Устройство hAP3. ROS7.6 stable
Сбросил на конфигурацию по умолчанию, настроил Nextdns, pppoe до провайдера, и получение bgp адресов для доступа к адресам.
Цель: трафик адресов полученных по bgp должен идти через Wireguard от protonvpn.
Принудительный пинг с адреса wg работает.
Код: Выделить всё
[liet@MikroTik] /ip/route> /ping 185.60.216.174 src-address=10.2.0.2
SEQ HOST SIZE TTL TIME STATUS
0 77.247.237.10 84 61 10ms522us protocol unreachable
1 77.247.237.10 84 61 10ms569us protocol unreachable
sent=2 received=0 packet-loss=100%
1) Как проверить статус туннеля? (в peers- last handshake 00:00:00 - значит он не работает?)
2) с bgp маршруты получаются успешно. но какой корректно прописать filter rules?
При
Код: Выделить всё
"set gw-interface wireguard1;
accept"
соответственно трафик в wg не заворачивается.
3) с PC до этого же сервера подключение успешно устанавливается (Windows Client)
Конфиг ниже:
Код: Выделить всё
# jan/04/2023 21:24:12 by RouterOS 7.6
# software id = F8YZ-07QU
#
# model = RBD53iG-5HacD2HnD
# serial number = F34E0F2D4E20
/interface bridge
add name=bridge-lan
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireguard
add comment="ProtonVPN interface" listen-port=51820 mtu=1420 name=wireguard1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\
disabled name=vrn.tv user=ripab238
/disk
set usb1-part1 name=disk1
/interface list
add include=all name=WAN-LIST
add name=LAN-LIST
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.254.2-192.168.254.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-lan lease-time=1w name=dhcp1
/routing table
add fib name=tovpn
/routing bgp template
add as=6500 disabled=no hold-time=4m input.filter=bgp_in .ignore-as-path-len=\
yes keepalive-time=1m multihop=yes name=antifilter routing-table=main
/interface bridge port
add bridge=bridge-lan interface=LAN-LIST
/interface list member
add interface=ether2 list=LAN-LIST
add interface=ether3 list=LAN-LIST
add interface=vrn.tv list=WAN-LIST
/interface wireguard peers
add allowed-address=0.0.0.0/1 endpoint-address=51.159.163.76 endpoint-port=\
51820 interface=wireguard1 public-key=\
"gAjzJC/vXOkby1cURIqSBgDZ2zowJtPu2tiL1LGr4WQ="
/ip address
add address=192.168.254.1/24 interface=bridge-lan network=192.168.254.0
add address=10.2.0.2 interface=wireguard1 network=10.2.0.2
/ip dhcp-server network
add address=192.168.254.0/24 gateway=192.168.254.1
/ip dns
set allow-remote-requests=yes cache-size=4096KiB max-concurrent-queries=\
100000 max-concurrent-tcp-sessions=300 use-doh-server=\
https://dns.nextdns.io/MYDNS verify-doh-cert=yes
/ip dns static
add address=93.115.24.204 comment=\
"https://dns.comss.one/dns-query 93.115.24.204 93.115.24.205" disabled=\
yes name=dns.comss.one
add address=93.115.24.205 disabled=yes name=dns.comss.one
add address=45.91.92.121 disabled=yes name=doh-ch.blahdns.com
add address=45.90.28.199 name=dns.nextdns.io
add address=45.90.30.199 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
add address=185.199.111.153 disabled=yes name=lampa.mx
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard1
add action=src-nat chain=srcnat out-interface=vrn.tv to-addresses=\
185.23.83.133
/ip firewall service-port
set ftp disabled=yes
/ip route
add dst-address=51.75.66.20/32 gateway=vrn.tv
/ip service
set telnet disabled=yes
set ssh port=25
/routing bgp connection
add as=6500 disabled=no hold-time=4m input.filter=bgp_in .ignore-as-path-len=\
yes keepalive-time=1m local.address=10.2.0.2 .role=ebgp multihop=yes \
name=antifilter_bgp remote.address=45.154.73.71/32 .as=65432 router-id=\
185.23.83.133 routing-table=main templates=antifilter
/routing filter rule
add chain=discard disabled=no rule="reject;"
add chain=bgp_in disabled=no rule="set gw-interface *0xe;\r\
\naccept"
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=wireguard,debug,info
/system ntp client
set enabled=yes
/system ntp client servers
add address=91.206.16.3
add address=195.91.239.8
Что не так, и как завернуть трафик в wg. в чем ошибка?