MANUAL: Mikrotik, VPN tipo RoadWarrior usando WireGuard

Ok, entonces me pondré de momento con este post:

Como quieras. Es un tipo de vpn muy rápida también y que funciona muy bien. Algo más compleja de montar que WireGuard, pero muy rápida también.

Saludos!
 
Como quieras. Es un tipo de vpn muy rápida también y que funciona muy bien. Algo más compleja de montar que WireGuard, pero muy rápida también.

Saludos!
por probar me gustaria, pero la V7 todavia esta en desarrollo, no es version stable y no soy muy amigo de las versiones beta. Y la otra opcion aparte de esta seria la que va por IKEv2 no?
 
por probar me gustaria, pero la V7 todavia esta en desarrollo, no es version stable y no soy muy amigo de las versiones beta. Y la otra opcion aparte de esta seria la que va por IKEv2 no?
La v7 sigue siento una versión en desarrollo, pero es ya una release candidate. Yo tampoco soy muy amigo de usar versiones beta, pero tuve mucho tiempo la v7 funcionando en un router convertido en switch y este fin de semana me decidí a migrar el router principal. Y, de momento, sin problema.

Saludos!
 
Buenas tardes.

Un placer aparecer por aquí nuevamente tras un largo parón que me han obligado a hacer mis hijos y trabajo.

Esperemos que salga pronto la versión 7 estable que tengo muchas ganas de probar la VPN Wireward porque hasta ahora estoy utilizando OpenVPN a través del NAS pues no me ha dado tiempo a ponerme para configurarlo directamente en el router.

Espero tener más tiempo para pasar por aquí, seguir aprendiendo de vosotros y si algún nuevo novato se anima y puedo echarle una mano pues fantástico.

Un saludo.
 
Buenas chicos.

Para poder acceder al router desde un cliente conectado a la VPN he hecho esto:

1638583146057.png


Es decir, he añadido la interfaz wireguard a la lista LAN. Decidme que no he hecho ninguna burrada...

Saludos!
 
Buenas chicos.

Para poder acceder al router desde un cliente conectado a la VPN he hecho esto:

Ver el adjunto 88938

Es decir, he añadido la interfaz wireguard a la lista LAN. Decidme que no he hecho ninguna burrada...

Saludos!
De entrada no, pero todo depende de lo que busques. ¿Quieres que todos y cada uno de los clientes que atienda esa interfaz accedan al equipo? O solo alguna de las IPs /32 que tienes en la lista de Peers? Puedes crear una lista en ip > firewall > address list y dar de alta allí las IPs concretas que necesitas que tengan acceso al propio router, y crear en el chain de input una regla que diga “allow admin from wireguard”, usas esa lista como src-address-list, y así segmentas un poquito mejor.

Otra opción es tener dos interfaces wireguard (dos servidores), uno para admins u otro para el mundán populacho, y harías lo mismo que has hecho tú, pero a la del populacho la restringiría como si de una red de invitados se tratara: capando en forward todo tráfico con destino distinto de WAN.

Saludos!
 
Muchas gracias @pokoyo. Da gusto así. Tengo dos dudas.

La primera es la de siempre. No se si alguna vez aprenderé las prioridades de las reglas de firewall de chain de tipo input. Donde colocaría esa regla?

Y la segunda duda es, con respecto a la segunda solución que propones (que no es mala), qué sentido le ves a crear una segunda interfaz VPN en la que le capes todo el trafico que no sea la WAN? Para eso no te conectes a la VPN y listo, no? A no ser que te refieras a tener algo de seguridad cuando te conectas a una red tipo la de los aeropuertos o algo, no le veo mucho sentido.

Saludos!!
 
La primera es la de siempre. No se si alguna vez aprenderé las prioridades de las reglas de firewall de chain de tipo input. Donde colocaría esa regla?
Las prioridades son, según las lees de arriba a abajo. Si usas el filtro de arriba a la derecha de winbox en la pantalla de firewall filter, puedes filtrar solo para las de un chain, y así las ves todas de seguido. La prioridad es el orden de esa lista, de arriba a abajo, ni más ni menos.

Y la segunda duda es, con respecto a la segunda solución que propones (que no es mala), qué sentido le ves a crear una segunda interfaz VPN en la que le capes todo el trafico que no sea la WAN? Para eso no te conectes a la VPN y listo, no? A no ser que te refieras a tener algo de seguridad cuando te conectas a una red tipo la de los aeropuertos o algo, no le veo mucho sentido.
Yo puedo tener dos VPN's. Una donde me conecto yo, y accedo al router, otra donde se conecta mi familia y amigos, y sólo accede a los equipos que yo quiero que accedan y a internet. Para eso vale.

Saludos!
 
Gran hilo! @pocoyo, funciona todo perfecto. Tengo el wireguard en la version 7.1 del rb4011 y las pruebas todas ok. La unica cosa, realmente hace falta hacerle masquerade? Porque en principio yo no lo tengo, lo deshabilite para probar y parece que va igual. De hecho tenia la regla debajo de la masquerade de la red normal y no se movian los counters, si la pongo encima si se mueven, pero claro, igualmente parece que enmascara con la regla principal...

Supongo que podriamos quitarla no? O me he perdido en algo?

Por cierto, ojo a los que tengáis varias Addresses configuradas y las que no quieren que se vean entre ellas, yo he configurado una regla tal que:

1638627187673.png


Dropeo todo el trafico de la red 10.10.0.0/24 si no voy a mi LAN principal o !WAN, de esta forma, los clientes wireguard solo entrarian a mi red principal (No es una regla que haya que aplicar en todos los casos, este es mi caso), pero lo que intento en mi caso con esto es que los clientes wireguard no accedan a las redes que no me interesan (solo en mi caso acceso a la 192.168.11.0/24) Cada caso es un mundo, pero si no se pone una regla tal que así, los clientes wireguard podrían acceder al resto de redes configuradas en el mikrotik
 
Última edición:
Yo puedo tener dos VPN's. Una donde me conecto yo, y accedo al router, otra donde se conecta mi familia y amigos, y sólo accede a los equipos que yo quiero que accedan y a internet. Para eso vale.

Si, eso lo entiendo. Quizás no me he explicado bien. La duda es. ¿Para qué quieres conectar a tu familia a la VPN solo para navegar a Internet, si pueden hacerlo sin estar conectados a la VPN? Es lo que te decía antes, que igual estando conectado a la wifi de un aeropuerto le veo sentido (por seguridad) pero quitando esa casuística... yo lo dejaría sin estar en la VPN.

Yo es que el principal uso que le veo a la VPN es precisamente poder acceder a los chismes de mi LAN. Tengo un NAS, y para que mi familia pueda acceder a sus documentos, imágenes y tal, pues lo podrían hacer por samba conectándose a la VPN. Para todo lo demás, la red de datos del movil va muy bien :)

¡Saludos!
 
Gran hilo! @pocoyo, funciona todo perfecto. Tengo el wireguard en la version 7.1 del rb4011 y las pruebas todas ok. La unica cosa, realmente hace falta hacerle masquerade? Porque en principio yo no lo tengo, lo deshabilite para probar y parece que va igual. De hecho tenia la regla debajo de la masquerade de la red normal y no se movian los counters, si la pongo encima si se mueven, pero claro, igualmente parece que enmascara con la regla principal...

Supongo que podriamos quitarla no? O me he perdido en algo?

Por cierto, ojo a los que tengáis varias Addresses configuradas y las que no quieren que se vean entre ellas, yo he configurado una regla tal que:

Ver el adjunto 88950

Dropeo todo el trafico de la red 10.10.0.0/24 si no voy a mi LAN principal o !WAN, de esta forma, los clientes wireguard solo entrarian a mi red principal (No es una regla que haya que aplicar en todos los casos, este es mi caso), pero lo que intento en mi caso con esto es que los clientes wireguard no accedan a las redes que no me interesan (solo en mi caso acceso a la 192.168.11.0/24) Cada caso es un mundo, pero si no se pone una regla tal que así, los clientes wireguard podrían acceder al resto de redes configuradas en el mikrotik

No es necesario hacer masquerade con wireguard, ahora lo corrijo en el manual (fue de las primera pruebas y estaba hecha en un equipo que no era router principal). Ese masquerade sobra.

Y, en lugar de esa regla de drop, puedes configurar qué subredes le mandas al peer remoto, en lugar de dejarle acceder a 0.0.0/0 (aunque bien es verdad que si no controlas el remoto, él podría cambiarlo e intentar acceder a ellas).

Saludos!
 
Si, eso lo entiendo. Quizás no me he explicado bien. La duda es. ¿Para qué quieres conectar a tu familia a la VPN solo para navegar a Internet, si pueden hacerlo sin estar conectados a la VPN? Es lo que te decía antes, que igual estando conectado a la wifi de un aeropuerto le veo sentido (por seguridad) pero quitando esa casuística... yo lo dejaría sin estar en la VPN.

Yo es que el principal uso que le veo a la VPN es precisamente poder acceder a los chismes de mi LAN. Tengo un NAS, y para que mi familia pueda acceder a sus documentos, imágenes y tal, pues lo podrían hacer por samba conectándose a la VPN.

¡Saludos!
Imagínate que sólo quiero que accedan a una máquina concreta, restringido por una regla de firewall, y que viven en finlandia, y quieren ver TV española con una IP de aquí.

Saludos!
 
Imagínate que sólo quiero que accedan a una máquina concreta, restringido por una regla de firewall, y que viven en finlandia, y quieren ver TV española con una IP de aquí.

Saludos!
En ese caso sí que lo haría :)

En mi caso me interesa mucho más la primera opción que diste. Le doy acceso a la LAN, pero no al router. Así pueden acceder al NAS, o a Home Assistant, o a lo que quieran, sin necesidad de acceso al router, que es lo que no necesitan

Gracias @pokoyo
 
Arriba