Po. Čvc 15th, 2024

S RouterOS verze 7.x je možné zprovoznit WireGuard.

Máme 2 lokality.
R1 se nachází na lokalitě s veřejnou IPv4 adresou 95.95.95.95
Bude mít v zájmu VPN IP adresu 10.200.0.2
Má pod sebou LAN síť 192.168.125.0/24, sám má adresu 192.168.125.1
V síti je počítač 192.168.125.125.

R2 se nachází na druhé lokalitě s veřejnou IPv4 adresou 178.178.178.178
Bude mít v zájmu VPN IP adresu 10.200.0.1
Má pod sebou LAN síť 192.168.123.0/24, sám má adresu 192.168.123.1
V síti je počítač 192.168.123.123

Konfigurace R1 1/2

WireGuard / + / listen port 13231 (můžeme i jiný, třeba 443, pokud chceme trafik schovat pod HTTPS provoz)

Public key si někam zkopírujte, vložíte ho do Peeru na routeru R2:

Přidáme Adresu routeru R1 pro VPN Wireguard:

Přidáme routu na R1: (aby uživatelé v síti 192.168.125.0/24 viděli pc v síti 192.168.123.0/24 )

IP / ROUTES / +

Konfigurace R2

WireGuard / + /

Přidáme peera na R2:

Do Public Key vložíme Public key z routeru R1:

Přidáme routy a adresu R2 na R2

IP / Addresses / +

IP / ROUTES / +

Konfigurace R1 2/2

Vložíme peera na R1:

Logika nastavení je následující
Nahoře jsou peery pro každý router, dole jsou wireguard servery pro každý router.

Firewall R1

IP / FIREWALL / Add
chain: input
src. Address List : 178.178.178.178
Protocol: udp
destination port: 13231
Na záložce action dáme accept

Firewall R2

IP / FIREWALL / Add
chain: input
src. Address List : 95.95.95.95 (v mém případě na obrázku se na to může připojit odkudkoliv z celého světa, když tam src. Address nedám žádnou ip)
Protocol: udp
destination port: 13231
Na záložce action dáme accept

Hotovo

Ping z R2 na R1:

Ping z R1 na R2:

Počítače v sítích za routerem pingají počítače v sítích za opačným routerem bez nutnosti cokoliv dalšího na počítačích nastavovat. Počítače v sítích za routery pingají i VPN IP 10.200.0.x ip adresy routerů.

Pokud počítače pingají routery, ale nepingají počítače, je nutné ověřit, že v route listech jsou u Destionation addresses uvedeny /24 celé prefixy sítí

Ukázka na R2, kdyby tam nebyla /24, tak počítače v síti 192.168.125.0 ze sítě 192.168.123.0 počítače nepingnou

A totéž pak u addresses list:

Ukázka na R2, pokud by tam nebyl prefix /24, tak router nepingnete
Avatar

By mirra

Hardwaru a počítačům se věnuji již od roku 2003. Za tu dobu jsem poskládal stovky počítačů, opravil tisíce počítačů a vyřešil nespočetně problémů, vad a chyb, se kterými se setkávali uživatelé. Od roku 2005 se zabývám servery, zejména těmi herními, v roce 2007 jsem se začal věnovat Valve Source SDK level designu, který šel od roku 2009 k ledu kvůli studiu Informatiky na univerzitě. Podílel jsem se chvíli i na provozu síťové laboratoře MENDELU, dnes spravuji cca 30 serverů/diskových polí na univerzitě, řeším IT v malých a středních firmách tak, aby firmy ušetřily nemalé částky při zlepšení kvality a soustředím se na snižování nákladů na IT od licencí až po hardware, software, provádím konsolidace a audity platnosti licencí, které firmám šetří rovněž nemalé peníze. Z velkých firem spravuji s dalšími kolegy 8000 serverů po celé Evropě a tato práce mě nesmírně baví, protože se vše musí automatizovat a nabízí mi to možnost trénovat další evropské jazyky od Angličtiny, přes Němčinu až po Italštinu.

3 thoughts on “Wireguard na Mikrotiku site-to-site”
  1. ahoj, postupoval som podla navodu, naozaj je jednoduchy ale aj napriek tomu nemozem sa dostat na pc za mikrotikom, ping tunelu ke funkncy z oboch stran ale na pc sa nedostanem
    skusal som pridat wireguard do LAN interface a taktiez aj forward PC1 do PC2
    wireguard v nastaveni road warior funguje v poriadku len Site To Site mi nefunguje, obe routre su mikrotik a obe maju verejnu staticku IP
    nejaky napad?

    vdaka

    1. Zkusit vytáhnout pravidlo ve firewallu v prioritách trošku výš, aby se to pravidlo matchlo dříve, než ostatní pravidla. Možná to neběží jen kvůli tomuto. A kdyby to blbnulo, zkusit rebootnout v nějaký rozumný čas oba mikrotiky..

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *