- Какие версии RouterOS поддерживают Wireguard
- Как обновить RouterOS до версии 7.x
- Настройка Wireguard на MikroTik
- Проверка работы Wireguard
- Создание списков адресов для частных сетей, YouTube и Viber
- Правила для доменов YouTube и Viber
- Использование альтернативных DNS-серверов
- Таблица маршрутизации для VPN
- Правила маркировки трафика для YouTube и Viber
- Правила маскарадинга для VPN-трафика
- Проверка маршрутизации VPN-трафика с клиентского ПК
- Итоговая схема настройки
- Полезные ссылки
Представьте, что вы хотите смотреть YouTube без ограничений, но ваш провайдер решил сыграть в прятки с доступом. Не беда! В этом посте вы узнаете, как настроить роутер MikroTik с RouterOS 7.x, чтобы обойти блокировки YouTube и Viber через VPN на базе Wireguard. Мы разберёмся с каждым шагом — от обновления прошивки до проверки работы VPN.
Какие версии RouterOS поддерживают Wireguard
Wireguard — это современный VPN-протокол, который встроен в RouterOS начиная с версии 7.x. Если у вас версия ниже, то пора обновляться, иначе вы останетесь в эпохе динозавров и не сможете использовать все преимущества Wireguard.
Как обновить RouterOS до версии 7.x
Обновление — это как апгрейд супергероя: вы получаете новые силы и возможности. Чтобы обновить RouterOS:
- Зайдите в Winbox или WebFig.
- Перейдите в раздел System → Packages.
- Нажмите Check for Updates.
- Скачайте и установите последнюю версию 7.x.
- Перезагрузите роутер.
После этого Wireguard станет доступен в списке интерфейсов.
Настройка Wireguard на MikroTik
Создание интерфейса Wireguard
Для начала создаём интерфейс Wireguard и назначаем ему приватный ключ из вашего конфигурационного файла:
/interface wireguard add name=wg1 private-key="PrIvaTeKeYxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="Замените PrIvaTeKeYxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx= на ваш реальный ключ.
Назначение IP-адреса интерфейсу
Wireguard требует IP-адрес для работы. Обычно он идёт из конфигурации VPN:
/ip address add address=10.8.0.7/24 interface=wg1Здесь 10.8.0.7/24 — адрес из вашего Wireguard-конфига.
Добавление пира (узла)
Пир — это ваш VPN-сервер или другой узел, с которым вы соединяетесь. Добавьте его параметры:
/interface wireguard peers add \
allowed-address=0.0.0.0/0,::/0 \
endpoint-address=193.188.21.123 \
endpoint-port=12674 \
interface=wg1 \
name=peer1 \
persistent-keepalive=25s \
preshared-key="PrEsHaReDkEyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=" \
public-key="PuBlIcKeYxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx="Параметры endpoint-address, endpoint-port, preshared-key и public-key берутся из вашего Wireguard-конфига.
Проверка работы Wireguard
Чтобы убедиться, что VPN работает, используйте команду ping через интерфейс Wireguard:
/ping 8.8.8.8 interface=wg1Если пинги проходят — поздравляем, туннель жив и здоров!
Создание списков адресов для частных сетей, YouTube и Viber
Для правильной маршрутизации и фильтрации создайте адрес-листы:
/ip firewall address-list remove [find dynamic=no list=PRIVATE-LANS]
/ip firewall address-list add address=10.0.0.0/8 list=PRIVATE-LANS
/ip firewall address-list add address=172.16.0.0/12 list=PRIVATE-LANS
/ip firewall address-list add address=192.168.0.0/16 list=PRIVATE-LANSДля YouTube и Viber создайте адрес-листы, которые будут наполняться динамически через DNS-правила.
Правила для доменов YouTube и Viber
Чтобы обойти блокировки, нужно направлять DNS-запросы к нужным доменам через альтернативный DNS-сервер, например, 77.88.8.88 (Яндекс) или 1.1.1.1 (Cloudflare). Вот пример правил:
/ip dns static add address=127.0.0.1 comment="Blocking Patchwall on AndroidTV" name=ru.tv.global.mi.com
/ip firewall address-list add address-list=VIBER forward-to=77.88.8.88 match-subdomain=yes name=viber.com type=FWD
/ip firewall address-list add address-list=YOUTUBE forward-to=77.88.8.88 match-subdomain=yes name=googlevideo.com type=FWD
/ip firewall address-list add address-list=YOUTUBE forward-to=77.88.8.88 match-subdomain=yes name=youtube.com type=FWD
/ip firewall address-list add address-list=YOUTUBE forward-to=77.88.8.88 match-subdomain=yes name=ytimg.com type=FWDПолный список доменов включает viber.com, googleapis.com, googleusercontent.com, googlevideo.com, gstatic.com, l.google.com, play.google.com, youtu.be и другие.
Использование альтернативных DNS-серверов
DNS от Яндекса (77.88.8.88) — хороший выбор, но если хотите, можно использовать:
| DNS-провайдер | IP-адреса |
|---|---|
| Cloudflare | 1.1.1.1, 1.0.0.1 |
| Google DNS | 8.8.8.8, 8.8.4.4 |
Просто замените адрес в правилах forward-to на нужный.
Таблица маршрутизации для VPN
Создайте отдельную таблицу маршрутизации, чтобы VPN-трафик шёл через Wireguard:
/routing table add fib name=bypass-vpn
/ip route add dst-address=0.0.0.0/0 gateway=wg1 routing-table=bypass-vpnЭто позволит направлять весь трафик через VPN-интерфейс.
Правила маркировки трафика для YouTube и Viber
Чтобы маршрутизировать трафик правильно, создайте правила mangle:
/ip firewall mangle add action=accept chain=prerouting comment="ACCEPT ALL FROM PRIVATE-LANS TO PRIVATE-LANS" dst-address-list=PRIVATE-LANS src-address-list=PRIVATE-LANS
/ip firewall mangle add action=change-mss chain=forward comment="CHANGE MSS FOR TCP SYN TO BYPASS-VPN-IF" new-mss=clamp-to-pmtu out-interface=wg1 passthrough=yes protocol=tcp tcp-flags=synПервое правило не позволит локальному трафику уходить в VPN, второе — корректно настроит MTU для VPN-интерфейса.
Правила маскарадинга для VPN-трафика
Чтобы пакеты из VPN корректно выходили в интернет, создайте правила NAT:
/ip firewall nat add action=accept chain=srcnat comment="ACCEPT ALL FROM PRIVATE-LANS TO PRIVATE-LANS FOR VPN" dst-address-list=PRIVATE-LANS src-address-list=PRIVATE-LANSЭто предотвратит маскарадинг локального трафика.
Проверка маршрутизации VPN-трафика с клиентского ПК
После настройки проверьте, что трафик к YouTube идёт через VPN, а остальной — напрямую.
В командной строке Windows:
tracert ya.ruТрассировка к ya.ru не должна проходить через VPN-сеть (например, 10.8.0.0/24).
tracert googlevideo.comТрассировка к googlevideo.com должна идти через VPN (через сеть 10.8.0.0/24).
Если всё так — вы успешно обошли блокировку!
Итоговая схема настройки
| Шаг | Команда / Действие | Комментарий |
|---|---|---|
| Обновление RouterOS | System → Packages → Check for Updates | Версия 7.x обязательна |
| Создание Wireguard интерфейса | /interface wireguard add name=wg1 private-key=... |
Приватный ключ из конфига |
| Назначение IP | /ip address add address=10.8.0.7/24 interface=wg1 |
IP из конфига |
| Добавление пира | /interface wireguard peers add ... |
Параметры из конфига |
| Создание адрес-листов | /ip firewall address-list add address=... list=PRIVATE-LANS |
Частные сети |
| Правила DNS для YouTube/Viber | /ip firewall address-list add ... forward-to=77.88.8.88 |
DNS-проксирование |
| Таблица маршрутизации | /routing table add fib name=bypass-vpn |
Отдельная таблица для VPN |
| Маркировка трафика | /ip firewall mangle add ... |
MTU и локальный трафик |
| Маскарадинг | /ip firewall nat add ... |
NAT для VPN |
| Проверка | ping, tracert |
Проверка работы и маршрутизации |
Настроить MikroTik для обхода блокировки YouTube и Viber через Wireguard — это как собрать пазл из множества деталей. Но когда всё встает на свои места, вы получаете свободный доступ к любимым сервисам без ограничений провайдера.
Полезные ссылки
Теперь вы вооружены знаниями и готовы сломать чебурнет! Вперёд, к свободному интернету!