MANUAL: Mikrotik, VPN tipo RoadWarrior usando WireGuard

Buenas! De primeras decir que va genial esta vpn, y que mi vida ha cambiado desde que lo combino con adguard home para el tema de la publi jajaja

Tengo una pequeña duda, y esto sobretodo me refiero a Windows. Hay manera de establecer una contraseña para iniciar la vpn? Así como con openvpn cada usuario tiene nombre de usuario y contraseña y yo en el cliente decido si pueda guardarse o se tenga que poner cada vez que se quiera levantar la vpn, con este sistema no sé muy bien si esto se podría hacer.

Por poner un ejemplo, dos usuarios diferentes usan el mismo perfil de usuario en Windows, uno de ellos quiero que pueda levantar la vpn sin mayor problema pero el otro usuario no quiero que pueda hacerlo bajo ningún concepto.

Sería posible una contraseña para levantar la vpn?

Gracias.

No es posible poner contraseñas de acceso, de la misma forma, en windows necesitas ser administrador para poder usarla.

Consejo, crea un perfil wireward por cada usuario que necesites, ya sea windows, linux, android, ios...
 
Vas mal de partida compi. Un perfil para dos usuarios...mal. Cada usuario con su perfil, y así decides qué apps van disponibles en cada perfil y cada uno con su contraseña de acceso.

Saludos!
 
Si, en empresa lo tengo todo mucho mejor gestionado y no hago mezclas.

Era para un tema personal. Así que bueno, tampoco es que sea un problemón.

Gracias a los dos por responder!
 
Buenas ¿hay alguna noticia ya sobre la fecha en la que estará implementado en la versión estable?

Saludos y gracias ;)
 
Nop, no tengo la suerte de tener dicha información privilegiada. Lo que sí te puedo decir es que han publicado recientemente la quita beta, incluyendo los parches y arreglos de la 6.48.1, amén de otros problemillas como que se quedara colgado el comando del export. Es una versión bastante estable, si la quieres probar en un equipo secundario.

Saludos!
 
Nop, no tengo la suerte de tener dicha información privilegiada. Lo que sí te puedo decir es que han publicado recientemente la quita beta, incluyendo los parches y arreglos de la 6.48.1, amén de otros problemillas como que se quedara colgado el comando del export. Es una versión bastante estable, si la quieres probar en un equipo secundario.

Saludos!

Jeje de ti me podía esperar cualquier tipo de información secreta ;) tengo un RB760IGS que me recomendaste como principal así que tampoco me atrevo a ir probando versiones no estables, supongo que de momento tendré que tirar por IKEv2 u OpenVPN.
 
IKEv2, sin duda. Cualquier cosa con ipsec va acelerado por hardware en ese equipo.

Saludos!
 
Buenas tardes,


Estoy intentando montar una VPN con wireguard y tengo algunos problemas/dudas.

Actualmente tengo el router de mi ISP (mikrotik hAP lite) que no puedo modificar la configuración, pero si pedir que lo hagan ellos. Detrás de ese router tengo montado mi mikrotik RB3011 haciendo PAT de mi red interna (192.168.1.0/24) a la red privada del ISP (192.168.88.0/24) tal y como se ve aqui:

Diagrama Red.jpg


Mi pregunta es, tengo que pedirle al ISP que abra un puerto del hAP lite y me haga un port forwarding al puerto de wireguard del RB3011? Solo con eso bastaría?
 
¿A qué te refieres con PAT? ¿Me explicas ese setup, please? Pero sí, a todas luces, tendrías un doble NAT, así que le tendrías que pedir a tu proveedor que te abra el puerto correspondiente, y te reenvíe ese tráfico a la IP pública de tu mikrotik.

Saludos!
 
¿A qué te refieres con PAT? ¿Me explicas ese setup, please? Pero sí, a todas luces, tendrías un doble NAT, así que le tendrías que pedir a tu proveedor que te abra el puerto correspondiente, y te reenvíe ese tráfico a la IP pública de tu mikrotik.

Saludos!
Basicamente como no puedo tocar el hAP puse un masquerade (creo que es PAT) para tener internet ya que no podia añadir la ruta hacia mi red en el hap.

El RB tiene una 192.168.88.x como WAN. Con la que los dispositivos de la 192.168.1.0 acceden a internet.

Es una solucion un poco guarra ya que al final el RB no aporta reglas de fw ni nada es solo para tener mi red tal i como me gusta con mis dispositivos con ip fija, controlar dns...
 
Basicamente como no puedo tocar el hAP puse un masquerade (creo que es PAT) para tener internet ya que no podia añadir la ruta hacia mi red en el hap.

El RB tiene una 192.168.88.x como WAN. Con la que los dispositivos de la 192.168.1.0 acceden a internet.

Es una solucion un poco guarra ya que al final el RB no aporta reglas de fw ni nada es solo para tener mi red tal i como me gusta con mis dispositivos con ip fija, controlar dns...
Vamos, que tienes un doble NAT y listo. Vale, sin problema. Lo único que necesitas hacer en el hAP es abrir el puerto que te de la gana y mandárselo a la IP estática que tengas como WAN en 3011. Cuando montes wireguard en ese equipo, simplemente usa ese mismo puerto.

Saludos!
 
Vamos, que tienes un doble NAT y listo. Vale, sin problema. Lo único que necesitas hacer en el hAP es abrir el puerto que te de la gana y mandárselo a la IP estática que tengas como WAN en 3011. Cuando montes wireguard en ese equipo, simplemente usa ese mismo puerto.

Saludos!
Perfecto, muchas gracias. Voy a pedir que me lo hagan desde el ISP.

Por otro lado, yo quiero que los dispositivos que se conecten a la VPN solo tengan acceso a la red interna es decir que tengan acceso a la 192.168.1.0/24, pero que todas sus otras conexiones a internet no pasen por la VPN, sino que vayan directas.

Si no me equivoco he visto algo sobre las allowedIP en el servidor, pero no me queda muy claro como hacerlo...
 
Perfecto, muchas gracias. Voy a pedir que me lo hagan desde el ISP.

Por otro lado, yo quiero que los dispositivos que se conecten a la VPN solo tengan acceso a la red interna es decir que tengan acceso a la 192.168.1.0/24, pero que todas sus otras conexiones a internet no pasen por la VPN, sino que vayan directas.

Si no me equivoco he visto algo sobre las allowedIP en el servidor, pero no me queda muy claro como hacerlo...
Por mera curiosidad, quién es tu ISP que te monta un hAP-lite de router?

Correcto, lo de acceder a un sitio u otro se hace con el allowed IPs y jugando con las subredes. ¿No vas a querer que los clientes que se conecten vayan más allá de la LAN? No quieres que salgan a internet?

Ah, y otra cosa cosa. Si ese 3011 hace de router y lleva un firewall, acepta en el chain de input el puerto que sea que configures para la interfaz de WireGuard.

Saludos!
 
Por mera curiosidad, quién es tu ISP que te monta un hAP-lite de router?

Correcto, lo de acceder a un sitio u otro se hace con el allowed IPs y jugando con las subredes. ¿No vas a querer que los clientes que se conecten vayan más allá de la LAN? No quieres que salgan a internet?

Ah, y otra cosa cosa. Si ese 3011 hace de router y lleva un firewall, acepta en el chain de input el puerto que sea que configures para la interfaz de WireGuard.

Saludos!

El ISP es una empresa pequeña que de momento está dando internet por wifi, pero que ya están empezando a desplegar fibra. Vivo en una zona donde no hay más oferta que esa o adsl y la verdad es que estoy muy contento con ellos.

De momento no quiero que tengan internet a través de la VPN, ya que en mi conexión tengo unos 10-15mbps y supongo que eso me limitaría.
 
Basicamente como no puedo tocar el hAP puse un masquerade (creo que es PAT) para tener internet ya que no podia añadir la ruta hacia mi red en el hap.

El RB tiene una 192.168.88.x como WAN. Con la que los dispositivos de la 192.168.1.0 acceden a internet.

Es una solucion un poco guarra ya que al final el RB no aporta reglas de fw ni nada es solo para tener mi red tal i como me gusta con mis dispositivos con ip fija, controlar dns...

Para eliminar el doble NAT tendrías que escribir una ruta en /ip routes tal que así en el 3011

Entiendo que la red del 3011 es 192.168.1.0/24 y la puerta de enlace del hap 192.168.88.1

1620770799550.png


Te queda algo como esto pero con tus valores (a mi me pone wlan2 porque es el interfad por el que adquiere internet, a ti te pondrá ether1 o por el que te conectes al hap)

1620771304520.png


Posteriormente desactivar mascarade para comprobar que todo funciona antes de borrarlo.

Con respecto al WireGuard tienes que indicarle que te abran el puerto que has seleccionado - yo he cambiado el puerto por defecto 5180 por otro -.

Espero haberte servido de ayuda

Saludos
 
Última edición:
Para eliminar el doble NAT tendrías que escribir una ruta en /ip routes tal que así en el 3011

Entiendo que la red del 3011 es 192.168.1.0/24 y la puerta de enlace del hap 192.168.88.1

Ver el adjunto 82320

Te queda algo como esto pero con tus valores (a mi me pone wlan2 porque es el interfad por el que adquiere internet, a ti te pondrá ether1 o por el que te conectes al hap)

Ver el adjunto 82326

Posteriormente desactivar mascarade para comprobar que todo funciona antes de borrarlo.

Con respecto al WireGuard tienes que indicarle que te abran el puerto que has seleccionado - yo he cambiado el puerto por defecto 5180 por otro -.

Espero haberte servido de ayuda

Saludos
Ehhh, no, eso no es borrar el doble NAT. Es hacer una ñapa del tamaño de un castillo. Básicamente le estás diciendo “tú no te preocupes por esa red, que encima es la suya, y pregúntale al de arriba, a ver qué te dice”. Para eliminar efectivamente el doble NAT, quien lo tiene que hacer es el de arriba, con una regla das-nat que no especifique nada más, salvo la IP del 3011 (vamos, una DMZ, de toda la vida).
cuidado con estos consejos que, si bien te pueden parecer correctos y que hacen lo que tú quieres, no lo están haciendo y estás montando una configuración no deseable.

Saludos!
 
Ehhh, no, eso no es borrar el doble NAT. Es hacer una ñapa del tamaño de un castillo. Básicamente le estás diciendo “tú no te preocupes por esa red, que encima es la suya, y pregúntale al de arriba, a ver qué te dice”. Para eliminar efectivamente el doble NAT, quien lo tiene que hacer es el de arriba, con una regla das-nat que no especifique nada más, salvo la IP del 3011 (vamos, una DMZ, de toda la vida).
cuidado con estos consejos que, si bien te pueden parecer correctos y que hacen lo que tú quieres, no lo están haciendo y estás montando una configuración no deseable.

Saludos!

Esas ñapas son consejos de un tal Rodrigo Anrrango, y viendo su perfil de conocimiento sobre Mikrotik algo sabrá.

Yo no me lo he inventado y los conocimientos los he obtenido del blog de una de sus empresas https://www.smartisp.us/como-resolver-nat-sobre-nat-en-mikrotik/

Pero supongo que tu estás como mínimo a la altura del Sr Anrrango.

Saludos
 
Esas ñapas son consejos de un tal Rodrigo Anrrango, y viendo su perfil de conocimiento sobre Mikrotik algo sabrá.

Yo no me lo he inventado y los conocimientos los he obtenido del blog de una de sus empresas https://www.smartisp.us/como-resolver-nat-sobre-nat-en-mikrotik/

Pero supongo que tu estás como mínimo a la altura del Sr Anrrango.

Saludos
Macho, tú y yo empezamos con mal pie, y no enderezamos ¿eh?

No dudo del conocimiento del señor Rodrigo Anrrango, tan conocido en su casa a la hora de comer como yo en la mía. Pero sí dudo de que hayas conseguido absorber dicho conocimiento extraído de ese vídeo. Vuelve a ver el vídeo, mira la foto del esquema del compañero, y dime quien es en ese esquema, "Core Matriz" y "Core Ciudad 1", si lo extrapolamos a este ejemplo. Y ahora, sin tocar el hAP-lite, dime, ¿cómo lo hacemos?

Aparte de esto, los ejemplos hay que saber entenderlos, para poder aplicarlos. En ese vídeo nos hablan de cómo conectar los routers core de un ISP, con una subred /30 (dos equipos, broadcast y red), poco o nada que ver con un router tipo CPE que te instala el cliente en tu casa, como es ese hAP-lite.

Además, de la manera que planteas, mañana quieres abrir un puerto y le vas a tener que decir al ISP que te lo abra, porque acabas de quitarte tu NAT, el que tú controlas, para pasar a tener el del operador, el cual no controlas. Por si fuera poco, necesitas que el router del operador conozca tu segmento LAN PRIVADO y, si usas las reglas de firewall por defecto, ese tráfico estaría parado por el "drop all from WAN not DSTNATed" del chain de forward, como es lógico, puesto que no confías en ningún tráfico que venga de internet a menos que lo hayas nateado tú mismo.

En un setup donde tú controlas ambos equipos, y quieres centralizar la configuración en uno de ellos, ahí sí tendría sentido lo que dices, pero en este caso... lo siento, pero no lo veo.

Sigo pensando que es mucha mejor idea decirle al operador que te haga una DMZ a la IP que te entrega y listo. A partir de ahí, el firewall lo controlas tú en el 3011, tanto a nivel de filtrado como a nivel de NAT. Y es tan simple como meter esta regla en el router del operador:
Código:
add action=accept chain=dstnat dst-address=IP_WAN_3011

Donde IP_WAN_3011 es la IP que el 3011 tiene como pública en ether1, pero que es una IP privada del rango 192.168.88.0/24 del hAP-lite. Con eso, todo tráfico entrante en el hAP-lite, acabará por defecto en el 3011, el cual ahora puede tener su firewall y NAT a su antojo, sin depender de nada ni nadie.

No obstante, esto es mikrotik, y las cosas hay muchas maneras de solucionarlas... claro está, si sabes lo que estás haciendo.

Saludos!
 
dime quien es en ese esquema, "Core Matriz" y "Core Ciudad 1", si lo extrapolamos a este ejemplo. Y ahora, sin tocar el hAP-lite, dime, ¿cómo lo hacemos?

"Core matriz" es el hap y "core ciudad 1" es el 3011
En ese vídeo nos hablan de cómo conectar los routers core de un ISP, con una subred /30 (dos equipos, broadcast y red), poco o nada que ver con un router tipo CPE que te instala el cliente en tu casa, como es ese hAP-lite.

El video habla de 3 routers ubicados en lugares diferentes del "core matriz", pongamos Galicia, Cataluña y Andalucía, siendo core matriz Madrid
Para poder extender las lan de los routers que tengo por las comunidades autonómicas obviamente tengo que crear túneles con subred /30 para tener acceso a las diferentes lan de las diferentes comunidades autonómicas.

Como el acceso en este caso es directo me salto ese paso porque no hay "internet" entre el 3011 y el hap, es decir, en mi caso tengo un 4011 con sus reglas de firewall, nat, mangle, raw y addess list (equivalente al hap del OP) y detrás el hap^2 sin firewall activo (equivalente al hap del OP).

Obvio, si soy @MikroJose tendré mi firewall y demás perfectamente levantado para navegar con tranquilidad

Además, de la manera que planteas, mañana quieres abrir un puerto y le vas a tener que decir al ISP que te lo abra, porque acabas de quitarte tu NAT, el que tú controlas, para pasar a tener el del operador, el cual no controlas.

No veo el problema en decirle al operador que abra el puerto X, no hace tanto en las conexiones HTC como la de R en Galicia tenías que llamar al operador para que te abriera los puertos del emule y nunca tuve un problema real con eso.

Por si fuera poco, necesitas que el router del operador conozca tu segmento LAN PRIVADO y, si usas las reglas de firewall por defecto, ese tráfico estaría parado por el "drop all from WAN not DSTNATed" del chain de forward, como es lógico, puesto que no confías en ningún tráfico que venga de internet a menos que lo hayas nateado tú mismo.

Lo que el proveedor va a saber de mi lan privado va a ser una ip que es con la que se comunica el 3011 con el hap para tener acceso a internet.

Al "drop all from WAN not DSTNATed" es una regla que tiene que estar si o si en el hap, por lo que se podría quitar del 3011 sin poner a nada ni a nadie en riesgo



Como dices hay muchas formas de hacer lo mismo... supongo que yo soy mas de ñapas que de hacer las cosas como mandan los cánones
Saludos
 
Tu ejemplo y el suyo no son extrapolables. Creo que él no tiene acceso al hAP-lite, esa es la principal diferencia (corrígeme si me equivoco @MikroJose). De ahí que, entre pedir una regla de DMZ y ligar mi configuración a la del router del proveedor (te equivocas cuando dices el proveedor va a saber de mi lan privado va a ser una ip que es con la que se comunica el 3011, no es sólo una IP, es la IP del gateway más toda la subred LAN que uses, fíjate que necesitas las dos para crear la ruta estática), me quedo con la DMZ.

Y, de cualquier forma, lo que tú has planteado en tu post es justo lo contrario, hacer la ruta en el 3011, cosa que no tiene ningún sentido, puesto que ese equipo ya sabe por dónde se llega a la subred del hAP-lite, puesto que tiene una interfaz, ether1, conectado a ella, lo cual genera una entrada automática en la tabla de rutas.

Si quieres salir de dudas, monta el esquema propuesto en GNS3, intentando quitar la NAT del 3011 sin tocar el hAP-lite. Ya te aventuro que no vas a poder, que esa ruta que planteas es inválida.

Saludos!
 
Arriba