介绍 | 您所在的位置:网站首页 › routeros手册 › 介绍 |
RoadWarrior WireGuard隧道
RouterOS配置
新建WireGuard接口,并配置IP地址。 /interface wireguard add listen-port=13231 name=wireguard1 /ip address add address=192.168.100.1/24 interface=wireguard1添加新的WireGuard接口将自动生成一对私钥和公钥。需要在远程设备上配置公钥。要获取公钥值,只需打印出接口详细信息。 [admin@home] > /interface wireguard print Flags: X - disabled; R - running 0 R name="wireguard1" mtu=1420 listen-port=13231 private-key="cBPD6JNvbEQr73gJ7NmwepSrSPK3np381AWGvBk/QkU=" public-key="VmGMh+cwPdb8//NOhuf1i1VIThypkMQrKAO9Y55ghG8="对于接下来的步骤,需要找出远程设备的公钥。有了它之后,通过指定远端设备的公钥和允许通过WireGuard隧道的地址来添加一个新的对端。 /interface wireguard peers add allowed-address=192.168.100.2/32 interface=wireguard1 public-key=""防火墙事项 如果您配置了默认防火墙或严格防火墙,您需要允许远程设备与您的设备建立WireGuard连接。 /ip firewall filter add action=accept chain=input comment="allow WireGuard" dst-port=13231 protocol=udp place-before=1如果需要允许远程设备接入RouterOS的业务(如request DNS),可以允许WireGuard子网在输入链中。 /ip firewall filter add action=accept chain=input comment="allow WireGuard traffic" src-address=192.168.100.0/24 place-before=1或者简单地将WireGuard接口添加到“LAN”接口列表中。 /interface list member add interface=wireguard1 list=LAN iOS配置从App Store中下载WireGuard应用程序。打开它并从头创建一个新配置。 首先,为您的连接指定一个“名称”,并选择生成一个密钥对。生成的公钥是RouterOS侧配置对等体所必需的。 在“地址”字段中指定与服务器端配置的IP地址在同一子网内。此地址将用于通信。在这个例子中,我们在RouterOS端使用192.168.100.1/24,你可以在这里使用192.168.100.2。 如果需要,请配置DNS服务器。如果在RouterOS侧“IP/DNS”区域配置“allow-remote-requests”为“yes”,则可以在此处指定远端WireGuard的IP地址。 单击“添加对等体”,将显示更多参数。 其中“Public key”为RouterOS侧WireGuard接口生成的公钥值。 “端点”是指iOS设备可以通过Internet与之通信的RouterOS设备的IP地址或端口号。 “允许的ip”设置为0.0.0.0/0,表示允许所有流量通过WireGuard隧道发送。 从WireGuard下载WireGuard安装程序 以管理员身份运行。 ![]() 按Ctrl+n添加新的空隧道,为接口添加名称,应自动生成公钥,将其复制到RouterOS对端配置中。 添加到服务器配置,所以完整的配置看起来像这样,保持你的自动生成的PrivateKey在[接口]部分: [Interface] PrivateKey = your_autogenerated_public_key= Address = 192.168.100.3/24 DNS = 192.168.100.1 [Peer] PublicKey = your_MikroTik_public_KEY= AllowedIPs = 0.0.0.0/0 Endpoint = example.com:13231保存和激活 |
CopyRight 2018-2019 实验室设备网 版权所有 |