Данная инструкция подробно описывает настройку WireGuard клиента на Mikrotik RouterOS как с полным так и частичным туннелированием трафика через WireGuard VPN. В текущем примере используется RouterOS 7.2.1 со стандартными заводскими настройками и сторонним сервером Wireguard на VPS, VDS. Протестировано с решением DWG ❗️❗️❗️ Актуальную версию инструкции вы сможете найти только на моём сайте по ссылке https://kiberlis.ru/mikrotik-wireguard-client/ Я больше не могу выкладывать новые статьи со вставкой кода, так как новые владельцы Дзен удалили данный функционал со своей платформы...
Настройка Firewall на роутере Mikrotik Недавно приобрел маршрутизатор MikroTik с поддержкой WiFi 6. Делюсь своей конфигурацией Firewall: 1. Входящий в роутер трафик 1.1. Отбрасываем подозрительные соединения /ip firewall filter add chain=input connection-state=invalid action=drop comment="Drop suspicious connections" Пакеты с состоянием invalid не соответствуют нормальному потоку данных. 1.2. Продолжаем обмен данными для уже установленных сессий (established, related) add chain=input connection-state=established,related action=accept comment="Continue data exchange for established sessions" Уменьшаем нагрузку на роутер, так как не требует повторной проверки уже доверенного трафика. 1.3. Отбрасываем новые входящие соединения из WAN add chain=input in-interface=ether1 connection-state=new action=drop comment="Drop new incoming connections from WAN" Блокируем новые входящие соединения с внешнего интерфейса (WAN), чтобы предотвратить несанкционированный доступ извне. 1.4. Отбрасываем новые входящие соединения через WireGuard (wg0) add chain=input in-interface=wg0 connection-state=new action=drop comment="Drop new incoming connections through WireGuard" Блокируем новые входящие соединения через интерфейс WireGuard, чтобы никто не мог подключиться к роутеру через VPN. 1.5. Разрешать доступ из LAN add chain=input in-interface=LAN action=accept comment="Allow access from LAN" Разрешаем доступ к роутеру из локальной сети. 1.6. Блокировать доступ к роутеру с остальных интерфейсов add chain=input action=drop comment="Block access to the router from other interfaces" Блокируем все остальные попытки доступа к роутеру. 1.7. Защита от DoS-атак add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="Detect and drop scanning attempts" add chain=input protocol=tcp connection-limit=10,32 action=drop comment="Drop excess connections" add chain=input protocol=tcp tcp-flags=syn action=drop connection-state=new comment="Drop SYN Flood packets" Защищаем от DoS-атак, включая сканирование портов, избыточные соединения и SYN Flood-атаки. 2. Трафик проходящий через роутер 2.1. Отбрасывать подозрительные соединения /ip firewall filter add chain=forward connection-state=invalid action=drop comment="Drop suspicious connections" Пакеты invalid не должны проходить через роутер в сеть. 2.2. Продолжать обмен данными для уже установленных сессий (established, related) add chain=forward connection-state=established,related action=accept comment="Continue data exchange for established sessions" Если устройство в сети локально установило соединение с сервером в интернете, трафик этого соединения будет разрешен. 2.3. Отбрасывать новые входящие соединения от WAN в LAN add chain=forward in-interface=ether1 connection-state=new action=drop comment="Drop new incoming connections from WAN to LAN" Блокировать любые новые соединения из интернета в локальную сеть. 2.4. Отбрасывать новые входящие соединения через WireGuard в LAN add chain=forward in-interface=wg0 connection-state=new action=drop comment="Отбросить новые входящие соединения через WireGuard в LAN" Блокировка новые соединения через WireGuard в локальную сеть. 2.5. Разрешать трафик из LAN в WAN add chain=forward in-interface=LAN out-interface=ether1 action=accept comment="Allow traffic from LAN to WAN" Разрешаем устройствам в локальной сети отправлять трафик в интернет. 2.6. Разрешать исходящий трафик (LAN -> WireGuard -> VPS) add chain=forward in-interface=LAN out-interface=wg0 action=accept comment="Allow traffic from LAN to WireGuard" Трафик от устройства в локальной сети (LAN) проходит через WireGuard-туннель к VPS. 2.7. Разрешать входящий трафик (VPS -> WireGuard -> LAN) add chain=forward in-interface=wg0 out-interface=LAN action=accept comment="Allow traffic from WireGuard to LAN" Трафик от VPS должен вернуться обратно через WireGuard-туннель к устройству в локальной сети. #Networks