Wireguard VPN, настройка Windows, роутеры Keenetic, Mikrotik

Настройка Wireguard VPN в Windows и роутерах Keenetic, Mikrotik

wireguard vpn

Настройка серверной стороны

Для настройки Wireguard VPN в Windows необходимо выполнить следующие шаги:

1) Скачиваем актуальную версию под Windows: https://www.wireguard.com/install/ и устанавливаем
2) Запускаем C:\Program Files\WireGuard\wireguard.exe и добавляем пустой туннель (будем настраивать серверную часть):
Add tunnel→Add empty tunnel…
1

Прописываем настройки:
Name — имя сетевого подключения
Public key — публичный ключ сервера WireGuard (понадобится для настройки клиентской части)

[Interface] PrivateKey = #приватный ключ сервера WireGuard ListenPort = #порт, который будет слушать WireGuard Address = #желаемый IP адрес сервера WireGuardCODE

2

3) Добавляем еще один пустой туннель (будем настраивать клиентскую часть):
Add tunnel→Add empty tunnel…
Прописываем настройки:
Name — имя сетевого подключения
Public key — публичный ключ клиента WireGuard (понадобится для настройки серверной части)

[Interface] PrivateKey = #приватный ключ клиента WireGuard Address = #желаемый IP адрес клиента WireGuard [Peer] PublicKey = #публичный ключ сервера WireGuard (из шага 2) AllowedIPs = #IP адреса локальных пользователей Endpoint = #IP адрес сервера (реальный, а не WireGuard) и порт, который слушает сервер WireGuard (настраивался на шаге 2)CODE

3

4) Теперь нам нужно добавить нашего клиента к серверной части WireGuard, для этого вернемся к шагу 2 и дополним его конфиг:

… [Peer] PublicKey = #публичный ключ клиента WireGuard (из шага 3) AllowedIPs = #IP адрес пользователяCODE

4

5) Теперь достаточно экспортировать конфигурационные фаилы
Export all tunnels to zip→Указываем место для экспорта→Save
5

Дальше открываем сохраненный архив, там будут конфиги всех наших туннелей.
Отдаем клиенту его конфигурационный фаил.

6)На сервере выбираем серверный конфиг и запускаем
6
7) На клиенте добавляем конфигурационный фаил в WireGuard
Add Tunnel→Выбираем конфигурационный фаил клиента->Open
7

Выбираем клиентский конфиг и запускаем
8

На этом мы закончили настройку первого клиента, аналогично настраиваются остальные клиенты, добавлением их данных в серверный конфиг (шаг 4)

Автозапуск WireGuard после перезагрузки сервера.

1) Добавим фаил для запуска в автозапуск планировщика Windows:
Пуск→taskschd.msc
9

Нажимаем на «Создать простую задачу» → Вводим Имя для задачи (например wireguard) → Далее
10

Выбираем «При запуске компьютера«→ Далее
11

Выбираем «Запустить программу«→ Далее
12

В поле «Программа или сценарий» выбираем наш фаил для запуска WireGuard (по умолчанию «C:\Program Files\WireGuard\wireguard.exe»)
Добавить аргументы:

/installtunnelservice «C:\Program Files\WireGuard\wg_server.conf»CODE

где:
C:\Program Files\WireGuard\wg_server.conf — расположение конфигурационного файла *.conf

13

Ставим галочку напротив «Открыть окно «Свойства» для этой задачи после нажатия кнопки «Готово»«→ Готово
14

В открывшемся окне, ставим галочку напротив «Выполнить с наивысшими правами«→Ок
15

Готово. Делаем перезагрузку, проверяем.

Настройка WireGuard VPN для доступа в интернет

Для многих обычных пользователей слово VPN сразу ассоциируется со средством доступа в сеть интернет.

Действительно, это один из самых популярных сценариев использования данной технологии. Но если для большинства это всего лишь способ обхода ограничений, то специалисты чаще рассматривают VPN как защищенный канал в сетях с низким уровнем доверия: публичный Wi-Fi, сети баров, гостиниц, аэропортов.

А если вы работаете с чувствительной информацией, то для таких целей лучше использовать собственный сервер, например, создав его на базе WireGuard.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

WireGuard в последнее время стремительно набирает популярность благодаря своей простоте и скорости работы. Конечно, есть и обратная сторона медали, но в данном сценарии раскрываются в основном только плюсы

.

Напомним, WireGuard — это туннель без сохранения состояния, а следовательно применять к нему термины «клиент» и «сервер» некорректно, каждый узел WireGuard может как подключаться к другим узлам, так и принимать соединения. Но если мы говорим об организации выхода в интернет посредством VPN, то здесь данные термины уместны. В данном случае VPN-сервер — это узел предоставляющий возможность выхода в интернет, а VPN-клиенты — узлы, которые данную возможность используют, при этом технология реализации самого VPN-канала роли не играет.

Настройка VPN-сервера

Для обеспечения доступа в интернет VPN-сервер должен находиться на узле, обладающем достаточной пропускной способностью и точкой выхода в определенном географическом положении, которое зависит от того, к каким именно ресурсам вам нужно получать доступ. В большинстве случаев отлично подойдет VPS (виртуальный выделенный сервер) с минимальным тарифом в нужном расположении и ОС семейства Linux. Если говорить о семействе Debian / Ubuntu, то WireGuard поддерживается начиная с Debian 10 и Ubuntu 18.04 LTS. Все описанные ниже действия следует выполнять с правами суперпользователя root или через sudo.

Если вы используете Debian 10, то вам потребуется подключить backports-репозиторий:

echo deb http://deb.debian.org/debian buster-backports main > /etc/apt/sources.list.d/buster-backports.list

Обновим источники пакетов и установим WireGuard:

apt update
apt install wireguard

Следующим шагом выполним генерацию ключей, для этого перейдем в директорию /etc/wireguard:

cd /etc/wireguard

Временно изменим маску для обеспечения нужного набора прав на создаваемые файлы:

umask 077

Выполним генерацию ключевой пары:

wg genkey > privatekey
wg pubkey < privatekey > publickey

И вернем маску к стандартным значениям:

umask 022

Получим содержимое закрытого ключа, для этого воспользуемся командой:

cat /etc/wireguard/privatekey

Скопируем его содержимое, оно понадобится нам на следующем шаге, помним, что приватный ключ является секретным!

Создадим и откроем на редактирование конфигурационный файл WireGuard:

nano /etc/wireguard/wg0.conf

В данном случае мы используем nano, если вам больше по душе редактор mс, то просто замените nanо на mcedit.

Прежде всего настроим сетевой интерфейс WireGuard, для этого добавим в файл следующую секцию:

[Interface]
Address = 10.20.0.1/24
ListenPort = 34567
Privatekey = kNYGiCR3/ikepyURjFnEu5ueoCBsP2pjvGdcj2pggG8=

Настроек немного, указываем адрес интерфейса в VPN-сети, порт и секретный ключ. Зарезервированного порта для службы WireGuard нет, поэтому можем использовать любой.

Сохраним конфигурацию и добавим службу в автозагрузку, одновременно запустив ее:

systemctl enable —now wg-quick@wg0

В качестве имени службы используется wg-quick@<имя_конфигурационного_файла></ИМЯ_КОНФИГУРАЦИОННОГО_ФАЙЛА>.

Посмотреть статус WireGuard можно командой:

wg

Если все сделано правильно, то вы увидите информацию о созданном интерфейсе, в частности порт и публичный ключ.

wireguard-vpn-internet-access
Публичный ключ не является секретным, его также следует скопировать, он понадобиться нам для настройки клиентов.

Настройка NAT и брандмауэра

Для выхода клиентов в интернет нам потребуется рабочая служба NAT, а также требуется обеспечить достаточный уровень безопасности как самого сервера, так и работающих через него клиентов.

Прежде всего включим маршрутизацию, чтобы иметь возможность пересылать пакеты между интерфейсами, для этого откроем файл /etc/sysctl.conf, найдем и раскомментируем в нем следующую опцию:

net.ipv4.ip_forward = 1

Затем перечитаем настройки:

sysctl -p

Остальными настройками будет управлять iptables и этот вопрос может вызвать ряд затруднений. Настройки iptables не сохраняются при перезагрузке и существуют различные способы сделать это, наиболее простые и понятные — это скрипты, более современные — это специальные утилиты.

Более подробно о всех этих способах вы можете прочитать в нашей статье: Основы iptables для начинающих. Как сохранить правила и восстановить их при загрузке

Если вы не обладаете большим опытом работы с iptables, то, на наш взгляд, лучше начать со скрипта, а уже потом переходить к использованию утилит.

Создадим файл скрипта и разместим его в /etc:

nano /etc/nat-rules

И добавим в него следующее содержимое:

#!/bin/sh
# Сбрасываем настройки брандмауэра
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Разрешаем уже установленные соединения. Первое правило в цепочке!!!
iptables -A INPUT -i ens33 -m state —state ESTABLISHED,RELATED -j ACCEPT
# Разрешаем подключения по SSH
iptables -A INPUT -i ens33 -p tcp —dport 22 -j ACCEPT
# Разрешаем подключения к WireGuard
iptables -A INPUT -i ens33 -p udp —dport 34567 -j ACCEPT
#Запрещаем входящие извне. Последнее правило в цепочке!!!
iptables -A INPUT -i ens33 -j DROP
# Разрешаем уже установленные транзитные соединения
iptables -A FORWARD -i ens33 -o wg0 -m state —state ESTABLISHED,RELATED -j ACCEPT
# Запрещаем транзитный трафик извне
iptables -A FORWARD -i ens33 -o wg0 -j DROP
# Включаем маскарадинг для WireGuard клиентов
iptables -t nat -A POSTROUTING -o ens33 -s 10.20.0.0/24 -j MASQUERADE

Это минимальная конфигурация брандмауэра, разрешающего только SSH и WireGuard подключения к серверу, по мере необходимости следует добавить в нее собственные правила. Все они должны располагаться между правилами, разрешающими уже установленные соединения и запрещающего входящие соединения извне. В качестве внешнего интерфейса сервера используется ens33.

Сделаем данный файл исполняемым:

chmod + x /etc/nat-rules

Для его запуска можно добавить в секцию [Interface] конфигурационного файла WireGuard опцию:

PostUp = /etc/nat-rules

В большинстве случаев этого достаточно, но, если вдруг у нас не запустится WireGuard мы останемся без брандмауэра. Поэтому мы предлагаем пойти другим путем.

Прежде всего убедимся, что все правила работают как следует, для этого достаточно просто запустить скрипт.

/etc/nat-rules

Посмотреть состояние брандмауэра можно командой:

iptables -L -vn

Если все работает нормально, то установим утилиту iptables-persistent:

apt install iptables-persistent

Во время установки вам будет предложено сохранить текущие правила, с чем следует согласиться. После чего ваши правила будут автоматически сохранены в /etc/iptables/rules.v4, откуда будут восстанавливаться при загрузке. Скрипт нам больше не нужен, можем его убрать.

Можно ли обойтись без скрипта?

Можно. Но не все обладают достаточными навыками работы с iptables, поэтому предложенный нами способ, хоть и является более длинным и избыточным, позволяет выполнить настройку брандмауэра наиболее просто для начинающих.

Настройка WireGuard клиента в Windows

Скачайте и установите WireGuard для Windows c официального сайта. В приложении выберите Добавить туннель — Добавить пустой туннель.

wireguard-vpn-internet
При этом автоматически будет создана ключевая пара и откроется окно редактирования конфигурационного файла, который уже будет содержать секцию [Interface] и закрытый ключ, все что нам останется, это добавить туда опцию с адресом интерфейса, его следует выбирать из того же диапазона, который вы указали на сервере.

Address = 10.20.0.101/24

Ниже добавим секцию [Peer] для подключения к серверу:

[Peer]
PublicKey = kKxQ4wF+kUrpsTGwjMvlSwX45WV4nixG76/+sKlzEQA=
AllowedIPs = 10.20.0.0/24, 0.0.0.0/0
Endpoint = 203.0.113.2:34567
PersistentKeepalive = 25

Которая содержит публичный ключ сервера, его адрес и порт, разрешенные сети.

Так как нам требуется обеспечить выход в интернет через WireGuard подключение, то в список сетей мы добавили 0.0.0.0/0, что обеспечит направление в туннель всего исходящего трафика.

Опция PersistentKeepalive предполагает обмен служебным трафиком с указанным пиром раз в 25 секунд, что требуется для поддержания нормальной работы клиента в том случае, если он находится за NAT.

wireguard-vpn
После сохранения настроек туннельный интерфейс будет поднят и статус соединения будет Подключен, хотя мы еще не делали никаких настроек для данного клиента со стороны сервера. Кого-то может удивить или ввести в заблуждение такое положение дел и именно поэтому мы каждый раз акцентируем тот факт, что WireGuard — это туннель без сохранения состояния. Он ничего не знает о реальном состоянии канала и пира, к которому производится подключение, единственный способ это выяснить — послать пакет на другую сторону туннеля.

wireguard-vpn-internet

Так что же означает Подключен?

Только то, что в конфигурации нет ошибок и туннельный интерфейс успешно поднят. Поэтому скопируем публичный ключ клиента и снова вернемся на сервер. Откроем конфигурационный файл и добавим в него следующую секцию:

[Peer]
PublicKey =i p9UjCFHiLnhQTcVgS/Y7j0s8caNj9hhn5RS2UqMXRo=
AllowedIPs = 10.20.0.101/32

Где мы укажем публичный ключ клиента и его внутренний IP-адрес, с которого следует принимать пакеты.

Перезапустим службу WireGuard на сервере:

systemctl restart wg-quick@wg0

Теперь можем проверить связь, для начала пропингуем внутренний адрес сервера 10.20.0.1 — если он отвечает, то туннель работает нормально.

Как мы уже говорили, при тех настройках, которые мы указали в туннель будет заворачиваться весь исходящий трафик клиента, в т.ч. и DNS-запросы. Поэтому если у вас в системе указаны локальные адреса DNS, скажем 192.168.1.1 роутера или адреса провайдера, недоступные из внешнего интернета, то разрешение имен работать не будет. Внешне это будет проявляться в том, что интернет работать не будет с указанием на ошибку DNS.

wireguard-vpn-internet
WireGuard прост, и обратная сторона этой простоты заключается в том, что мы не можем передавать нужные опции с сервера на клиента, как в OpenVPN, поэтому спасение утопающих — дело рук самих утопающих. К счастью, WireGuard позволяет задать опции для конфигурирования локального сетевого интерфейса, поэтому откройте приложение Wireguard, найдите свой туннель и выберите Редактировать, в открывшемся окне в секцию [Interface] добавьте опцию:

DNS = 8.8.8.8, 1.1.1.1

Теперь при поднятии туннельного интерфейса система будет использовать указанные адреса, в их качестве можно использовать любые публичные сервера доступные через ваш VPS.

Настройка WireGuard клиента в Linux

Несмотря на то, что WireGuard уже давно поддерживается на уровне ядра Linux с графическими инструментами для его настройки дело обстоит не совсем хорошо, многое зависит от конкретного дистрибутива, но управлять WireGuard из командной строки тоже очень просто.

С правами root или через sudo выполним установку и генерацию ключей точно также, как мы это делали на сервере, затем также создадим конфигурационный файл:

nano /etc/wireguard/wg0.conf

И внесем в него следующее содержимое:

[Interface]
Address = 10.20.0.102/24
Privatekey = 4Hfj7lZuaQZWkW2OGHPlkhr3Jxheg/lpcJkwiosvG0w=
DNS = 8.8.8.8, 1.1.1.1
[Peer]
PublicKey = kKxQ4wF+kUrpsTGwjMvlSwX45WV4nixG76/+sKlzEQA=
AllowedIPs = 10.20.0.0/24, 0.0.0.0/0
Endpoint = 203.0.113.2:34567
PersistentKeepalive = 25

Секция [Interface] описывает сетевой интерфейс, в ней мы указываем секретный ключ клиента, желаемый адрес в VPN-сети и DNS-сервера. Секция [Peer] отвечает за подключение к серверу, у всех клиентов она общая, содержит публичный ключ сервера, его адрес и порт, а также параметры подключения и роутинга.

Для управление туннелем в ручном режиме можно использовать утилиту wg-quick, для подключения выполните:

wg-quick up wg0

где wg0 — имя вашего конфигурационного файла, с этим же именем будет создан сетевой интерфейс. Если запустить команду от имени обычного пользователя будет автоматически запрошено повышение прав.

wireguard-vpn-internet
Для отключения используйте:

wg-quick down wg0

При этом не забудьте добавить секцию [Peer] для этого узла на сервере и перезапустить службу, для этого понадобится указать публичный ключ клиента и его адрес, точно также как мы это делали для Windows-клиента.

Настройка роутера keenetic

ШАГ 1: Вход в настройки

Сначала вам нужно подключиться к локальной сети маршрутизатора – это можно сделать двумя способами:

  • По кабелю, подключившись к локальному порту.
  • По Wi-Fi.

Далее открываем браузер и вводим в адресную строку один из адресов:

  • 192.168.1.1
  • my.keenetic.net

Далее авторизовываемся.

Если у вас есть проблемы со входом, то читаем эту инструкцию.

ШАГ 2: Включение DDNS

Наш план достаточно простой. Наш роутер Keenetic будет выступать в качестве VPN сервера. Причем не важно, какой именно сервер мы будет настраивать – будь это PPTP, IPSec или новый WireGuard. Смысл в том, что мы должны иметь доступ к этому роутеру извне – то бишь из интернета. У роутера есть внешний IP адрес. Конечно, мы можем использовать его. Но как правило, современные провайдеры по умолчанию выдают два вида адрес:

  • Белый динамический
  • Серый

Нужно, чтобы ваш провайдер обязательно использовал белый IP адрес, в противном случае доступ к VPN-серверу будет недоступен. Про белые и серые IP, а также про то, как узнать какой адрес у вас – читаем эту инструкцию. На новых прошивках есть возможность подключаться и к серым IP, но при использовании KeenDNS (это облачный DDNS сервис, который работает напрямую, так и через облако, поэтому его можно использовать даже с серыми IP).

В общем на первом шаге мы подключим службу DDNS, если ваш IP не является статичным.

Более подробно про DDNS читаем тут.

Новая прошивка

  • Для начала нам нужно настроить DDNS, можно использовать стандартный и бесплатный KeenDNS от Keenetic. Переходим в раздел «Доменное имя» и вводим любое наименование, которое мы будем использовать для подключения. Далее нажимаем «Зарегистрировать».

10-9

  • Если имя свободное, то роутер сообщит об этом и предложит вам 3 поддоменных имени – выберите любое.

11-8

  • Если у вас серый IP, то вам нужно перейти в «Общие настройки» и включить «Keenetic Cloud».

12-6

  • Высветится вот такое окошко, подождите пока роутер получит SSL сертификаты. После этого вам нужно выбрать «Режим работы»:
    1. Через облако – если у вас серый IP.
    2. Прямой доступ – если IP белый.

13-7

Старая прошивка

Понятно дело, используя внешний IP адрес, но что, если он динамический или серый. Хочу расстроить пользователей с серыми IP, тут ничего не поделаешь и единственный выход – это искать провайдера с белым IP. Второй вариант – это купить более новый роутер Keenetic, на котором есть облачная служба KeenDNS – она позволит прокинуть подключение даже с серым IP. Для тех, у кого белый IP, нам в любом случае нужно настроить DDNS, так как скорее всего у вас он конечно же белый, но динамический адрес, а поэтому, когда он поменяется – соединение просто отвалится.

В разделе «Интернет» перейдите в «DDNS» и посмотрите в список «Используемых серверов». По умолчанию у нас есть Dyn, No-Ip и DNS-Master – это все сторонние сервисы. Что вам нужно сделать?– вам нужно зайти на официальные сайты этих сервисов, зарегистрироваться и создать DDNS. Далее переходим сюда и вводим данные DDNS.17-6

ШАГ 3: Настройка сервера

Выберите один из вариантов подключения. Напомню, что для WireGuard у вас должно быть два роутера Кинетик с последней прошивкой.

VPN PPTP

При подключении по PPTP идет шифрование MPPE (Microsoft Point-to-Point Encryption).

Новая прошивка

  1. Теперь нужно установить компонент VPN-сервера – переходим в «Общие настройки» -«Обновления и компоненты» – кликаем по кнопочке «Изменить набор компонентов» и устанавливаем «PPTP VPN-сервер».

14-6

  1. Переходим в «Приложения» и включаем наш сервер.

15-6

  1. Откроются настройки. Давайте пройдемся по пунктикам:
    1. Множественный вход – когда один и тот же логин и пароль используют несколько клиентов. Небезопасно, зато удобно.
    2. Только шифрование – не убираем эту галочку, иначе канал связи будет не зашифрован и данные могут перехватить.
    3. NAT для клиентов – использование интернета.
    4. Доступ к сети – ставим «Домашняя сеть», ведь именно к этой сети мы будем иметь доступ.
    5. Начальный IP-адрес – это начальный пул адресов для клиентов. Очень важно, чтобы клиентские адреса и адреса ваших локальных машин не пересекались, поэтому лучше установить другие настройки IP.
    6. Пул IP-адресов – максимальное число 10.
    7. Пользователи – тут вы можете использовать одного или создать несколько учетных записей.

16-6

Старая прошивка версии NDMS 2.11 и меньше

Возможность настроить VPN сервер появилась с выходом версии операционной системы NDMS V2.04.B2. Также по PPTP к одному серверу можно подключить до 10 клиентов.

  1. Для начала нужно убедиться, что установлен компонент VPN-сервер. На главной нажмите по ссылке «Доступно» в разделе «Обновления».

1-13

  1. Или вы можете перейти в раздел «Система», нажать по вкладке «Обновление» и далее ниже нажать «Показать компоненты».

2-12

  1. Найдите VPN-сервер и выделите его.

4-11

  1. Далее нажмите по кнопке «Обновить».

3-12

  1. Теперь переходим в «Приложения» и открываем вкладку «Сервер VPN» (если такой вкладки нет, то вы не установили компонент). Включаем сервер. Ставим галочку «Одно подключение на пользователя». В строке «Доступ к сети» нужно указать наименование вашей локальной сети этого роутера – по умолчанию это «Home network». Ниже нужно указать начальный адрес пула – что это такое?Это пул адресов, который будут выдаваться клиентам подключенным к этому серверу. Нужно обязательно разделить разрешенный пул домашней сети «Home network» и пул адресов VPN сервера. На самом деле можно использовать одну подсеть, но разный пул. Например, для домашней сети пул будет 192.168.1.50-192.168.1.70. А здесь указать начальный пул 192.168.1.200. Или сделайте как я, просто указать другой начальный адрес 172.16.1 33 пула. И ниже указываем размер пула – так как максимальное число клиентов 10, то больше указывать не стоит. Для безопасности, вы можете указать меньшее число клиентов. «Транслировать адреса клиентов (NAT)» – эта галочка нужна для того, чтобы клиенты VPN-сервера могли выходить в интернет через этот роутер. Если вы хотите иметь только доступ к локальной сети, то уберите эту галочку.

5-10

  1. Для удобства мы будем использовать учетную запись администратора, нажмите по ней.

6-10

  1. Как видите в строке «Доступ разрешен» стоит значение «Нет» – это значит этот пользователь не может использоваться для VPN подключения. Давайте это исправим – нажимаем по этой учетке и включаем галочку «Разрешить доступ к VPN».

7-9

  1. Admin пользователя можно использовать для нескольких подключений. Но если вам нужно несколько пользователей (для безопасности), то перейдите в раздел «Система» – «Пользователи» – нажмите по кнопке добавления.

8-9

  1. Укажите логин, пароль клиента, а также не забудьте указать доступ к «VPN-серверу».

9-8

VPN-сервер L2TP/IPsec

  1. Устанавливаем компонент: «Общие настройки» – «Обновления и компоненты» – «Изменить набор компонентов». Находим компонент «L2TP/IPsec VPN-сервер, ставим галочку и устанавливаем его, если он не установлен.

56-1

  1. В приложениях включаем наш VPN.

57-1

  1. Теперь вводим данные:
    1. Общий ключ IPsec – указываем любой ключ.
    2. Множественный вход – для того, чтобы использовать одну учетную запись на разных компах.
    3. NAT для клиента – чтобы подключенные клиенты имели доступ к интернету в этой сети.
    4. Доступ к сети – указываем «Домашняя сеть».
    5. Начальный IP-адрес – это адреса локальной сети, которые будут выдавать VPN клиентам. Они не должны совпадать с теми адресами, которые уже зарезервированы в вашей локальной сети. Поэтому лучше указать другой пул частных адресов.
    6. Пул IP-адресов – максимальное число поддерживаемых клиентов 10.

58-1

  1. В поле «Пользователь» можно создать новых пользователей, которые и будут подключаться к VPN. Для теста можете использовать администратора (admin).

ШАГ 4: Подключение к VPN

Роутер ZyXEL Keenetic

ПРИМЕЧАНИЕ! Если вы не настраивали VPN-сервер и хотите подключиться к публичному, то можете попробовать бесплатные ВПН от Японского университета – про него подробно написано тут. Там также есть конфигурация с настройками.

Проверьте, чтобы были установлены компонент «IPsec VPN», если вы настраивали L2TP/IPSec подключение. Если вы настраивали PPTP, то ничего делать не нужно, так как этот компонент уже установлен по умолчанию.60-1

Переходим в раздел «Другие подключения» – «VPN-подключения», кликаем «Добавить подключение». Теперь вводим настройки:18-6

  • Имя подключения – указываем любое название.
  • Тип (протокол) – PPTP.
  • Адрес сервера – наш DDNS или ваш статический IP.
  • Имя пользователя и пароль – указываем учетную запись, которую мы используем для VPN.
  • У L2TP/IPsec нужно также указать секретный ключ, который мы создали.

Как только настройки будут введены, сохраните все и не забудьте включить само подключение.19-5

Установка необходимых компонентов на роутер Keenetic

Перейдите в веб-интерфейс Keenetic > «общие настройки» > установите компонент Wireguard.

wire_component_keen

После чего перезагрузите роутер, далее снова в веб-интерфейс и зайти в меню «другие подключения» и добавить подключение Wireguard.

wire_add_kenn

Настройка обхода блокировок сайтов на роутерах Keenetic

Вам нужно перейти во вкладку «Маршрутизация». Здесь вам необходимо будет добавить один или множество IP адресов закрепленных за определенным сайтом или сервисом. Как это сделать рассказываем далее.

marshrut

Если у сайта один IP

Если вам нужно зайти на сайт, у которого всего IP адрес, то тогда вам нужно сделать вот что:

  • Нажимаем «добавить маршрут»
  • Выбрать «маршрут до узла»
  • В «Адрес узла назначения» указать IP адрес сайта (IP можно узнать с помощью специального сервиса)
  • В выпадающем списке «Интерфейс» выбрать ваш VPN
  • Чуть ниже поставить галочку «Добавлять автоматически» и сохранить изменения.

keen_uzel

Теперь сайт начнет работать!

Если у сайта множество IP адресов

Для больших проектов, таких как VK, Facebook и прочее, как правило, используются большое количество IP адресов, пару сотен или даже больше. Добавить их первым способом можно, но очень сложно. Поэтому понадобиться другой подход.

  • Нажимаем «добавить маршрут»
  • Выбрать «маршрут до сети»
  • Переходим на сайт который покажет весь список IP и масок подсети необходимого сервиса. В поиске вбиваем домен, а дальше смотрим вкладку IP info. Там будет указано множество начальных IP адресов и слэш-формат маски подсетей.

ip

  • Далее в Адрес узла назначения указываем один из многих начальный IP адрес
  • Чуть ниже в маска подсети, указать «расшифрованный» слэш-фортмат, он же десятичный формат. Чуть ниже представлена таблица, для вашего удобства.
слэш-формат Десятичный формат
/32 255.255.255.255
/31 255.255.255.254
/30 255.255.255.252
/29 255.255.255.248
/28 255.255.255.240
/27 255.255.255.224
/26 255.255.255.192
/25 255.255.255.128
/24 255.255.255.0
/23 255.255.254.0
/22 255.255.252.0
/21 255.255.248.0
/20 255.255.240.0
/19 255.255.224.0
/18 255.255.192.0
/17 255.255.128.0
/16 255.255.0.0
/15 255.254.0.0
/14 255.252.0.0
/13 255.248.0.0
/12 255.240.0.0
/11 255.224.0.0
/10 255.192.0.0
/9 255.128.0.0
/8 255.0.0.0
/7 254.0.0.0
/6 252.0.0.0
/5 248.0.0.0
/4 240.0.0.0
/3 224.0.0.0
/2 192.0.0.0
/1 128.0.0.0
/0 0.0.0.0
  • В выпадающем списке «Интерфейс» выбрать ваше VPN подключение
  • Чуть ниже поставить галочку «Добавлять автоматически» и сохранить.

keen_set

  • Вот такой вот выполняется обход блокировок на роутерах Keenetic. Теперь повторите действия для следующих IP адесов заблокированного ресурса. После чего заблокированный сайт снова заработает!

Вот и все теперь вы знаете как выполнить Обход блокировок на роутерах Keenetic!

Mikrotik как респондер (сервер)

В RouterOS 7 появился новый пункт меню — WireGuard, переходим в него на одноименную закладку и создаем новый интерфейс. Заполняем поля Name и Listen Port, их назначения понятны, советуем использовать осмысленные названия интерфейсов, чтобы вы могли понимать, для чего тот или иной предназначен. Ключи будут созданы автоматически.

mikrotik-wireguard
Если вы предпочитаете работать в терминале, то выполните команду:

/interface wireguard
add listen-port=34567 mtu=1420 name=wireguard-sts

Затем присвоим созданному интерфейсу IP-адрес, для чего перейдем в IP — Addresses и просто добавим нужный адрес.

mikrotik-wireguard
Или:

/ip address
add address=10.10.0.1/24 interface=wireguard-sts network=10.10.0.0

Также не забудьте разрешить входящие соединения на указанный при создании интерфейса порт, в нашем случае 34567. Это можно сделать в IP — Firewall — Filter Rules добавив правило: Chain — input, Protocol — udp, Dst. Port — 34567, In. Interface — ether1 — в его качестве следует указать внешний интерфейс роутера. Действие можно не выбирать, так как по умолчанию — accept.

 mikrotik-wireguard
Это же можно сделать командой:

/ip firewall filter
add action=accept chain=input dst-port=34567 in-interface=ether1 protocol=udp

Данное правило следует расположить перед запрещающим принимать входящие подключения на внешний интерфейс.

Чтобы к нашему роутеру могла подключаться другие узлы нужно создать для каждого из них пир, для этого возвращаемся в WireGuard — Peers и создаем новую запись. Здесь нам потребуется открытый ключ пира, который следует внести в поле Public Key и указать разрешенные сети в Allowed Address. В нашем случае мы реализуем сценарий удаленного доступа или объединения сетей, поэтому укажем там внутренний адрес в WireGuard сети, который мы выделили пиру и сеть за ним.

mikrotik-wireguard
В терминале:

/interface wireguard peers
add allowed-address=10.10.0.2/32,192.168.233.0/24 interface=wireguard-sts public-key=»9pVP67ehKtQEr6BV46X9SuQrdvys+1QeVT0oeUg71wo=»

Еще раз напомним, что вся адресация внутри WireGuard сети назначается администратором вручную и явно прописывается для каждого пира с обоих сторон. Это один из недостатков WireGuard, который следует из его простоты.

С другой стороны, у нас, допустим, будет Windows. Быстро настраиваем там новый туннель, в разделе Interface добавляем выделенный узлу адрес, а в разделе Peer указываем публичный ключ Mikrotik, его адрес и порт, а в разделе разрешенных адресов добавим адрес WireGuard интерфейса и сети за роутером.

mikrotik-wireguard
Если вы нигде не ошиблись, то подключение будет установлено, и вы сможете получить доступ к сети за роутером. В случае нахождения пира за NAT не забывайте добавить опцию PersistentKeepalive.

mikrotik-wireguard
Как видим, ничего сложного нет, но при большом количестве пиров прибавляется ручной работы: вы должны сами распределить адреса и прописать настройки с обоих сторон. Никаких средств автоматизации для этого не предусмотрено.

Mikrotik как инициатор (клиент)

В данном разделе мы рассмотрим иной сценарий — использование WireGuard для доступа в интернет, но принципиальной разницы нет, если вы соединяете сети, то можно точно также настроить роутер и все будет работать. Просто мы дополнительно рассмотрим некоторые вопросы касающиеся маршрутизации.

Снова переходим в раздел WireGuard и создаем новый интерфейс. В данном случае достаточно только указать имя, порт нас не интересует, так как мы не собираемся принимать соединения, но его все-таки требуется указать, выбираем любой.

mikrotik-wireguard

Или вводим команду:

/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-inet

Затем назначаем интерфейсу адрес, если все узлы ваши — то назначаете сами, если подключаетесь к чужому респондеру, то вводите адрес, выданный его администратором. Это действие производится в IP — Addresses.

mikrotik-wireguard
Это же действие в терминале:

/ip address
add address=10.20.0.105/24 interface=wireguard-inet network=10.20.0.0

Чтобы наш роутер смог куда-то подключиться мы снова должны создать пир. В WireGuard пир — это просто вторая сторона туннеля и не важно мы подключаемся к ней, или она к нам. В любом случае у нас должен быть интерфейс — наша сторона, и пир — противоположная сторона.

Переходим в WireGuard — Peers и создаем новый пир, настроек тут будет побольше, указываем: Interface — созданный нами интерфейс, Public Key — публичный ключ респондера, получаем с той стороны, Endpoint и Endpoint Port — адрес респондера и его порт, Allowed Address — 0.0.0.0/0 — т.е. разрешаем любой трафик в туннеле. Если вы находитесь за NAT, то обязательно добавьте опцию Persistent Keepalive, рекомендуемое значение — 25 секунд.

mikrotik-wireguard
В терминале тоже достаточно длинная команда:

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=x.x.x.x endpoint-port=34567 interface=wireguard-inet persistent-keepalive=25s public-key=»kKxQ4wF+kUrpsTGwjMvlSwX45WV4nixG76/+sKlzEQA=»

Также не забудьте включить маскарадинг для созданного интерфейса, переходим в IP — Firewall — NAT и создаем новое правило, на закладке General: Chain — srcnat, Src. Address диапазон локальной сети, например, 192.168.72.0/24, Out. Interface — интерфейс WireGuard, в нашем случае wireguard-inet, на закладке Action выбираем действие masquerade.

Либо в терминале:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard-inet src-address=192.168.72.0/24

Затем, с другой стороны, также потребуется создать пир для нашего роутера, вам понадобится публичный ключ и назначенный адрес.

mikrotik-wireguard
Перезапускаем службу и соединение будет установлено. Но трафик как шел через основного провайдера — так и идет. Почему так? Заглянем в таблицу маршрутизации, которая находится в IP — Routes, как видим нулевой маршрут как был через основного провайдера — так и остался. В отличие от официальных пакетов WireGuard, которые управляют маршрутами на хосте, в Mikrotik все отдано в руки администратора.

mikrotik-wireguard
А дальше все зависит от того, что именно мы хотим получить. Если нам нужен доступ через туннель к отдельным узлам, то просто достаточно создать для них отдельные маршруты. Создаем новое правило, в котором указываем нужный адрес и шлюз, в качестве которого будет выступать противоположный конец WireGuard туннеля.

mikrotik-wireguard
Теперь снова проверяем (мы добавили маршрут к сервису проверки IP) — все хорошо, мы обращаемся к данному узлу через VPN-сервер.

mikrotik-wireguard
Добавить маршрут из командной строки можно следующим образом:

/ip route
add disabled=yes distance=1 dst-address=172.67.74.128/32 gateway=10.20.0.1 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10

Если же мы хотим направить весь интернет трафик в туннель, то нам нужно изменить нулевой маршрут, казалось бы, все просто, но не будем спешить. Обратим внимание на флаги текущего маршрута: DAd — динамический, активный, получен по DHCP, можно, конечно отключить получение маршрутов в DHCP-клиенте, но мы пойдем другим путем.

Вспомним, что если к одной цели ведут несколько маршрутов, то будет выбран тот, у которого самая узкая маска. Поэтому вместо одного нулевого маршрута добавим два, к сетям 0.0.0.0/1 и 128.0.0.0/1.

mikrotik-wireguard
В терминале выполните две команды:

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.20.0.1 pref-src=»» routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=10.20.0.1 pref-src=»» routing-table=main scope=30 suppress-hw-offload=no target-scope=10

Вроде бы все сделано правильно, но интернет вообще перестал работать. Что случилось? Мы только что завернули в туннель весь исходящий трафик, в том числе и к нашему VPN-серверу, естественно, что соединение будет невозможно.

Поэтому добавим еще один маршрут к респондеру через основного провайдера.

mikrotik-wireguard

Или:

/ip route
add disabled=no dst-address=x.x.x.x/32 gateway=192.168.3.1 routing-table=main suppress-hw-offload=no

Где 192.168.3.1 — шлюз основного провайдера.

После чего все снова заработает. При этом уже только по одному внешнему виду сайтов несложно понять, что мы работаем через VPN с точкой выхода в Германии.

Более подробные настройки для того или иного конкретного сценария выходят за рамки данной статьи и, как таковые, уже не относятся к настройкам WireGuard. Сам же WireGuard в RouterOS 7 есть и работает, при этом достаточно несложен в настройке, в чем мы только что убедились.

Схема сети

В нашем случае ничего сверхъестественного, имеется провайдер со своей сетью, внутри которой мы будем и настраивать туннель. И далее внутри него, настроим маршрутизацию между площадками.

Wireguard-shema-seti

Настройка Office-1

Открываем меню WireGuard и создаём интерфейс. Имя можно задать какое угодно, но я сразу помечу его для понимания куда он смотрит.

создание первого Wireguard

Listen Port можете поменять, а можете оставить по умолчанию. Нажимаем применить и видим наш Private и Public.

просмотр первого и приватного ключа

Далее переходим на вкладку Peers и создаём пира. Нам нужно указать:

  • На каком интерфейсе будет слушаться подключение;
  • Публичный ключ другой стороны;
  • Endpoint – публичный IP партнёра;
  • Endpoint Port – соответственно его порт;
  • Allowed Address – сети и адреса, которым разрешено «бегать» по коридору, т.е. через данный интерфейс.

создание пиир

Далеко не отходим, и подключаемся к Office-2. Здесь так же создаём peer с понятным именем в сторону первого офиса.создание второго Wireguard

Копируем Public Key с Office-2 и возвращаемся в Office-1 и вставляем в настройки пира.Konfigurirovanie-Public-Key-mezhdu-Mikrotik

На этом же девайсе (Office-1), задаём IP на WireGuard to-Office-2 172.16.30.1 – это адрес внутри VPN сети.Naznachenie-IP-adresa-na-WireGuard-v-ofise-1

Далее нам нужно создать пир на втором роутере. Копируем публичный ключ первого и переходим к настройке. Все аналогично, но только зеркально. Сейчас все увидите.

Konfigurirovanie-shifrovaniya-WireGuard

  • Public Key – публичный ключ партнёра, т.е. первого роутера;
  • Его публичный IP и порт;
  • Разрешённые адреса, и сети.
  • Сохраняем, применяем и не забываем назначить туннельный IP на Office-2.

IP-adres-na-WireGuard-v-ofise-2

Проверка WireGuard

Запустим ping по туннельным адресам wireguard в направлении друг друга c двух микротиков.

Proverka-rabotosposobnosti-WireGuard

Обратите внимание на интерфейсы, трафик действительно идёт по нужным.

Маршрутизация

И вишенкой на торте, у нас остаётся создание маршрутов в соседние сети. Выше мы убедились, что WireGuard работает, остаётся научить наши маршрутизаторы ходить друг к другу.

Создаём маршрут во второй офис на первом mikrotik через раздел routes (а не через wireguard).

Nastraivaem-marshrutizatsiyu-WireGuard

И наоборот, во втором офисе создаём маршрут в первый.

Immediate-Gateway-v-WireGuard

Обратите внимание на Immediate Gateway – после сохранения правила, интерфейс через который доступна сеть, Mikrotik подставит автоматически. Ваша задача проверить, чтобы был выбран верный.

Проверка связанности сетей

Для этого включаем наши виртуальный PCs, проверяем чтобы мы получили адреса корректные и пробуем прошпиговать друг друга.Site-to-site-VPN-WireGuard

Все прекрасно работает. Далее вы можете ограничивать трафик на уровне фаервола, но это уже совсем другая история.

Подытожим, мы настроили WireGuard на двух роутерах MikroTik, объяснили что в данной технологии нет привычной клиент серверной архитектуры, создали маршруты и объединили два офиса (site to site). А самое главное, это делается все быстро и просто.

Возможные проблемы и их решения

Во многих устройствах Mikrotik выпуска 2019г используется микросхема памяти FLASH-NOR типа GD25Q15/Q16. Проблема в том, что при перепрошивке не сохраняются данные о модели устройства.

Если вы увидели ошибку «The uploaded image file does not contain a supported format. Make sure that you choose the generic image format for your platform.» то скорее всего проблема в flash.

Проверить это легко: выполняете в терминале устройства команду проверки ID модели

root@OpenWrt: cat /tmp/sysinfo/board_name

И если получаете ответ «unknown», то нужно вручную указать модель устройства в виде «rb-951-2nd»

Для получения модели устройства выполните команду

root@OpenWrt: cat /tmp/sysinfo/model MikroTik RouterBOARD RB951-2nd

 

Получив модель устройства, устанавливаем его вручную:

echo ‘rb-951-2nd’ > /tmp/sysinfo/board_name

После этого можете прошивать устройство через web интерфейс или с помощью команды «sysupgrade»

Совместимость роутеров с Wireguard

OpenWrt

Все роутеры, которые можно прошить с помочью OpenWRT, поддерживают Wireguard. Проверить, поддерживается ли ваш роутер можно по ссылке.

Для работы этого протокола необходимо доустановить пакет -toolswireguard на роутер. Вместе с этим могут потребоваться и другие полезные пакеты (убедитесь, что у вас хватает памяти в устройстве):

# Install packages opkg update # 21.02 or above opkg install wireguard-tools # 19.07 or lower opkg install wireguard

1 2 # Для настройки через web интерфейс luci opkg install luci-proto-wireguard luci-app-wireguard kmod-wireguard

# Для настройки через web интерфейс luci opkg install luci-proto-wireguard luci-app-wireguard kmod-wireguard

После установки пакетов потребуется:

  1. создать пару приватных и публичных ключей
  2. настроить файрволл, открыв UDP порт (любой, который вы потом укажете в конфиге сервера)
  3. Создать зону vpn, включить для нее маскарадинг и форвард трафика из vpn в другие зоны и обратно.
  4. настроить интерфейс wg0 (название сетевого интерфейс Wireguard по умолчанию)
  5. добавить один или несколько пиров по числу клиентов
  6. настроить клиенты

Mikrotik

Все роутеры на RoutrOS, начиная с версии 7 поддерживают Wireguard. Все максимально просто: в Winbox в меню появился новый пункт Wireguard. Там можно добавить новый интерфейс как для VPN сервера, так и клиента. Пара ключей при этом сгенерируется автоматически. В конфигурации пиров  необходимо указать Public Key, который сгенерировался при создании интерфейса сервера.

Примеры настройки через CLI:

сервер

1 2 3 4 5 6 7 8 9 10 11 12 13 /interface wireguard add listen-port=13231mtu=1420name=wireguard-MikroTik-Config.ukr-Server /interface wireguard peers add allowed-address=174.16.0.2/32,192.168.5.0/24interface=\ wireguard-MikroTik-Config.ukr-Server persistent-keepalive=10s public-key=\ «SO4l7YTMMqssgHcWbcIjtuGHO+dz2wENnpoK6hXWEyE=»/ip address add address=174.16.0.1/24interface=wireguard-MikroTik-Config.ukr-Server \ network=174.16.0.0 /ip route add disabled=no distance=1 dst-address=192.168.5.0/24gateway=174.16.0.2 \ pref-src=»» routing-table=main scope=30 suppress-hw-offload=no \ target-scope=10

/interface wireguard add listen-port=13231 mtu=1420 name=wireguard-MikroTik-Config.ukr-Server /interface wireguard peers add allowed-address=174.16.0.2/32,192.168.5.0/24 interface=\ wireguard-MikroTik-Config.ukr-Server persistent-keepalive=10s public-key=\ «SO4l7YTMMqssgHcWbcIjtuGHO+dz2wENnpoK6hXWEyE=» /ip address add address=174.16.0.1/24 interface=wireguard-MikroTik-Config.ukr-Server \ network=174.16.0.0 /ip route add disabled=no distance=1 dst-address=192.168.5.0/24 gateway=174.16.0.2 \ pref-src=»» routing-table=main scope=30 suppress-hw-offload=no \ target-scope=10

клиент

1 2 3 4 5 6 7 8 9 10 11 12 13 14 /interface wireguard add listen-port=13231mtu=1420name=wireguard-MikroTik-Config.ukr-Client /interface wireguard peers add allowed-address=174.16.0.1/32,192.168.1.0/24 endpoint-address=\ 11.11.11.10 endpoint-port=13231interface=\ wireguard-MikroTik-Config.ukr-Client persistent-keepalive=10s public-key=\ «UOOBJ9j5BjUPmP6qccSFT8hLBl+tYL3FoDdPXPa5Imw=»/ip address add address=174.16.0.2/24interface=wireguard-MikroTik-Config.ukr-Client \ network=174.16.0.0 /ip route add disabled=no distance=1 dst-address=192.168.1.0/24gateway=174.16.0.1 \ pref-src=»» routing-table=main scope=30 suppress-hw-offload=no \ target-scope=10

/interface wireguard add listen-port=13231 mtu=1420 name=wireguard-MikroTik-Config.ukr-Client /interface wireguard peers add allowed-address=174.16.0.1/32,192.168.1.0/24 endpoint-address=\ 11.11.11.10 endpoint-port=13231 interface=\ wireguard-MikroTik-Config.ukr-Client persistent-keepalive=10s public-key=\ «UOOBJ9j5BjUPmP6qccSFT8hLBl+tYL3FoDdPXPa5Imw=» /ip address add address=174.16.0.2/24 interface=wireguard-MikroTik-Config.ukr-Client \ network=174.16.0.0 /ip route add disabled=no distance=1 dst-address=192.168.1.0/24 gateway=174.16.0.1 \ pref-src=»» routing-table=main scope=30 suppress-hw-offload=no \ target-scope=10

Не забываем, что IP адрес интерфейсу необходимо настроить вручную в IP -> Addresses, после чего добавить маршрут чрез IP -> Routes.

Кстати, девайс Mikrotik можно прошить и OpenWrt прошивкой.

Zyxel

Начиная с версии KeeneticOS 3.3 для актуальных моделей интернет-центров Keenetic была добавлена поддержка WireGuard VPN.

Настройка подробно расписана на официальном сайте поддержки.

ASUS

Современные роутеры ASUS, основанные на Asuswrt, теперь поддерживают и WireGuard нативно. К таким роутерам относятся ASUS с процессором ARMv8 64-bit типа RT-AC86U, RT-AX88U или ASUS ZenWiFi XT8 router . С помощью ряда ухищрений можно заставить работать и роутеры с более старыми процессорами Broadcom ARMv7 32-bit, которые работают на прошивке ASUSWRT-Merlin firmware или порте такие как ASUS RT-68U, Netgear R7000, Linksys EA6900 и др.

Интересная инструкция со скриптами конфигурирования доступна на GitHub. Однако, в связи с наличием нативной поддержки в роутерах серии AX, я рекомендую пользоваться GUI. Для более старых моделей можете воспользоваться этой статьей.

Прочие роутеры

Ряд роутеров, популярных заграницей, также поддерживает Wireguard, например: GL.iNet Slate (GL-AR750S-Ext), FRITZ!Box 7590 AX, FRITZ!Box 7590, а также FRITZ!Box 7530

Источники
  • https://kb.introserv.eu/ru/windows-server/wireguard-windows-setup
  • https://interface31.ru/tech_it/2022/04/nastroyka-wireguard-vpn-dlya-dostupa-v-internet.html
  • https://WiFiGid.ru/zyxel/vpn-2
  • https://androidp1.ru/obhod-blokirovok-na-routerah-keenetic/
  • https://interface31.ru/tech_it/2022/04/nastroyka-wireguard-vpn-na-routerah-mikrotik.html
  • https://mikrotiklab.ru/nastrojka/artga-wireguard.html
  • https://ntc.party/t/mikrotik/666/36
  • https://www.pvsm.ru/vpn/345988
  • https://hww.ru/2022/04/sovmestimost-routerov-s-wireguard/

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: