MANUAL: Mikrotik, VPN tipo RoadWarrior usando WireGuard

El personal de mikrotik está tela de aburrido... como ya no bastaba añadir el wireguard, también añadieran Zerotier... otro juguete más que tendremos que probar...
 
Pues mira, si lo pruebas, documéntalo; con ese no me he metido aún.

Saludos!
 
Hola a todos, llevo tiempo siguiendo el foro pero nunca había escrito y ahora me he quedado bloqueado y necesitaba ayuda, seguro que es una tontería pero no consigo poner WireGuard en marcha, antes de navidad utilice este tutorial y me funciono ok, pero ahora lo he vuelto a hacer y no hay manera.
He metido todos los datos según vienen y en el móvil lo tengo puesto según la imagen.
El Mikrotik esta puesta detras de un router de vodafone en modo DMZ.
A ver si alguien me puede echar una mano.
Un saludo y gracias de antemano.
photo_2022-01-23_01-43-16.jpg
 
Hola!

Necesito que me aclaréis estas dudas sobre WireGuard.

Operador DigiMobil.

Router configurado como "Home AP Dual" desde Quit Set.

¿Es necesario crear la regla de masquerade?
¿Es necesario crear regla en el cortafuegos?

Estoy detrás de CG-NAT en IPv4 y sin CG-NAT en IPv6.

¿Funcionaría WireGuard con IPv6 en el teléfono móvil indicando como peer EndPoint: IPv6+puerto del servidor?

Me resisto a pagar por quitar CG-NAT.

Saludos!
 
Última edición:
Hola a todos, llevo tiempo siguiendo el foro pero nunca había escrito y ahora me he quedado bloqueado y necesitaba ayuda, seguro que es una tontería pero no consigo poner WireGuard en marcha, antes de navidad utilice este tutorial y me funciono ok, pero ahora lo he vuelto a hacer y no hay manera.
He metido todos los datos según vienen y en el móvil lo tengo puesto según la imagen.
El Mikrotik esta puesta detras de un router de vodafone en modo DMZ.
A ver si alguien me puede echar una mano.
Un saludo y gracias de antemano.Ver el adjunto 91164
Sin ver la config del router, malamente. Con esto sólo vemos una parte del puzle.

Saludos!
 
¿Es necesario crear la regla de masquerade?
No. En IPv4 tampoco.

¿Es necesario crear regla en el cortafuegos?
Sí, estás abriendo un servicio del router a internet. Necesitas la regla correspondiente en input, al igual que si fuera IPv4

Funcionaría WireGuard con IPv6 en el teléfono móvil indicando como peer EndPoint: IPv6+puerto del servidor?
Se supone que sí, pero yo no lo he podido probar aún.

Saludos!
 
Sí, claro, con eso vale.

Saludos!
Aquí te envio lo que me devuelve el export:

# jan/23/2022 21:19:54 by RouterOS 7.1.1
# software id = TD0N-X7QJ
#
# model = RBD52G-5HacD2HnD
# serial number = E5780F8A10AF
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
ssid=vodafone4670 wireless-protocol=802.11
set [ find default-name=wlan2 ] disabled=no mode=ap-bridge ssid=\
vodafone4670_5G wireless-protocol=802.11
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 interface=wireguard public-key=\
"zBBQCKwY2g8FS6DDcDbLAtDI2fQt8BTuurhIHhC3CnE="
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
add address=10.10.0.1/24 interface=wireguard network=10.10.0.0
/ip cloud
set ddns-enabled=yes
/ip cloud advanced
set use-local-address=yes
/ip dhcp-client
add interface=ether1
/ip dhcp-server lease
add address=192.168.0.61 client-id=1:40:16:3b:fb:4d:ef comment="TV Samnsung" \
mac-address=40:16:3B:FB:4D:EF server=dhcp1
add address=192.168.0.29 comment="Persiana Cocina" mac-address=\
3C:61:05:E4:F0:3A server=dhcp1
add address=192.168.0.16 mac-address=34:CE:00:88:EB:B8 server=dhcp1
add address=192.168.0.43 mac-address=CC:50:E3:14:93:00 server=dhcp1
add address=192.168.0.15 comment="Bombilla cochera" mac-address=\
34:CE:00:88:8A:BE server=dhcp1
add address=192.168.0.41 mac-address=28:6C:07:16:7F:0B server=dhcp1
add address=192.168.0.22 comment="Persiana Sal\F3n Derecha" mac-address=\
E8:DB:84:AB:4D:6D server=dhcp1
add address=192.168.0.17 client-id=1:e4:e7:49:8d:8f:f3 mac-address=\
E4:E7:49:8D:8F:F3 server=dhcp1
add address=192.168.0.12 mac-address=7C:61:66:3B:39:B5 server=dhcp1
add address=192.168.0.21 comment="Persiana Habitaci\F3n Verde" mac-address=\
E8:DB:84:A0:35:51 server=dhcp1
add address=192.168.0.27 comment="Luz Trastero" mac-address=E8:DB:84:D7:92:FA \
server=dhcp1
add address=192.168.0.23 comment="Persiana Sal\F3n Izquierda" mac-address=\
E8:DB:84:80:2C:0F server=dhcp1
add address=192.168.0.20 mac-address=70:EE:50:1B:C4:8C server=dhcp1
add address=192.168.0.10 client-id=1:ec:d:e4:e8:49:bc mac-address=\
EC:0D:E4:E8:49:BC server=dhcp1
add address=192.168.0.52 client-id=1:4:cf:8c:6c:ac:b8 comment=\
"Camara Cochera" mac-address=04:CF:8C:6C:AC:B8 server=dhcp1
add address=192.168.0.51 client-id=1:50:13:95:f0:7f:ff comment=\
"Camara Habiataci\F3n Asier" mac-address=50:13:95:F0:7F:FF server=dhcp1
add address=192.168.0.25 comment="Persiana Habitaci\F3n Asier" mac-address=\
E8:DB:84:A0:34:BA server=dhcp1
add address=192.168.0.24 comment="Luz Habitaci\F3n Verde" mac-address=\
E8:DB:84:A0:38:78 server=dhcp1
add address=192.168.0.26 comment="Luz Habitaci\F3n Asier" mac-address=\
E8:DB:84:A9:FC:39 server=dhcp1
add address=192.168.0.28 comment="Luces Sal\F3n" mac-address=\
E8:DB:84:A1:AB:B0 server=dhcp1
add address=192.168.0.53 client-id=1:98:22:ef:d2:81:21 mac-address=\
98:22:EF:D2:81:21 server=dhcp1
add address=192.168.0.54 client-id=1:20:f4:78:dd:34:cf mac-address=\
20:F4:78:DD:34:CF server=dhcp1
add address=192.168.0.30 comment="Luz Cocina" mac-address=E8:DB:84:A9:33:17 \
server=dhcp1
add address=192.168.0.55 client-id=1:e2:8d:5b:eb:cd:7f mac-address=\
E2:8D:5B:EB:CD:7F server=dhcp1
add address=192.168.0.33 comment="Luz Pasillo" mac-address=E8:68:E7:86:E2:C0 \
server=dhcp1
add address=192.168.0.42 mac-address=60:01:94:07:EC:AC server=dhcp1
add address=192.168.0.11 mac-address=F8:54:B8:9C:EA:69 server=dhcp1
add address=192.168.0.56 client-id=1:76:ec:2b:10:53:ed mac-address=\
76:EC:2B:10:53:ED server=dhcp1
add address=192.168.0.18 client-id=1:c8:6c:3d:b:e6:6c mac-address=\
C8:6C:3D:0B:E6:6C server=dhcp1
add address=192.168.0.19 client-id=1:c:43:f9:e2:42:7c mac-address=\
0C:43:F9:E2:42:7C server=dhcp1
add address=192.168.0.44 mac-address=F4:CF:A2:FE:26:35 server=dhcp1
add address=192.168.0.31 comment="Luz Ba\F1o Abajo" mac-address=\
E8:DB:84:AC:D0:6E server=dhcp1
add address=192.168.0.57 client-id=1:42:c5:e0:3d:df:62 mac-address=\
42:C5:E0:3D:DF:62 server=dhcp1
add address=192.168.0.14 comment="Bombilla Habitaci\F3n Asier" mac-address=\
34:CE:00:98:96:1C server=dhcp1
add address=192.168.0.32 comment="Luz Ba\F1o Arriba" mac-address=\
E8:DB:84:80:2E:4C server=dhcp1
add address=192.168.0.34 comment="Luz Vestidor" mac-address=E8:68:E7:86:C2:A2 \
server=dhcp1
add address=192.168.0.36 comment="Luz Ba\F1o Habitaci\F3n" mac-address=\
E8:DB:84:AA:2F:A5 server=dhcp1
add address=192.168.0.35 comment="Luz Patio - Barra Bodega" mac-address=\
C4:5B:BE:61:0C:A3 server=dhcp1
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=input comment="vpn: allow wireguard-rw"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=12345 in-interface-list=WAN \
protocol=tcp to-addresses=192.168.0.1 to-ports=12345
add action=masquerade chain=srcnat src-address=10.10.0.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Madrid
/system routerboard settings
set cpu-frequency=auto
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Gracias y un saludo
 
Ese firewall hace aguas compi. Y tienes la regla que acepta el tráfico de la vpn detrás de una que tira todo lo que no viene de la LAN. Y la regla sin puerto.

Saludos!
 
No, ese equipo no tiene el firewall por defecto. Pero es que el manual que me mandas es para montar un AP, no? Qué es lo que necesitas tú? Porque ya no me queda claro.

Saludos!
Yo lo que quería es sustituir el router de Vodafone por otro (si q he conseguido el usuario y pasw del pppoe, pero no he conseguido hacerlo funcionar), con el de Vodafone tengo problemas al tener muchos dispositivos conectados, pero al no ser capaz de poder sustituirle le he puesto por detrás del router y el sercomm de Vodafone en modo DMZ.
Siguiendo ese tutorial me funciona Internet bien y ahora lo q quisiera hacer es poder acceder sin estar en la misma red, más q nada para usar domoticz q tengo instalado en una raspberry o usar la impresora

Un saludo

Enviado desde mi SM-A528B mediante Tapatalk
 
Pues te recomendaría que te olvides de ese tutorial y que dejes el equipo según viene de fábrica después de un reset, únicamente cambiando los datos de la wifi desde el quick set. Es un setup que haces en medio minuto, literal, y te aseguras tener un equipo con un firewall completo.

Tanto si vas a configurar la conexión directa por PPPoE, como si vas a poner el router en la DMZ del equipo de Vodafone, te interesa ir por la vía de tener un router con firewall completo, no un AP. La DMZ es una redirección de todo puerto no mapeado a un equipo concreto. Quiere decir que, si bien ese equipo no tendría IP pública, sí que le llegaría todo el tráfico de internet, porque lo que estás haciendo a nivel del router de Vodafone es un bypass de su firewall.

Te animo a probar la primera opción y quitarte del todo el router de Vodafone, si de verdad tienes los datos del PPPoE correctamente extraídos. Sigue los manuales de configuraciones básicas de los ISPs que puedes ver en este mismo foro, y si tienes problemas abre un hilo independiente con el tuyo (no rehuséis por favor los de otros tópicos, que los ensuciamos)

Suerte!
 
Ok, muchas gracias, voy a dejar el router de fabrica y vuelvo a empezar, otra duda que tengo y ya cierro por este hilo, dentro de quick set hay un desplegable en la parte superior izquierda que tiene varias opciones, de todas las que viene hay cual es la que tengo que usar?

Gracias y un saludo.
 
No. En IPv4 tampoco.


Sí, estás abriendo un servicio del router a internet. Necesitas la regla correspondiente en input, al igual que si fuera IPv4


Se supone que sí, pero yo no lo he podido probar aún.

Saludos!

Hola, he configurado todo, pero no consigo navegar desde el teléfono móvil.
Necesitaría saber qué IPv6 crear/indicar en las siguientes interfaces. No controlo el direccionamiento IPv6.
No viene comentado en ninguna respuesta que haya visto.

1.png



2.png

3.jpg


Saludos.
 
Lo primero gracias por el manual.
Tengo dudas con respecto a wireguard RW.

La red que yo tengo es la siguiente:
Ont+ router de operadora- Puerto abierto para wireguard
Router 750gr3 que cuelga del anterior en ether1 y que lleva toda la red interna, dhcp server, caps...
Router 951G que cuelga del anterior y en el que he activado wireguard
.........................

El 750gr3 tiene el firewall con las reglas que se crean por defecto y el puerto de wireguard redirigido a la ip interna del 951G
El 951G, corre el wireguard, tiene el ddns cloud activo y la regla masquerade en el firewall

He conseguido que funcione en mi móvil android y tengo acceso a toda la red interna desde el exterior
Ip alloweds 0.0.0.0/0
End point el ddns cloud del 951G

Lo que quiero es que otro móvil (mi hija) pueda conectarse a través de wireguard , pero que no pueda acceder a mi red interna, que solo tenga salida a internet.
Tengo claro que tengo que añadir nuevo peer en el 951G con el tema del intercambio de claves públicas
La solución sería poner en ip alloweds la ip del wireguard del 951G, o activar la opción de excluir direcciones privadas, pero el problema que veo es que eso se configura en el móvil que hace de cliente y el propietario del móvil puede cambiarlo y tener acceso a mi red.

Supongo que sería añadir alguna regla al firewall del 750gr3.....


Otro caso que me gustaría conseguir:
Configuro el wireguard en mi router principal 750gr3
Lo mismo para el 951G y los emparejo
Le doy el 951G a una persona para que lo conecte en su casa detrás del router de su operadora con el puerto abierto para el wireguard, creo que esto es un site to site,.... pero yo quiero tener acceso a toda su red y que él no tenga acceso a la mía aunque consiga modificar el ip alloweds a 0.0.0.0/0

Es posible que todo esto que estoy diciendo sean auténticas burradas, en ese caso pido perdón por mi ignorancia
Un saludo!
 
Lo primero gracias por el manual.
Tengo dudas con respecto a wireguard RW.

La red que yo tengo es la siguiente:
Ont+ router de operadora- Puerto abierto para wireguard
Router 750gr3 que cuelga del anterior en ether1 y que lleva toda la red interna, dhcp server, caps...
Router 951G que cuelga del anterior y en el que he activado wireguard
.........................

El 750gr3 tiene el firewall con las reglas que se crean por defecto y el puerto de wireguard redirigido a la ip interna del 951G
El 951G, corre el wireguard, tiene el ddns cloud activo y la regla masquerade en el firewall

He conseguido que funcione en mi móvil android y tengo acceso a toda la red interna desde el exterior
Ip alloweds 0.0.0.0/0
End point el ddns cloud del 951G

Lo que quiero es que otro móvil (mi hija) pueda conectarse a través de wireguard , pero que no pueda acceder a mi red interna, que solo tenga salida a internet.
Tengo claro que tengo que añadir nuevo peer en el 951G con el tema del intercambio de claves públicas
La solución sería poner en ip alloweds la ip del wireguard del 951G, o activar la opción de excluir direcciones privadas, pero el problema que veo es que eso se configura en el móvil que hace de cliente y el propietario del móvil puede cambiarlo y tener acceso a mi red.

Supongo que sería añadir alguna regla al firewall del 750gr3.....


Otro caso que me gustaría conseguir:
Configuro el wireguard en mi router principal 750gr3
Lo mismo para el 951G y los emparejo
Le doy el 951G a una persona para que lo conecte en su casa detrás del router de su operadora con el puerto abierto para el wireguard, creo que esto es un site to site,.... pero yo quiero tener acceso a toda su red y que él no tenga acceso a la mía aunque consiga modificar el ip alloweds a 0.0.0.0/0

Es posible que todo esto que estoy diciendo sean auténticas burradas, en ese caso pido perdón por mi ignorancia
Un saludo!
Tus peticiones no son una burrada, pero no entiendo el setup. Si lo que quieres es controlar y discernir a qué se conectan los clientes de WireGuard, no tiene sentido que te lo lleves a un router que está más abajo y que encima hace NAT. Es decir, hay que montar WireGuard en el 750.

O eso, o me estoy perdiendo parte del setup y del propósito del mismo.

Saludos!
 
Arriba