[РЕШЕНО] ROS7 Wireguard bgp маршруты

[LieT]

Пожалуйста помогите.

Устройство hAP3. ROS7.6 stable

Сбросил на конфигурацию по умолчанию, настроил Nextdns, pppoe до провайдера, и получение bgp адресов для доступа к адресам.


Цель: трафик адресов полученных по bgp должен идти через Wireguard от protonvpn.


Принудительный пинг с адреса wg работает.

Код: Выделить всё

[liet@MikroTik] /ip/route> /ping 185.60.216.174 src-address=10.2.0.2
  SEQ HOST                                     SIZE TTL TIME       STATUS                                                           
    0 77.247.237.10                              84  61 10ms522us  protocol unreachable                                             
    1 77.247.237.10                              84  61 10ms569us  protocol unreachable                                             
    sent=2 received=0 packet-loss=100% 

1) Как проверить статус туннеля? (в peers- last handshake 00:00:00 - значит он не работает?)
2) с bgp маршруты получаются успешно. но какой корректно прописать filter rules?


При

Код: Выделить всё

"set gw-interface wireguard1;
accept"

таблица следующая:

соответственно трафик в wg не заворачивается.


3) с PC до этого же сервера подключение успешно устанавливается (Windows Client)
Конфиг ниже:

Код: Выделить всё

# jan/04/2023 21:24:12 by RouterOS 7.6
# software id = F8YZ-07QU
#
# model = RBD53iG-5HacD2HnD
# serial number = F34E0F2D4E20
/interface bridge
add name=bridge-lan
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireguard
add comment="ProtonVPN interface" listen-port=51820 mtu=1420 name=wireguard1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\
    disabled name=vrn.tv user=ripab238
/disk
set usb1-part1 name=disk1
/interface list
add include=all name=WAN-LIST
add name=LAN-LIST
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.254.2-192.168.254.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-lan lease-time=1w name=dhcp1
/routing table
add fib name=tovpn
/routing bgp template
add as=6500 disabled=no hold-time=4m input.filter=bgp_in .ignore-as-path-len=\
    yes keepalive-time=1m multihop=yes name=antifilter routing-table=main
/interface bridge port
add bridge=bridge-lan interface=LAN-LIST
/interface list member
add interface=ether2 list=LAN-LIST
add interface=ether3 list=LAN-LIST
add interface=vrn.tv list=WAN-LIST
/interface wireguard peers
add allowed-address=0.0.0.0/1 endpoint-address=51.159.163.76 endpoint-port=\
    51820 interface=wireguard1 public-key=\
    "gAjzJC/vXOkby1cURIqSBgDZ2zowJtPu2tiL1LGr4WQ="
/ip address
add address=192.168.254.1/24 interface=bridge-lan network=192.168.254.0
add address=10.2.0.2 interface=wireguard1 network=10.2.0.2
/ip dhcp-server network
add address=192.168.254.0/24 gateway=192.168.254.1
/ip dns
set allow-remote-requests=yes cache-size=4096KiB max-concurrent-queries=\
    100000 max-concurrent-tcp-sessions=300 use-doh-server=\
    https://dns.nextdns.io/MYDNS verify-doh-cert=yes
/ip dns static
add address=93.115.24.204 comment=\
    "https://dns.comss.one/dns-query 93.115.24.204 93.115.24.205" disabled=\
    yes name=dns.comss.one
add address=93.115.24.205 disabled=yes name=dns.comss.one
add address=45.91.92.121 disabled=yes name=doh-ch.blahdns.com
add address=45.90.28.199 name=dns.nextdns.io
add address=45.90.30.199 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
add address=185.199.111.153 disabled=yes name=lampa.mx
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard1
add action=src-nat chain=srcnat out-interface=vrn.tv to-addresses=\
    185.23.83.133
/ip firewall service-port
set ftp disabled=yes
/ip route
add dst-address=51.75.66.20/32 gateway=vrn.tv
/ip service
set telnet disabled=yes
set ssh port=25
/routing bgp connection
add as=6500 disabled=no hold-time=4m input.filter=bgp_in .ignore-as-path-len=\
    yes keepalive-time=1m local.address=10.2.0.2 .role=ebgp multihop=yes \
    name=antifilter_bgp remote.address=45.154.73.71/32 .as=65432 router-id=\
    185.23.83.133 routing-table=main templates=antifilter
/routing filter rule
add chain=discard disabled=no rule="reject;"
add chain=bgp_in disabled=no rule="set gw-interface *0xe;\r\
    \naccept"
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=wireguard,debug,info
/system ntp client
set enabled=yes
/system ntp client servers
add address=91.206.16.3
add address=195.91.239.8

Вопрос:
Что не так, и как завернуть трафик в wg. в чем ошибка?

[gmx]

По шагам:
viewtopic.php?f=15&t=14126

[LieT]

По шагам:
viewtopic.php?f=15&t=14126

Делал.
до шага 6. в таблице маршрутов все успешно меняется на интерфейс wireguard1, но пинги не проходят до ресурсов из таблицы, хоть идут верным маршрутом судя по таблице

[xvo]

/interface wireguard peers
add allowed-address=0.0.0.0/1 endpoint-address=51.159.163.76

Зачем?
Это у вас только "половина интернета" туда попадает.

[LieT]

/interface wireguard peers
add allowed-address=0.0.0.0/1 endpoint-address=51.159.163.76

Зачем?
Это у вас только "половина интернета" туда попадает.

Так было в манах Proton-а
Уже скорректировал на 0.0.0.0/0 и переключил Wireguard на поставщика с которым подключение поднялось. Получил по bgp маршруты, направил их в новый интерфейс, эффект тот же самый.
но теперь хоть видно что wg работает.

[xvo]

Маскарад не забыли тоже переделать?

[LieT]

Маскарад не забыли тоже переделать?

Не делал, а какой нужен? src-nat на wg2?

[xvo]

Ну да.

[LieT]

Ну да.

Благодарю за комментарии.

Отвечаю, может кому поможет.

1) исходный туннель wg не работал, так что для начала надо убедиться что он работает.
2)по комментарию выше, поправить AllowedIP на 0.0.0.0/0
3)src-nat на интерфейс с wg