Zur Startseite

WireGuard-VPN-Client auf Mikrotik RouterOS konfigurieren

MikroTik RouterOS als WireGuard-VPN-Client konfigurieren

In dieser Anleitung wird beschrieben, wie Sie Mikrotik RouterOS als Client für die Verbindung mit einem WireGuard-VPN-Server konfigurieren. Zunächst ist zu beachten, dass die WireGuard-Einstellungen in RouterOS erst ab Version 7.0 verfügbar sind. Die aktuelle Version Ihres RouterOS können Sie über das Web-Interface des Routers oder mit dem Programm WinBox prüfen.

  1. Die aktuelle RouterOS-Version Ihres Geräts können Sie unter System - RouterBOARD - Upgrade Firmware überprüfen.

file

Falls die RouterOS-Version niedriger als 7 ist, müssen Sie das Gerät auf die aktuelle Version aktualisieren.

Nützliche Links:

  1. Nach der Überprüfung bzw. dem Upgrade auf RouterOS 7 müssen Sie die WireGuard-Konfiguration herunterladen. Wählen Sie im Kundenbereich den gewünschten VPN-Auftrag aus und laden Sie die Konfigurationsdatei herunter.

file

  1. Die heruntergeladene Datei trägt einen Namen wie fnx-wg-79298.conf und enthält Folgendes:

file

  1. Im nächsten Schritt laden Sie die Konfigurationsdatei auf das Gerät hoch.

Wählen Sie dazu das Menü Files - Upload und geben Sie die gewünschte Konfigurationsdatei an.

file

file

Anschließend erscheint die hochgeladene Konfigurationsdatei in der Dateiliste des Geräts.

file

Nun fahren wir mit dem Import der WireGuard-Konfiguration und der eigentlichen Konfiguration fort, die für das korrekte Routing des Datenverkehrs über die VPN-Verbindung erforderlich ist.

1. WireGuard-Konfiguration importieren.

  • Öffnen Sie das Menü WireGuard, wählen Sie WG Import, wählen Sie in der Dropdown-Liste Ihre WG-Konfiguration aus und klicken Sie auf die Schaltfläche WG Import.

file

  • Nach erfolgreichem Import erscheint WireGuard mit bereits konfiguriertem Interface und Peer.

file

file

  • Dem erstellten Interface wird außerdem automatisch eine IP-Adresse zugewiesen.

file

2. Routing-Tabelle für markierte WireGuard-VPN-Pakete erstellen.

Standardmäßig verwendet RouterOS die Routing-Tabelle „main", um Routen zur FIB (Forwarding Information Base – die Weiterleitungsinformationsdatenbank, die für Weiterleitungsentscheidungen genutzt wird und eine Kopie der benötigten Routing-Informationen enthält) hinzuzufügen.

Wir benötigen eine benutzerdefinierte Routing-Tabelle, die im Menü Routing-Tables definiert werden muss, um WireGuard-Routen zur FIB hinzuzufügen.

Öffnen Sie das Menü Routing-Tables, klicken Sie auf +, tragen Sie im Feld Name den Wert wg_mark ein und aktivieren Sie unbedingt das Kontrollkästchen FIB.

file

3. Adresslisten und Paketmarkierungsregeln für den WireGuard-VPN-Route erstellen.

Für den markierten Route des WireGuard-Interfaces müssen Sie Adresslisten (Address Lists), die von WireGuard VPN genutzt werden, sowie eine Paketmarkierungsregel (Mangle) erstellen. Diese unterscheiden sich je nachdem, wie Sie den VPN-Datenverkehr tunneln möchten:

  • Wenn Sie ein vollständiges Tunneling des VPN-Datenverkehrs wünschen – folgen Sie Schritt 3.1 (alle Websites werden über VPN geöffnet).
  • Wenn Sie ein selektives Tunneling benötigen, z. B. um Zugangsbeschränkungen für bestimmte Websites zu umgehen – führen Sie Schritt 3.2 aus.

3.1 Vollständiges Tunneling des WireGuard-VPN-Datenverkehrs auf Mikrotik.

Jetzt erstellen wir eine Adressliste für WireGuard. Beim vollständigen Tunneling müssen Sie die IP des lokalen Netzwerks des Routers angeben, damit alle daran angeschlossenen Geräte WireGuard VPN für den Internetzugang nutzen.

Öffnen Sie IP-Firewall-Address Lists und klicken Sie auf +, füllen Sie dann die Felder Name und Address aus. Tragen Sie im Feld Name full_wg ein und im Feld Address die IP-Adresse des lokalen Netzwerks des Routers (standardmäßig 192.168.88.0/24). Klicken Sie auf OK.

file

Fügen Sie eine Paketmarkierungsregel hinzu: Öffnen Sie IP-Firewall-Mangle, klicken Sie auf +, füllen Sie die Felder Chain, Src Address List, Action, New Routing Mark aus und klicken Sie auf OK.

file

file

3.2 Selektives Tunneling des WireGuard-VPN-Datenverkehrs auf Mikrotik.

Für selektives Tunneling müssen Sie in IP-Firewall-Address Lists neue Adresslisten analog zu Schritt 3.1 anlegen. In diesen Listen geben Sie lediglich Website-Namen oder direkt die IP-Adressen der Websites an, auf die Sie über VPN zugreifen möchten. Mikrotik ermittelt die Adressen der angegebenen Websites selbstständig und fügt ihre IP-Adressen den Address Lists hinzu (bzw. aktualisiert sie nach Ablauf des TTL).

Öffnen Sie IP-Firewall-Address Lists und klicken Sie auf +, füllen Sie dann die Felder Name und Address aus. Tragen Sie im Feld Name block_wg ein und im Feld Address den Website-Namen oder dessen IP-Adresse. Klicken Sie auf OK.

Für weitere Websites in den neuen Listen müssen Sie denselben Name wie beim ersten Eintrag verwenden, im Feld Address jedoch einen anderen Website-Namen oder eine andere IP-Adresse eintragen.

file

Fügen Sie eine Paketmarkierungsregel hinzu: Öffnen Sie IP-Firewall-Mangle, klicken Sie auf +, füllen Sie die Felder Chain, Dst Address List, Action, New Routing Mark aus und klicken Sie auf OK.

file

file

Überprüfen Sie Ihren VPN nach Abschluss der Anleitung unter https://2ip.io/ – die Seite zeigt die IP-Adresse Ihres Servers an, da diese Ressource in die oben genannte Liste eingetragen wurde. Wenn Sie https://whoer.net/ru öffnen, zeigt whoer hingegen Ihre echte IP-Adresse an.

Falls die blockierte Website sich weiterhin nicht öffnen lässt, fügen Sie für dieselbe Website zwei Adresslisteneinträge hinzu: einen mit www. und einen ohne www.

4. Routing-Regel für WireGuard VPN erstellen.

Erstellen Sie eine neue Routing-Regel für das WireGuard-Interface mit der zuvor erstellten Routing-Tabelle (Abschnitt 2.3).

Öffnen Sie dazu IP-Routes, klicken Sie auf + und füllen Sie die Felder Gateway, Distance, Routing Table aus.

file

Außerdem müssen Sie die Priorität des Standard-DHCP-Clients herabsetzen.

Öffnen Sie dazu IP-DHCP Client, wählen Sie den vorhandenen DHCP-Client-Eintrag aus, ändern Sie den Wert des Felds Add Default Route auf Special Classless und setzen Sie den Wert des Felds Default Route Distance = 2 im Reiter Advanced.

file

file

WireGuard-VPN-Verbindung in Firewall-NAT freigeben.

Standardmäßig berücksichtigt die Firewall Ihre WireGuard-Interface-Verbindung nicht – Sie müssen manuell eine Masquerade-Regel dafür anlegen.

Öffnen Sie dazu IP-Firewall-Nat, klicken Sie auf +, füllen Sie die Felder Chain, Out. Interface, Action aus und klicken Sie auf OK.

file

file

5. WireGuard-Interface zur WAN-Liste hinzufügen.

Öffnen Sie Interface - Interface list.

file

Die WireGuard-Konfiguration auf RouterOS ist abgeschlossen. Überprüfen Sie Ihre VPN-Verbindung unter https://whoer.net/ru oder https://2ip.io/

6. MTU-Fix für Mikrotik WireGuard (MSS Clamp to PMTU).

Falls Ihr Mikrotik mit installiertem WireGuard Websites langsam lädt oder bestimmte Websites gar nicht öffnet, müssen Sie die korrekte MTU einstellen (Wie bestimmt man die optimale MTU-Größe?) oder den MTU-Fix verwenden.

Info

Verwenden Sie diesen Schritt nur bei ernsthaften Problemen beim Laden von Websites!

Öffnen Sie die Mikrotik-Konsole über New Terminal.

file

Führen Sie den folgenden Befehl aus:

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=wg1 protocol=tcp tcp-flags=syn

Starten Sie Mikrotik über die Schaltfläche Reboot neu und bestätigen Sie anschließend mit Yes. Alternativ können Sie im Terminal den Befehl /system reboot verwenden.

Dadurch wird die folgende IP-Firewall-Mangle-Regel hinzugefügt, die das Problem des langsamen und instabilen WireGuard-Betriebs auf Mikrotik behebt.

file

Info

Bei Konfigurationsschwierigkeiten oder weiteren Fragen können Sie sich jederzeit über das Ticket-System an unser Support-Team wenden.

Hilfe benötigt?Unsere Ingenieure helfen Ihnen kostenlos bei jeder Frage in wenigen MinutenKontaktieren Sie uns