MANUAL: Mikrotik, VPN tipo RoadWarrior usando WireGuard

Buenas noches,

A lo que me refiero es que aun estando la configuración errónea cuando lo activas e intenta levantar el tunel sin haberlo levantado la marcar se pone en verde y el icono aparece en la pantalla... eso me ha mareado un rato...

Cuando se ha verificado la configuración completamente y esta funcionaba todo perfecto pero hasta entonces ha dado unos minutos de guerra y comprobaciones.... pero una vez probado todo guay y perfecto.

En las configuraciones de VPN por defecto del iphone el check no se mantiene si no consigue levantar la VPN.... el comportamiento es distinto.

Cordialmente,

Juhn_Hoo
En las conexiones VPN tradicionales a las que estás acostumbrado, ambos extremos mantienen una sesión activa. Si la sesión se cae, el túnel se cae (y la sesión se puede caer por algo tan tonto como que pongas el teléfono en reposo medio minuto).

En wireguard, cada extremo se preocupa sólo de su lado de la conexión, y asume que el otro extremo está ahí para escucharlo. Pero, si no está, no es su problema. Es la razón por la que el túnel siempre te va a aparecer como levantado en tu lado, independientemente de qué lado mires.

Funciona así, no le des muchas más vueltas.

Saludos!
 
En las conexiones VPN tradicionales a las que estás acostumbrado, ambos extremos mantienen una sesión activa. Si la sesión se cae, el túnel se cae (y la sesión se puede caer por algo tan tonto como que pongas el teléfono en reposo medio minuto).

En wireguard, cada extremo se preocupa sólo de su lado de la conexión, y asume que el otro extremo está ahí para escucharlo. Pero, si no está, no es su problema. Es la razón por la que el túnel siempre te va a aparecer como levantado en tu lado, independientemente de qué lado mires.

Funciona así, no le des muchas más vueltas.

Saludos!
No si eso me di cuenta rápido con el wireguard, lo que me gustaría saber sobre todo es porque cuando configuramos el servidor el rango de IP siempre lleva /24 pero en el peer hay que ponerle rango IP /32.
 
Buenos días, tengo unas dudas de muy novato, el tema es quería configurar wireguard, lo conseguí, pero por todo configure el rango 192.168.2.0/24 incluso en el peer del MKT 192.168.2.2/24 y perfecto, pero al añadir un segundo peer me tiraba el wireguard y no funcionaba, leyendo el foro vi que en peer usáis el 192.168.2.2/32 y así si puedo añadir más pir y funciona perfectamente. Porque hay que poner por todo /24 y en peer /32 para que funcionen los peer, es por no liarme y fallar en la configuración.

La otra duda es en firewall no tengo nada lo tengo en blanco y después de muchas pruebas vi que algunos ponían la regla de udp al puerto wireguard, yo por si era mi problema de que no me funcionó wireguard lo puse pero observo que tanto habilitado como no funciona igual el wireguard ya que mi problema venía por mi duda anterior, esa regla hace falta o no es necesario, este equipo concreto es un mikrotik en Bridge como e dicho partiendo de configurar borrada.
La interfaz la configuras como /24 porque estás montando un road warriror, donde se presume vas a tener cierto broadcast, y estás definiendo qué subred va a tener esa dirección IP. Si es un punto a punto, la IP de la interfaz puede ser perfectamente un /30.

Por la misma razón que la anterior, los peers (cada par o extremo) es un /32 porque son direcciones únicas, y un peer sólo debería representar un cliente, con una única pareja de clave pública/privada.

Si en el firewall no tienes nada, espero que tengas un router por encima con un firewall. De lo contrario, estarías exponiendo esto de puertas al campo.

Saludos!
 
La interfaz la configuras como /24 porque estás montando un road warriror, donde se presume vas a tener cierto broadcast, y estás definiendo qué subred va a tener esa dirección IP. Si es un punto a punto, la IP de la interfaz puede ser perfectamente un /30.

Por la misma razón que la anterior, los peers (cada par o extremo) es un /32 porque son direcciones únicas, y un peer sólo debería representar un cliente, con una única pareja de clave pública/privada.

Si en el firewall no tienes nada, espero que tengas un router por encima con un firewall. De lo contrario, estarías exponiendo esto de puertas al campo.

Saludos!
Vale así creo me quedo más claro lo del tema /24 y barra /32.

En el firewall en ese router lo tengo en modo wispap y solo tengo añadido las reglas para l2tp-ipsec y ahora añadi las de wireguard.

El router superior imagino está protegido por el operador.

Pero tengo otro ac2 como home dual ap en modo router y parto de la misma base el firewall vacío, intenté partir de la base default de mikrotik pero no conseguí hacer funcionar ni l2tp-ipsec ni wireguard, conectaba pero no tenía lan, se ve que alguna regla que no conozco me dejaría fuera de la red o algo por eso me decante seguir como siempre empezar de cero.

Que reglas mínimas aconsejarías para tener en el firewall y no estar demasiado expuesto?

Muchas gracias por los consejos.
 
Vale así creo me quedo más claro lo del tema /24 y barra /32.
Perfecto.

En el firewall en ese router lo tengo en modo wispap y solo tengo añadido las reglas para l2tp-ipsec y ahora añadi las de wireguard.
No necesitas ninguna regla en ese caso. Si el router no hace de router, son innecesarias. Te hará falta meterlas en el router que lleve el firewall, el de la operadora que lleves por encima, y mandarlas a la IP de ese AP.
Recuerda: firewall en blanco en mikrotik = todo permitido.

El router superior imagino está protegido por el operador.
Más te vale asegurar ese punto. Como tengas algo en bridge o una DMZ, vas a poner calentitos los logs del AP.

Pero tengo otro ac2 como home dual ap en modo router y parto de la misma base el firewall vacío, intenté partir de la base default de mikrotik pero no conseguí hacer funcionar ni l2tp-ipsec ni wireguard, conectaba pero no tenía lan, se ve que alguna regla que no conozco me dejaría fuera de la red o algo por eso me decante seguir como siempre empezar de cero.
Con poner las reglas de accept, para los distintos puertos involucrados en esos protocolos, delante de la regla general de drop de input, ya lo tienes funcionando. Eso de "conecto pero no tengo LAN" ¿a qué se refiere? ¿Conectas y navegas? ¿Conectas y no navegas? ¿No llegas a ningún equipo de la LAN o no llegas al propio router? Porque todas ellas son distintos problemas con soluciones dispares.

Que reglas mínimas aconsejarías para tener en el firewall y no estar demasiado expuesto?
Las que trae Mikrotik por defecto en la configuración de fábrica. A partir de ahí, abres lo que necesites.

Saludos!
 
Perfecto.


No necesitas ninguna regla en ese caso. Si el router no hace de router, son innecesarias. Te hará falta meterlas en el router que lleve el firewall, el de la operadora que lleves por encima, y mandarlas a la IP de ese AP.
Recuerda: firewall en blanco en mikrotik = todo permitido.


Más te vale asegurar ese punto. Como tengas algo en bridge o una DMZ, vas a poner calentitos los logs del AP.


Con poner las reglas de accept, para los distintos puertos involucrados en esos protocolos, delante de la regla general de drop de input, ya lo tienes funcionando. Eso de "conecto pero no tengo LAN" ¿a qué se refiere? ¿Conectas y navegas? ¿Conectas y no navegas? ¿No llegas a ningún equipo de la LAN o no llegas al propio router? Porque todas ellas son distintos problemas con soluciones dispares.


Las que trae Mikrotik por defecto en la configuración de fábrica. A partir de ahí, abres lo que necesites.

Saludos!
Vale en el ap ya lo tengo claro más o menos por lo que me comentas.

En el router principal que te comenté tengo el operador en Bridge y parti de cero porque al configurar la VPN en el móvil que es donde más la uso conectaba pero no accedí a nada ni al router por eso desistí pero por lo que me comentas creo que debería insistir un poco.

Algo más básico que lo de mikrotik no existe entonces imagino no? Mi fallo sería no saber el orden donde tenía que meter las reglas porque las cogí de mi configuración básica del export y las importe al router default igual falle en alguna parte del proceso, deberé reintentarlo.

Muchas gracias por toda la información me es de gran ayuda.
 
Vale en el ap ya lo tengo claro más o menos por lo que me comentas.

En el router principal que te comenté tengo el operador en Bridge y parti de cero porque al configurar la VPN en el móvil que es donde más la uso conectaba pero no accedí a nada ni al router por eso desistí pero por lo que me comentas creo que debería insistir un poco.

Algo más básico que lo de mikrotik no existe entonces imagino no? Mi fallo sería no saber el orden donde tenía que meter las reglas porque las cogí de mi configuración básica del export y las importe al router default igual falle en alguna parte del proceso, deberé reintentarlo.

Muchas gracias por toda la información me es de gran ayuda.
Dime lo que tienes y cómo lo tienes porque no me queda nada claro. Qué equipos tienes en tu red y cual es el router principal, el cual NO debe de estar en modo bridge y tiene que tener un firewall.

Saludos!
 
Mi router principal un hap ac2 levanta el pppoe del operador así tengo internet directo, en el firewall tengo un par de reglas pocas porque parti de configurar el router en blanco.

Las reglas que tengo son fastrack activado para poder conseguir acercarme al GB de conexión, una regla para que no responda el ping desde wan y luego otra para que winbox ni la gestión web sea accesible desde wan, luego ya las reglas del l2tp-ipsec y nada más, así me va de fábula pensé que lo tenía protegido pero por lo que me dices me equivoco bastante.
 
Mi router principal un hap ac2 levanta el pppoe del operador así tengo internet directo, en el firewall tengo un par de reglas pocas porque parti de configurar el router en blanco.

Las reglas que tengo son fastrack activado para poder conseguir acercarme al GB de conexión, una regla para que no responda el ping desde wan y luego otra para que winbox ni la gestión web sea accesible desde wan, luego ya las reglas del l2tp-ipsec y nada más, así me va de fábula pensé que lo tenía protegido pero por lo que me dices me equivoco bastante.
Pues ya estás dándole un reset al equipo y dejándole cargar la config por defecto, aplicando cualquier peculiaridad tuya encima. Porque ahora mismo tienes, con casi total certeza, un bonito coladero.
¿No tienes los logs del equipo más calientes que el palo de un churrero? Porque mira que me extraña, con lo atacados que están estos equipos.

Saludos!
 
En cuando tenga un momento lo volveré a probar.

Si te soy sincero en el log solo muy de vez en cuando me salta algún intento del vpn l2tp-ipsec.

Piensa que tengo todos los servicios desabilitados menos www y winbox que solo puedo acceder desde lan igual eso me protege un poco.

Si reseteo mi configuración de pppoe, vpn, dhcp, wireguard incluso, podría importarlo desde el export para no tener que empezar de cero y contar con la configuración básica del MKT o no lo ves viable?
 
En cuando tenga un momento lo volveré a probar.

Si te soy sincero en el log solo muy de vez en cuando me salta algún intento del vpn l2tp-ipsec.

Piensa que tengo todos los servicios desabilitados menos www y winbox que solo puedo acceder desde lan igual eso me protege un poco.

Si reseteo mi configuración de pppoe, vpn, dhcp, wireguard incluso, podría importarlo desde el export para no tener que empezar de cero y contar con la configuración básica del MKT o no lo ves viable?
Sí, eso es viable. Guarda un export completo (con el flag “show-sensitive”) de lo que tienes ahora, y de ese fichero se puede ir cogiendo lo que necesites para montar ese otro fichero de import parcial, que aplicarás sobre la config por defecto.

Saludos!
 
Ahora me pillas nose como hacer ese export, mi idea era el comando file=myconfig.cfg. luego abrirlo con el bloc de notas y pegarlo en el terminal, es como lo hice para empezar con un upgrade a v7 limpio porque te leí que indicabas que en el upgrade dejaba un poco de cosas que no servían y como no se tanto como tú pues dije lo que más se acerca a una instalación limpia sería eso.

En una configuración para mí router secundario es un ac2 también pero en wispap parto como siempre de configuración limpia como el caso que te indique antes, este al no estar expuesto a internet no sucede nada imagino o mejor partir de configuración básica también?

Así ya voy asegurando la red porque como te dije al no ver apenas movimientos en rojo en el log pensé estar bien protegido.
 
Ahora me pillas nose como hacer ese export, mi idea era el comando file=myconfig.cfg. luego abrirlo con el bloc de notas y pegarlo en el terminal, es como lo hice para empezar con un upgrade a v7 limpio porque te leí que indicabas que en el upgrade dejaba un poco de cosas que no servían y como no se tanto como tú pues dije lo que más se acerca a una instalación limpia sería eso.

En una configuración para mí router secundario es un ac2 también pero en wispap parto como siempre de configuración limpia como el caso que te indique antes, este al no estar expuesto a internet no sucede nada imagino o mejor partir de configuración básica también?

Así ya voy asegurando la red porque como te dije al no ver apenas movimientos en rojo en el log pensé estar bien protegido.

Abre un terminal, pones “ export show-sensitive file=nombrequequieras “ (sin las comillas) y te crea un archivo en el apartado “files”. Haciendolo de esta manera, abres con el bloc de notas, y tienes toda la configuración y vas cogiendo lo q necesites

Y como te comenta el compañero, hazle un reset y mete la configuración por defecto, que te monta una config completa a todos los niveles.. y sobre eso, vas poniendo lo que necesitas, o cambiando, pero sobre una buena base…
 
Abre un terminal, pones “ export show-sensitive file=nombrequequieras “ (sin las comillas) y te crea un archivo en el apartado “files”. Haciendolo de esta manera, abres con el bloc de notas, y tienes toda la configuración y vas cogiendo lo q necesites

Y como te comenta el compañero, hazle un reset y mete la configuración por defecto, que te monta una config completa a todos los niveles.. y sobre eso, vas poniendo lo que necesitas, o cambiando, pero sobre una buena base…
Mucha gracias ya tengo la configuración guardada haber si la puedo aplicar sin problema encima de una base inicial.
 
Listos ahora ya parto de configuración básica de mikrotik, y como comentamos mis reglas están abajo del todo y no tengo acceso vpn ni wireguard a la red.

En qué orden debería ir para poder dejarlo funcionando? Creo según comentamos es donde me falla la cosa.

Muchas gracias.
 
Listos ahora ya parto de configuración básica de mikrotik, y como comentamos mis reglas están abajo del todo y no tengo acceso vpn ni wireguard a la red.

En qué orden debería ir para poder dejarlo funcionando? Creo según comentamos es donde me falla la cosa.

Muchas gracias.
Rectifico gracias a la configuración de wireguard de pokoyo e conseguido acceder a la VPN y a mi red, tambien moviendo las reglas del l2tp-ipsec e conseguido funcione, estaria bien en el orden que lo deje para dejar todo mas o menos un poco seguro y no partir de un firewall vacio.

Verán que desabilite mi fastrack al estar ya habilitado por el defconf, las reglas desabilitadas de no ping y no wan donde deberían ir para funcionar correctamente?

El fastrack por defecto observo viene con conection state stablished, related y untracked, mi configuracion era la misma pero solo en state stablished y related, sin el untracked, conviene desmarcarlo o mantengo el defconf?

Si ven que fallo en algun otro lado porfavor indiquenmelo, veran que adjunto tambien el nat para que vean si lo tengo bien, tengo un natloop para que funcione la domotica.

Muchas gracias por todo y perdón por las molestias.

/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=L2TP-IPSEC protocol=ipsec-esp
add action=accept chain=input dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
13231 protocol=udp
add action=drop chain=input comment=NO-PING in-interface-list=WAN protocol=\
icmp
add action=drop chain=input comment=NO-WAN dst-port=8291 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input dst-port=8888 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=LOCAL-ONLY disabled=yes src-address=\
192.168.1.54
add action=drop chain=forward disabled=yes src-address=192.168.1.29
add action=fasttrack-connection chain=forward comment=FASTTRACK \
connection-state=established,related disabled=yes hw-offload=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=NAT disabled=yes \
out-interface-list=WAN
add action=masquerade chain=srcnat comment=HAIRPIN disabled=yes dst-address=\
192.168.1.30 dst-port=8123 out-interface-list=LAN protocol=tcp \
src-address=192.168.1.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address=!192.168.1.0/24 \
dst-port=8123 protocol=tcp to-addresses=192.168.1.30
add action=masquerade chain=srcnat comment=NATLOOP dst-address=192.168.1.0/24 \
src-address=192.168.1.0/24
add action=dst-nat chain=dstnat dst-port=8123 in-interface-list=LAN protocol=\
tcp to-addresses=192.168.1.30 to-ports=8123
add action=dst-nat chain=dstnat comment=FORWARD dst-port=8123 \
in-interface-list=WAN protocol=tcp to-addresses=192.168.1.30 to-ports=\
8123
add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface-list=\
WAN protocol=tcp to-addresses=192.168.1.30 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=443 in-interface-list=\
WAN protocol=tcp to-addresses=192.168.1.30 to-ports=443
add action=dst-nat chain=dstnat disabled=yes dst-port=1701 in-interface-list=\
WAN protocol=udp to-addresses=192.168.1.1 to-ports=1701
add action=dst-nat chain=dstnat disabled=yes dst-port=500 in-interface-list=\
WAN protocol=udp to-addresses=192.168.1.1 to-ports=500
add action=dst-nat chain=dstnat disabled=yes dst-port=4500 in-interface-list=\
WAN protocol=udp to-addresses=192.168.1.1 to-ports=4500
add action=dst-nat chain=dstnat disabled=yes dst-port=8022 in-interface-list=\
WAN protocol=tcp to-addresses=192.168.1.10 to-ports=22
add action=dst-nat chain=dstnat disabled=yes dst-port=13231 \
in-interface-list=WAN protocol=udp to-addresses=192.168.1.1 to-ports=\
13231
 
Última edición:
Abre un hilo separado y lo vemos en detalle. Te estás liando, te sobra la mitad, especialmente en el NAT.

Saludos!
 
Como prefieras, aunque no es necesario.

Saludos!
 
Buenos días,

Después de varios días cacharreando estoy probando el router Mikrotik 962UiGS-5HacT2HnT, concretamente el tema de VPN desde test OKLA (https://www.speedtest.net/es). En todos los casos se esta usando una conexión origen MOVISTAR (600/600) contra la VPN mediante diferente protocolos del operador destino JAZZTEL (1000/1000) a tener en cuenta que por el Mikrotik 962UiGS-5HacT2HnT está limitado a 600/600 que es la velocidad que se obtiene localmente.

En todos los casos se usa el mismo ordenador con diferentes sistema operativo para el tema PPTP

0.NO VPN --> Ping 01 622/617 desde 600/600 desde MacBook Pro SO.-.Catalina 10.15.7
1.PPTP --> Ping 22 60/30 desde 600/600 contra 1000/1000 desde MacBook Pro S.O.-.Yosemite 10.10.5
2.L2TP --> Ping 47 12/8 desde 600/600 contra 1000/1000 desde MacBook Pro SO.-.Catalina 10.15.7
3.OVPN --> Ping 22 16/21 desde 600/600 contra 1000/1000 desde MacBook Pro S.O.-.Catalina 10.15.7
4.IKEv2 --> Me falta por acabar de probar
5.WIREGUARD --> Ping 24 66/51 desde 600/600 contra 1000/1000 desde MacBook Pro con 10.15.-.Catalina 10.15.7

En orden de más antigua a más moderna... para ver rendimientos/velocidades... el tema del rendimiento viene dado por la configuración aplicada...tipos de encriptación.... conexión origen conexión destino... etc....

En algún caso he visto en un video de NASeros, haciendo tests (
) yo no me acerco a esas velocidades ni de broma....

No se yo pero las velocidades... entre la 1.PPTP y la 5.WIREGUARD son muy similares en cuanto a bajada... no se si hay mucho más que cacharrear con configuraciones para obtener mejor rendimiento.

Cordialmente,

Juhn_Hoo
 
Arriba