🧠 День 6 — OPNsense, WireGuard и нормальный интернет
✎
Схема: edge и туннель
[ISP] -> [OPNsense/edge] -> [LAN]
|
+--> WireGuard (site-to-site / remote access)
Сегодня собрал управляемый интернет для устройств в сети.
🎯 Задача
Есть:
- сеть 192.168.88.0/24
- MikroTik
- Proxmox + OPNsense
- VPS (FR)
Нужно:
конкретные устройства → через VPN
остальные → напрямую
🧱 Архитектура
TV / ноут → MikroTik → OPNsense → WireGuard → VPS → Интернет
🔥 Что сделал
1. WireGuard на VPS
- интерфейс wg0
- адрес 10.10.10.1/24
- включил ip_forward
- сделал NAT через iptables
2. OPNsense как клиент
- Instance + Peer
- адрес 10.10.10.2/24
- endpoint → VPS
- добавил keepalive
3. Интерфейс и gateway
- добавил WG интерфейс
- создал gateway 10.10.10.1
Проблема:
gateway был defunct
Решение:
- убрал лишние маршруты
- отключил monitoring
4. NAT
Firewall → NAT → Outbound → Hybrid
Добавил правило:
Source: 192.168.88.0/24
Interface: WG
5. MikroTik (ключевой шаг)
Создал routing table:
/routing table add name=to_opnsense fib
Добавил маршрут:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.88.244 routing-table=to_opnsense
Добавил правило:
/ip firewall mangle add chain=prerouting src-address=192.168.88.250 action=mark-routing new-routing-mark=to_opnsense passthrough=no
🧪 Проверка
curl ifconfig.me
Получаем IP VPS
💡 Итог
устройства → MikroTik → OPNsense → WG → VPS
🚀 Дальше
- несколько стран
- fallback
- split routing (например только YouTube)
📌 Вывод
OPNsense — это не просто роутер
Это инструмент управления трафиком