Introdução

A Windscribe é mais um dos diversos provedores de serviços VPN comercial. Sediada no Canadá, ela utiliza aplicativos para diversas plataformas incluindo Windows, macOS, Linux, Android e iOS. Ou ainda com suporte para diversos roteadores e outras plataformas por meio de configurações manuais. A Windscribe usa os protocolos OpenVPN , Internet Key Exchange v2(IPsec) ou WireGuard nos aplicativos que podem ser baixados de seu site; ou com uso de configurações manuais.

Limitações do Mikrotik

O Mikrotik possui algumas limitações para uso do OpenVPN, dentre elas, a limitação na autenticação TLS necessária para uso com Windscribe. Por outro lado, a configuração no IPsec em Internet Key Exchange v2 (IKEv2) é complexo. No entanto, a simplicidade do WireGuard chama a atenção, mas o funcionamento no roteador Mikrotik não é tão automático assim. Você finaliza a configuração porém não encontra (ou não possui) o endereço IP da rota padrão (default) para direcionar o tráfego.

Windscribe WireGuard no Mikrotik

A configuração WireGuard fornecida pelo Windscribe só está disponível para usuários pagantes. Porém, infelizmente o site não oferece suporte da configuração para o Mikrotik. E tem um detalhe: no Mikrotik, a configuração apra WireGuard só está desponível à partir da versão 7.

 

O Windscribe fornece o limite de 5 pares de chave por conta que podem ser usados ou reusados inúmeras vezes.

Após baixar o arquivo de configuração, obtém algo parecido com o que segue:

De posse de tais dados para configuração, passa a configurar o Mikrotik:

/interface/wireguard/add name=windscribe1 private-key=”YJN123YDbKzuJd/xyz+yEUvUtDYnktyW5Dh/ZoCWu0U=” comment=Windscribe interface” listen-port=13231

A porta 13231 é escolhida automaticamente pelo Mikrotik e deve ser feito o redirecionamento UDP pelo roteador de acesso à rede para o servidor da VPN.

/interface/wireguard/peers/add endpoint-address=gru-165-wg.whiskergalaxy.com endpoint-port=443 public-key=”c88Casdfgasp/RIf7hQyYjrakrSyI4zfZdcTmcTwwxQ=” allowed-address=0.0.0.0/0 interface=windscribe1

O endereço IP da configuração deve ser atribuído à interface criada para o Windscribe:

/ip/address/add address=100.66.25.126/32 interface=windscribe1

Com a configuração acima não é possível o Mikrotik por si só rotear tráfego para a VPN do Windscribe. É necessário marcar pacotes para direcionar o roteamento:

/ip firewall address-list add address=192.168.88.0/24 list=under_windscribevpn

/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_windscribevpn new-connection-mark=under_windscribevpn passthrough=yes

Deve ser criada uma nova tabela de roteamento diferente da principal:

/routing/table/add name=windscribevpn_wg fib

Os pacotes marcados também devem ser direcionados para a nova tabela de roteamento:

/ip/firewall/mangle/add chain=prerouting src-address-list=under_windscribevpn action=mark-routing new-routing-mark=windscribevpn_wg passthrough=yes

E por fim, a nova rota padrão

/ip/route/add routing-table=protonvpn_wg dst-address=0.0.0.0/0 gateway=windscribe1 comment=”Windscribe Wireguard default route”

Conclusão

Poderá ser observado o tráfego observando a interface Wirescribe1 no Mikrotik:

 

Outras configurações pertinentes pode ser necessária, como por exemplo configurar o DNS privado interno na rede Windscribe:

/ip/dns/set servers=10.255.255.3 allow-remote-requests=yes

A configuração acima é necessária quando se deseja a máxima privacidade online. Até aqui, a configuração do Windscribe em Wireguard no Mikrotik passa a ser totalmente funcional.

Referências