Настройка Mikrotik под WireGuard AntiZapret

Для тех кто использует: Скрипт для автоматического развертывания AntiZapret VPN + обычный VPN (без контейнера) OpenVPN / WireGuard / AmneziaWG + Патч для обхода блокировки OpenVPN

Если в двух словах помучаться придется… все делать нужно руками но вполне возможно. Проверить как работает я не проверял запустил виртуалку с RouterOS трасировка пошла в нужное русло.
Приступим:

1. Создать подключение WG:

Спойлер

image993×643 31.5 KB

Дополнение в Allowed Adress нужно добавить ваши DNS с префиксом /32
К примеру в моем случае днс 192.168.2.1/32
Действительно не работает без этой настройки.

2. Создать Adress List:

3. Понизить Дистанцию Default Route вашего провайдера до 2ки:

4. Создать список Routes:

Спойлер

image1114×477 25.7 KB

Дополнение:
Для того чтобы в случае падения сервера WG интернет продолжал работать конфигурацию нужно привести к такому состоянию:

А именно включить ping, и на место Gateway вбить IP адрес шлюза. Лично у меня работало все хорошо.

5. Создать маскарад:

Спойлер

{0FADCCB1-9242-4655-86ED-20675FF8F3D2}385×589 10.8 KB

{43931AC8-FEA8-45FE-AE0A-F47DFB5E22BE}387×585 5.88 KB

Где 192.168.88.0/24 это ваша локалка

{3010D98F-691D-4586-9CF8-A3BBA6EEA997}791×329 9.61 KB

Дополнение если в AllowedIPs у вас указаны дополнительные ip/подсети, их все нужно вручную прокидывать в Routes.

PS добавил проверку ping в Routes, чуть изменил Adress List чтобы работало корректно.
PS подкорректировал настройку AllowedIPs в конфигурации WireGuard без этой конфигурации действительно не работает.

Дополнил в тему как сделать Routes с ping кто ранее сделал без него.
С ping в случае падения сервера интернет продолжит работать через провайдера и не пропадет.

Большое спасибо!

у меня не заработало…
может быть дело в пункте с роутом dns провайдера? который я не понял =)
у меня отклбючен use peer dns и в ip - dns вбиты dns 8.8.8.8 и 1.1.1.1
я включал юз пир днс, получал днс провайдера и его в роут добавлял. и свои восьмерки прописывал., но заблокированные сайты не открываются

Открой вкладку dns отправь сюда скрин что у тебя там.
Отправь еще скрин с Routes возможно у тебя маршруты не поднялись.

Отлично, маршруты поднялись работают, попробуй запустить пинг на 10.29.0.1 из микротика, если пинг не пошел значит WireGuard не соединился с сервером есть ошибки в конфигурации.

я олень. ошибку в конфиге нашел, 10.29.0.1 теперь пингуется
но в такой конфигурации не работаю вообще dns

Попробуй в Routes DNS включить проверку по пингу и отправить все на шлюз 10.29.8.1 как я обновил в инструкции.

Дальше уже в Tools открыть Traceroute и пробовать делать трасировку в начале до закрытых твоему провайдеру ресурсов чтобы увидеть что заработали сайты через впн

так?

ну и в первых двух роутах включен чек гетвэй пинг
если да, то ниче не поменялось

что скажет tracaroute, маскарад создан?

Замаж IP своего провайдера и скинь весь список Route что у тебя сидит еще на 1 дистанции?

image2424×1142 164 KB

upd: ппц. взял и ожил dns
вот tracerout до ntc.party. я так понимаю это блокировка?

image1002×757 26.9 KB

upd2:
я не понимаю че происходит. трассировка по имени работает. а пинг - нет)

сайт может не отвечать на ping запрос в этом ниче такого нет.
знаешь че попробуй, попробуй днс 1.1.1.1/32 и 8.8.8.8/32 добавить в AllowedIPS WireGuard сделаем по аналогии с Keenetic. У меня почему-то работает и без этого, в твоем случае похоже что WG не пропускает днсы и трафик не летит.

Отпишись если заработает добавлю это в инструкцию для всех.

Где ж вы были 8 часов назад и день… Благодарим

Получилось сделать по первой инструкции? Или добавляли AllowedIPs?

да, так заработало
спс

Дополнил в инструкцию, щас решил потрасерить у себя днсы выставил 8ки и 1ки, и действительно не работало. Ну отлично, потестируйте какую скорость микрот выдает через WG по сравнению с OpenVPN.