Mikrotik + AmneziaWG

1

Привет всем.
Прошу подсказать по настройкам данного контейнера на микроте.
Контейнер брал от уважаемого Wiktorbgu.
На микроте уже стоит и работает byedpi-tproxy от него же.
А вот с Amnezia беда. Или руки кривые или как-то по-другому надо в него трафик заворачивать.
Подскажите куда копать.

/interface bridge
add name=bridge-docker port-cost-mode=short

/ip address
add address=192.168.112.1/29 interface=bridge-docker network=192.168.112.0

/interface veth
add address=192.168.112.4/29 gateway=192.168.112.1 gateway6="" name=AmneziaWG
add address=192.168.112.2/29 gateway=192.168.112.1 gateway6="" name=byedpi-tun

/routing table
add disabled=no fib name=byedpi
add disabled=no fib name=awgvpn

/container
add cmd="-s1 -q1 -Y -Ar -s5 -o1+s -At -f-1 -r1+s -As -s1 -o1 +s -s-1 -An" interface=byedpi-tun root-dir=/usb1/docker/byedpi-proxy-mikrotik start-on-boot=yes workdir=/
add interface=AmneziaWG logging=yes mounts=amnezia_wg_conf root-dir=/usb1/docker/amneziawg start-on-boot=yes workdir=/
/container config
set registry-url=https://registry-1.docker.io tmpdir=/usb1/docker/pull
/container mounts
add dst=/etc/amnezia/amneziawg name=amnezia_wg_conf src=/usb1/docker_configs/amnezia_wg_conf

/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=DNS new-connection-mark=to_awg
add action=mark-routing chain=prerouting comment="To AWG" connection-mark=to_awg in-interface=bridge-local new-routing-mark=awgvpn passthrough=no routing-mark=!awgvpn
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=youtube new-connection-mark=to_dpi src-address-list=to_youtube
add action=mark-routing chain=prerouting comment="To DPI" connection-mark=to_dpi in-interface=bridge-local new-routing-mark=byedpi passthrough=no routing-mark=!byedpi

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.112.2 pref-src="" routing-table=byedpi scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.112.4 pref-src="" routing-table=awgvpn scope=30 suppress-hw-offload=no target-scope=10
2

Какая-то засада с маршрутизацией внутри контейнера. Связь с сервером есть, но трафик из контейнера не уходит в тоннель.

Mikrotik:/# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1): 56 data bytes
64 bytes from 10.8.0.1: seq=0 ttl=64 time=48.298 ms
64 bytes from 10.8.0.1: seq=1 ttl=64 time=47.049 ms
64 bytes from 10.8.0.1: seq=2 ttl=64 time=46.962 ms
^C
--- 10.8.0.1 ping statistics ---
4 packets transmitted, 3 packets received, 25% packet loss
round-trip min/avg/max = 46.962/47.436/48.298 ms
Mikrotik:/# ip route show
default via 192.168.112.1 dev eth0 
10.8.0.0/24 dev awg proto kernel scope link src 10.8.0.2 
192.168.112.0/29 dev eth0 proto kernel scope link src 192.168.112.4 
Mikrotik:/# traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 46 byte packets
 1  192.168.112.1 (192.168.112.1)  0.009 ms  0.007 ms  0.005 ms
 2  *  *  *
 3  xxxxxxxxxxxxxxx.ertelecom.ru (xxx.xxx.185.248)  1.043 ms  1.058 ms  1.198 ms
 4  172.68.8.3 (172.68.8.3)  6.364 ms  6.395 ms  6.428 ms
 5  172.68.8.2 (172.68.8.2)  7.888 ms  7.555 ms  7.974 ms
 6  *  172.68.8.51 (172.68.8.51)  7.627 ms  172.68.8.53 (172.68.8.53)  7.147 ms
 7  one.one.one.one (1.1.1.1)  7.196 ms  7.044 ms  7.193 ms
3

так вроде на клиентах надо проверять, а не на роутере. я в свое время не смог завернуть оутпут трафик микрота в обычный вг туннель, а тут контейнеры

4

Маршрут по умолчанию у вас на ваш роутер, а должен быть на 10.8.0.1 или просто dev wg0. Понадобится еще один маршрут, который будет отправлять траффик на IP вашего сервера через ваш роутер.

5

Я думал в контейнере уже всё должно быть пробисано, чтобы работало “из коробки”. Поэтому не стал трогать.
Потом попробовал установить контейнер Xray тоже от Wiktorbgu. Там всё завелось сразу.
Но в любом случае спасибо за наводку. На будущее буду учитывать такие варианты.