодарю вас за ваш труд! По долгу службы часто приходится пользоваться вашими роликами!

Благодарю, Роман! Кратко и по сути.

Рома, спасибо тебе большое. Как всегда топ. Все по полочкам с конкретными кейсами. Ждем новых образовательных роликов.

Черт, как вовремя то!)))

Спасибо тебе хороший человек. Единственное место, где я наконец-то нашел причину почему у меня больше одного пира на одном интерфейсе не работало. Получается, что в настройках пира на сервере Allowed addresses это не адреса, на которые можно ходить клиенту, а именно адрес его интерфейса.

Спасибо! Интересно, даже не думал, что все так просто...

CapsMan на Wi-Fi Wave2 не получилось настроить. вроде все так же но что то не так) Расскажите пожалуйста! Спасибо за Ваши видео и за Ваш труд!!!

Красавчик. Ставлю царский лайк!

Роман, моё почтение!

Спасибо огромное за Ваш труд, хотелось бы в дальнейшем увидеть про технологию romon!

спасибо за пояснение, а я не понимал почему маршруты указанные в ip routes не работают, оказывается wireguard не пропускает пакеты если они проходят не из сети раздела allowed addresses

Спасибо за пример настройки

Расскажите, пожалуйста , об harpin nat

Кто не может раздуплить настройку сервера линуксового: прописываете интерфейс и в настройках интерфейса указываются пиры, которым разрешено когтиццо! Проверка пиров идет по "паспорту", то есть по публичному ключу. Значит, в интерфейсе пишем: вот с этим паспортом можно и цеплять с таким-то ip. Это по сути весь серверный конфиг (без настройки ip tables, я лишь поясняю пиры\ключи) В конфигах пиров мы прописываем по какому адресу сидит интерфейс, указываем его ip\port и указываем свой закрытый ключ, на основании которого будет делаться ваш "паспорт" для авторизации. Тот же принцип и у микрота: создаете интерфейс вг, а к нему пир на соседней вкладке. Пир может быть не один, но allowed адрес указываете с маской \32, то есть один, чтоб микрот его легко маршрутизировал. Параметр allowed addres в интерфейсе указывает куда маршрутизировать клиента, а в пире - с каким адресом цепляться к интерфейсу. Если пир собирается принять кучку виндовых клиентов, то в виндовом клиенте создаете пустой конфиг, этот конфиг сгенерит вам закрытый ключ и сверху покажет открытый. Вот тот открытый и суете в настройку пира на микрот. Если цеплять два микрота, то с белым IP создаете интерфейс, к нему пира и в пире - публичный ключ другого микрота. Надеюсь, прояснил )) У меня долго каша стояла, пока не разложил подобным образом для себя и тогда стало понятно!

Добрый день.Уважаемый,Вы не подскажете на wg нужно ставить mtu тот же что и у провайдера?Провайдер 1500,wg 1420.

Спасибо большое!

объединил два офиса по wireguard, в обоих - микротики. все классно инет у каждого свой, если надо адреса в сетях доступны. Но в первой сети есть сервера и сервисы, к которым удобнее обращаться по имени. Внутри первой сети все нормуль, а вот как быть во второй сети? как туда пробросить dns из первой сети?

добрый день Роман так получилось разобрался с вирегуард до того как увидел ролик но не совсем можно рассмотреть случай когда по данному впн подключается еденичный клиент и его траффик полностью идет через инет доступ сети к которой он подключился

Круто, спасибо! Подскажите, может кто-то делал настройку Mikrotik для работы с внешним VPN сервером? Хочется через VPN ходить только на заблокированные сайты, т.е. как-то фильтровать трафик нужно

У меня без указания заначения persistent keepalive тунель не поднимается

Я настроил сервер, подключил к нему два других микрота, прописал роуты, линк поднялся но.. пингуется только одна сеть (как я понял, та что была подключена первой). Сталкивались с таким?

Есть ли клиент работающий без прав администратора(или как служба) и способный перенаправить отельные приложения? Windows. Спасибо.

Приветствую господа и дамы. Подскажите, а как правильно реализовывать на wirefuard связь нескольких пиров между собой, при наличии одного сервера и нескольких пиров? Или это невозможно?

самое стремное тут, про что не рассказывает Роман - это траблшутинг всего этого, если оно не работает - то вообще не понятно почему, ни тебе инфы в логах чтотнапример ключ не верный, ничего

немного не понял про такое - возможен ли мультипир на одном серверном интерфейсе? В разделе peers добавляю первого клиента - все работает нормально. По аналогии добавляю второго клиента - и глухо. Показывает, что соединение есть, но через него ничего не ходит. Или же лучше на каждого клиента делать отдельный интерфейс на сервере? Еще такой вопрос - а как настроить логгирование? В стандартном логе нет инфы про коннект/дисконнект.

Роман но там же 443 udp а не tcp поэтому оператора всеравно его могут отлавливать 5:30 время

как для клиента настроить доступ чисто чтоб было ip адрес логин и пароль?

Когда все это добро будет нормально ходить через фасттрэк? На стареньком rb2011 скорость режется до 40мбит с нагрузкой CPU под 100. От микротика слышно что? Решат эту проблему? Никакого смысла нет использовать WG сеть-сеть, если один клиент железку положит.

Привет. а как подключить микротик к серверу на ubuntu через wireguard/ на сервере поднят wireguard и находится этот сервер за бугром.

Я пытался сделать впн платный на микрот через вайргард, есть все конфиги, но у меня утекает ДНС и потому не открываются сайты заблокированные, хотя айпишник внешний меняется и трафик идет. Если с Вами как-то можно связаться, то буду признателен за помощь

не работает у меня. пингуется , но трафик не идет. Даже не знаю что исправлять

Режется на уровне провайдера. Использую OpenVPN.

А как сделать.. допустим виртуальную вайфай.. назовем ее впн.. и законектиться с WireGuard .. для доступа к запрещенке! инста и.т..д

Добрый день! Спасибо за видео! Вопрос - можно ли оставить сервер l2tp/ipsec, и на нем поднять wireguard сервер (для постепенного перехода на wireguard)? Спасибо!

А как со скоростью тоннеля?

не имеет смысла менять порт на 443, надеясь на лучшее прохождение через фаерволы. у каждого оператора стоит тспу, которому по барабану на destination порт, потому что он может блокировать тупо сам протокол

Настроил на телефон вг, очень доволен. Раньше ходил домой через опенвпн, который было лень разбираться с сертификатами, между адресами на микротиках был сделан в упрощённом виде без сертификатов. А для телефона отдельный вход на линукс машинке. Всё работает как то медленно, смотрю через них видеонаблюдение, открывается с задержкой. Сейчас за вечер разобрался с вг, устроил вход с телефона прям на мт. Камеры открываются мгновенно, без задержек. Очень понравилось. Буду переводить на вг так же и все свои межмикротиковские стыки

Хм, я что-то не видел, чтобы по 443/UDP ходил https, как об этом говорит Роман...

в смысле "сейчас современная версия ros - 7.4"? может быть уже 7.10?

Подскажите,возможно ли активировать (временно) полную лицензию RouterOS с поддержкой реальных DDNS,мне необходимо обкатать 3 маршрутизатора (проверить задачу/подготовится)?

WireGuard все! в РФ присутствует DPI, ждать теперь от микротика новых функций shadowsocks

Подскажите пожалуйста как настроить маршрутизацию для заворота всего трафика из локальной сети в тоннель.

Это многое проясняет.Я имею ввиду обратную маршрутизацию.

Надо рассказать про настройку Wi-Fi 6 там перелопатили интерфейс

его минус в том, что клиент не получает ип адрес от дхцп возни много с настройкой под каждого если только site2site

микротик как будто с другой планеты. Зачем от версии к версии менять опции настройки. У меня к примеру не генерируеться КЕЙ при создании интерфейса, нужно гдето его генерить отдельно.

Странно, но получить доступ к компьютеру в разрешенной сети через wireguard не получилось. Видать что-то криво работает в микротике.

Нафига в Allowed IP адрес интерфейса ? :))) Тогда уж и в firewall добавить правило для траффика между интерфейсами wireguard. :)))

Wireguard странный какой-то. Брать IPTV натом из туннеля напрочь отказывается. Что на L2TP прекрасно работает. Видно строк кода еще не достаточно :)

У меня настроен dual wan. Не знаю почему, но он работает только с одним провайдером. По какой-то причине он получает пакет со второго интерфейса но всегда отправляет его на первый... Что я только не делал, у меня ни чего не вышло

Мой 751 от седьмой прошивки дохнет, наверное уже слишком стар 🙂

Можно ли использовать ipcloud ареса так как имеется динамические адреса у мобильного оператора?

у меня такой фунцкии нету.. что делать ?

чет не пашет, пингует только внешку, А ПОЧЕМУ?? а потому что Роман как всегда про правило firewall не говорит /ip firewall filter add action=accept chain=input dst-port=443 in-interface-list=WAN protocol=\udp

Как увидеть покдлючение клиентов в Lease-ах?

Ещё одна НЕ рабочая инструкция!!! Пинги между роутерами идут а вот до железок в сети - полная тишина. пакеты пропадают в роутерах. Фаервола для теста НЕТ совсем!!!

Спасибо, нудно и запутано. Обратился к специалистам официального источника и все понял...

0:59 В видео приведено сравнение по кодовой базе. Строк кода WireGuard приблизительно в 31 раз меньше чем у OpenVPN. В животном мире, например, такая разница в соотношение нейронов в мозгу позволяет организму выделиться уже в новый тип. Это все равно что сравнивать насекомое (например таракана) с мелкими млекопитающими (бурозубки). У них разница в числе нейронов в мозгу тоже, как раз в 30 раз. Если же сравнить по кодовой базе WireGuard c IPSEC, то это все равно что сравнивать таракана с предствителями мелких птиц (Зебровая амадина).

wireguard поикольный, если ничего не нужно от слова совсем. А так примитивный, как полено. ВПН из серии "закат солнца вручную"

Ещё пока сырая технология.

Почему он у тебя вдруг вЕргуард, когда он вАэргард? Ты столько лет работаешь с зарубежными железками, но так и не научился произносить простое слово - Провод + охрана?) Просто немного смущает этот момент.

Ничего,скоро и это в Сроссии заблочат, не заморачивайтесь

Вопрос, а как защитить WireGuard от перебора ключей. Меня начали пытаться ломануть, в логах видно, что рандомными ключами пытаются перебрать подключение. Понятно, что вряд ли смогут, но канал то забивают, что не есть хорошо.