mrkw01
25.02.2025, aktualisiert um 08:03:36 Uhr
view205
view1
0
Goto Top

Routerboard Wireguard-Verbindung nur für ausgewählte Geräte

FrageMikroTik
Hallo zusammen

ich möchte in meinem Haus verschiedene Endgeräte (nicht alle) grundsätzlich nur über eine Wireguard-Verbindung (über Mullvad) ins Internet lassen.

Ich habe momentan eine Wireguard-Verbindung eingerichtet die auch funktioniert wenn ich mich vom Handy aus verbinde.

Ich bin jetzt an dem Punkt, dass ich nicht weiß, wie ich nur bestimmte Geräte über die Wireguard-Verbindung kommunizieren lasse und der Rest ohne Wireguard funktioniert. Meine Idee war es die MAC-Adressen der Geräte die über Wireguard kommunizieren sollen über Wireguard zu leiten.
Einstellung der DNS Server, der Routen, der Firewall-Regeln sind die Knackpunkte wo ich nicht weiter komme und wo mir die Erfahrung fehlt.

Ich habe meine Routerboard-Config mal angehangen. Evtl. kann mir ja der ein oder andere einen Hinweis oder Tipp geben wie ich das einstellen kann.

Momentan ist die Route über den Gateway 192.168.1.2 deaktiviert, damit über Wireguard gesendet wird.

Danke für Eure Unterstützung!


# 2025-02-25 07:24:52 by RouterOS 7.17.2
# software id = YKX2-J903
#
# model = RB750Gr2
# serial number = GEHEIMdfsf
/interface bridge
add name=Bridge_LAN_e2
add name=Bridge_LAN_e3-e5
/interface ethernet
set [ find default-name=ether1 ] name=e1_WAN
set [ find default-name=ether2 ] name=e2_LAN
set [ find default-name=ether3 ] name=e3_LAN
set [ find default-name=ether4 ] name=e4_LAN
set [ find default-name=ether5 ] name=e5_LAN
/interface wireguard
add comment="Wireguard Interface" listen-port=51820 mtu=1420 name=\  
    WG_ch-zrh-wg-003
/ip pool
add name=DHCP-IP-Pool-172.16.0.xx ranges=172.16.0.20-172.16.0.254
add name=DHCP-IP-Pool-192.168.1.xx ranges=192.168.1.160-192.168.1.170
/ip dhcp-server
add address-pool=DHCP-IP-Pool-172.16.0.xx interface=Bridge_LAN_e2 lease-time=\
    1w3d30m name=DHCP-Server_LAN
/interface bridge port
add bridge=Bridge_LAN_e3-e5 interface=e4_LAN
add bridge=Bridge_LAN_e3-e5 interface=e5_LAN
add bridge=Bridge_LAN_e2 interface=e2_LAN
add bridge=Bridge_LAN_e3-e5 interface=e3_LAN
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=193.32.127.68 endpoint-port=\
    51820 interface=WG_ch-zrh-wg-003 name=peer1 public-key=\
    "dasbleibtgeheimundsagichnichtUxGjCSTrvEcygW8"  
/ip address
add address=172.16.0.1/24 interface=Bridge_LAN_e2 network=172.16.0.0
add address=192.168.1.3/24 interface=e1_WAN network=192.168.1.0
add address=10.67.57.91 interface=WG_ch-zrh-wg-003 network=10.67.57.91
/ip dhcp-client
add comment="IP, Route und DNS fest vergeben => deaktiviert" disabled=yes \  
    interface=e1_WAN
/ip dhcp-server network
add address=172.16.0.0/24 gateway=172.16.0.1
/ip dns
set allow-remote-requests=yes servers=10.64.0.1
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related disabled=yes hw-offload=yes
add action=accept chain=forward connection-state=established,related \
    disabled=yes
add action=drop chain=forward connection-state=invalid disabled=yes
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new disabled=yes in-interface=e1_WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WG_ch-zrh-wg-003
add action=masquerade chain=srcnat out-interface=e1_WAN
/ip route
add comment="Route ins Internet mit Wireguard" disabled=no distance=1 \  
    dst-address=0.0.0.0/0 gateway=WG_ch-zrh-wg-003 routing-table=main scope=\
    30 suppress-hw-offload=no target-scope=10
add comment="Endpoint von Wireguard \FCber normalen Gateway leiten" disabled=\  
    no distance=1 dst-address=193.32.127.68/32 gateway=192.168.1.2 \
    routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add comment="normale Route ins Internet, ohne Wireguard" disabled=yes \  
    distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.2 routing-table=main \
    scope=30 suppress-hw-offload=no target-scope=10
/system clock
set time-zone-name=Europe/Zurich
/system note
set show-at-login=no
01
02
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671601

Url: https://administrator.de/forum/routerboard-wireguard-verbindung-nur-fuer-ausgewaehlte-geraete-671601.html

Ausgedruckt am: 25.02.2025 um 10:02 Uhr

1 Kommentar
Goto Top
mediodia
mediodia 25.02.2025 aktualisiert um 08:06:54 Uhr
Goto Top
Simples Policy Routing entweder mittels Mangle oder Routing Rule: Einfach nur entsprechende Geräte in der Routing-Rule auswählen oder in der Mangle-Rule filtern
Wireguard Traffic (Gateway redirect)

Gruß m.
heart1
FrageMikroTik
Heiß diskutiert
LochkartenstanzerWindows 10: ipv4 kaputt, v6 gehtLochkartenstanzer - 35 Kommentareukulele-7Langlebiger USB-Stick gesuchtukulele-7 - 26 KommentaremichifsFirewall Migration - Hilfe zum Thema Routingmichifs - 22 KommentareRoterFruchtZwergVEthernet Adapter entfernenRoterFruchtZwerg - 22 KommentarehulawaProbleme beim Migrieren von Server 2019 Standard zu 2022 Standardhulawa - 19 KommentareN3cronomiconWin 11 24H2 - Vertrauensstellung zur Domäne verlorenN3cronomicon - 18 KommentareFluxkondensatorNeue WLAN Lösung für KMUFluxkondensator - 18 KommentarecoltseaversMicrosoft-Kontoregistrierung schlägt fehlcoltseavers - 16 KommentareSinzalOffice 2013 auf Windows 11 hängt sich oft aufSinzal - 16 KommentareCoreknabeWo bezieht Ihr Eure LWL-Kabel?Coreknabe - 16 Kommentarecirrus7VLAN DHCP Problemcirrus7 - 14 KommentarefeuerbrandPer VNC als Administrator anmelden nicht möglichfeuerbrand - 13 KommentarejapperExcel heute() , unterdrücken von Aktualisierungjapper - 13 Kommentare