MANUAL: Mikrotik, VPN tipo RoadWarrior usando WireGuard

Tus peticiones no son una burrada, pero no entiendo el setup. Si lo que quieres es controlar y discernir a qué se conectan los clientes de WireGuard, no tiene sentido que te lo lleves a un router que está más abajo y que encima hace NAT. Es decir, hay que montar WireGuard en el 750.

O eso, o me estoy perdiendo parte del setup y del propósito del mismo.

Saludos!
Después de leerte he visto que el setup no tiene sentido.
Lo tenía así porque había empezado las pruebas en 951 para ver si funcionaba y luego me lié.
La red ahora:
Ont+router de compañía con puerto de wireguard abierto a la ip del 750
Ahora ya tengo wireguard en el 750, con cloud activado.
Única regla nueva en el firewall del 750 la de aceptar tráfico de entrada que venga del puerto usado en wireguard, antes del drop del input, nada nuevo en firewall/nat, ni redireccionamientos ni masquerade
Móvil funcionando, tiene salida a internet y acceso a toda la red interna de casa.
....
El móvil tiene en ip alloweds el valor 0.0.0.0/0 que le da acceso a toda la red, pero he conseguido limitarle el acceso a la red interna con una nueva regla en el firewall del 750 colocada antes del drop del forward.
Código:
add action=drop chain=forward comment="Drop a red interna de clientes wireguard" in-interface=wireguard1 out-interface-list=!WAN

Se me queda así el firewall del 750
Código:
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input dst-port=13231 in-interface=ether1 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop a red interna de clientes wireguard" in-interface=wireguard1 out-interface-list=!WAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Entiendo que esta nueva regla, de ser válida, valdría para el segundo caso que planteaba anteriormente
Emparejar un mikrotik rbxxx con mi servidor wireguard, con ddns cloud activado
Dárselo a otra persona para que lo ponga en su red, colgando del router de la operadora con el puerto abierto para wireguard
Desde mi red tengo acceso a toda la suya
Seguiré leyendo para hacer la configuración del Peer 951G que haga que la salida a internet la haga desde su propia red y no tenga acceso a nada de mi red
Esto no veo como probarlo sin usar otra conexión de red real...
Un saludo!
 
Última edición:
Después de leerte he visto que el setup no tiene sentido.
Lo tenía así porque había empezado las pruebas en 951 para ver si funcionaba y luego me lié.
La red ahora:
Ont+router de compañía con puerto de wireguard abierto a la ip del 750
Ahora ya tengo wireguard en el 750, con cloud activado.
Única regla nueva en el firewall del 750 la de aceptar tráfico de entrada que venga del puerto usado en wireguard, antes del drop del input, nada nuevo en firewall/nat, ni redireccionamientos ni masquerade
Móvil funcionando, tiene salida a internet y acceso a toda la red interna de casa.
Mucho mejor así. La regla de firweall bájala hasta que quede justo por encima de la regla de "drop all not comign from LAN", ese es su sitio. La de capsman la puedes quitar, ese equipo no tiene interfaz inalámbrica, así que nunca va a usar esa regla en input.

El móvil tiene en ip alloweds el valor 0.0.0.0/0 que le da acceso a toda la red, pero he conseguido limitarle el acceso a la red interna con una nueva regla en el firewall del 750 colocada antes del drop del forward.
Yo la cambiaría por esta otra:
Código:
add action=reject chain=forward comment="guests: block wg-guests" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
Y así creas la lista "gorrones" y metes dentro las IP's que quieres bloquear, sin necesidad de ir metiendo más reglas de firewall. En esa lista iría la IP del móvil y la de cualquier cliente wireguard al que le quieras bloquear el acceso a tu subred.

Entiendo que esta nueva regla, de ser válida, valdría para el segundo caso que planteaba anteriormente
Emparejar un mikrotik rbxxx con mi servidor wireguard, con ddns cloud activado
Dárselo a otra persona para que lo ponga en su red, colgando del router de la operadora con el puerto abierto para wireguard
Desde mi red tengo acceso a toda la suya
Seguiré leyendo para hacer la configuración del Peer 951G que haga que la salida a internet la haga desde su propia red y no tenga acceso a nada de mi red
Esto no veo como probarlo sin usar otra conexión de red real...
Sí, pero mírate el manual del site-to-site, que necesitas alguna cosilla más, como rutas estáticas, para conseguir eso que quieres.

Saludos!
 
Mucho mejor así. La regla de firweall bájala hasta que quede justo por encima de la regla de "drop all not comign from LAN", ese es su sitio. La de capsman la puedes quitar, ese equipo no tiene interfaz inalámbrica, así que nunca va a usar esa regla en input.


Yo la cambiaría por esta otra:
Código:
add action=reject chain=forward comment="guests: block wg-guests" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
Y así creas la lista "gorrones" y metes dentro las IP's que quieres bloquear, sin necesidad de ir metiendo más reglas de firewall. En esa lista iría la IP del móvil y la de cualquier cliente wireguard al que le quieras bloquear el acceso a tu subred.

Así me queda el firewall del 750gr3
Código:
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Permite acceso puerto de wireguard" dst-port=13231 in-interface=ether1 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=reject chain=forward comment="guests: block wg-guests" out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=gorrones
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Creado lista gorrones, probado y funciona
Código:
 /ip/firewall/address-list> print
Columns: LIST, ADDRESS, CREATION-TIME
# LIST      ADDRESS    CREATION-TIME       
;;; Acceso a lan denegado a peers wireguard
0 gorrones  10.10.0.2  feb/05/2022 19:57:45



Sí, pero mírate el manual del site-to-site, que necesitas alguna cosilla más, como rutas estáticas, para conseguir eso que quieres.

Saludos!

Me pongo a ello a ver como se me da.

Gracias por todo, un saludo!
 
Hola buenos días, tengo un RB951Ui-2Hnd y estoy empezando a trastear con el, no se aun mucho (o nada) sobre estos aparatazos, lo que estoy aprendiendo gracias a vosotros....

Al grano, estoy intentando hacer funcionar este ejemplo del roadwarrior y no soy capaz de hacerlo funcionar, a ver si me podeis echar una mano y.
os cuento el montaje que tengo:

fibra movistar con hgu, tiene ip publica fija y he redirigido el puerto udp a la ip que le he dado al equipo Mikrotik
Captura_pertos.JPG


para probar he puesto el wireguard en una tablet android, en punto final he puesto la ip publica de mi fibra en lugar del dominio DDNS del mikrotik ( esto no se si es asi)
captura_wiegurd.jpg

y el Mikrotik creo que esta con la configuracion inicial en modo bridge y luego solo metidas las instrccuines que pones en el tutorial, este es el export:

# feb/11/2022 10:57:27 by RouterOS 7.1.1
# software id = M45G-W2R6
#
# model = 951Ui-2HnD
# serial number = **********
/interface bridge
add admin-mac=4C:5E:0C:EE:7E:E3 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=spain disabled=no \
distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-EE7EE7 \
wireless-protocol=802.11
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=wlan1 list=LAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 interface=wireguard public-key=\
"mechx**************pk3Qo="
/ip address
add address=192.168.28.2/24 comment=defconf interface=ether2 network=192.168.28.0
add address=10.10.0.1/24 interface=wireguard network=10.10.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=bridge
/ip dhcp-server network
add address=192.168.28.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.28.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.28.2 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=\
127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=\
WAN
add action=masquerade chain=srcnat src-address=10.10.0.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 \
protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=\
in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=\
in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" \
in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name="MikroTik oficina"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Ese equipo está en modo router, no bridge. No sigas este manual, sigue el otro donde se explica esto a fondo el tema WireGuard,

Saludos!
 
Muchas gracias por tu respuesta, pensaba que lo había puesto en modo bridge, voy a ver si me lo estudio mas…
Lo quería en bridge para dejar el hgu sin tocarlo y que fuera el Router principal y tener el mikrotik solo para el WireGuard.
Un saludo
 
Muchas gracias por tu respuesta, pensaba que lo había puesto en modo bridge, voy a ver si me lo estudio mas…
Lo quería en bridge para dejar el hgu sin tocarlo y que fuera el Router principal y tener el mikrotik solo para el WireGuard.
Un saludo
Tienes en el hilo de tips and tricks la forma de ponerlo en Bridge.

Truco: Convertir tu routerboard en un switch (o un AP puro, en caso de tener wifi)
Para cuando nos interese convertir nuestro router en un bridge, o en el caso de AP's inalámbricos los cuales no queramos usar con ninguna función de router, la solución es sencilla. Lo único que necesitamos hacer son los siguientes cambios:
  • Dar un reset al equipo sin configuración, no necesitamos ni si quiera la configuración que sale del quick set.
  • Crear el bridge principal y meter todas las interfaces que vayan a participar en el switch bajo dicho bridge. En el caso de un AP, meter también las interfaces físicas o virtuales correspondientes a los distintos radios.
  • Borrar las listas de interfaces (si las hubiera), puesto que no las vamos a necesitar, así como el firewall o el NAT
  • Crear un cliente dhcp sobre la interfaz del bridge /ip dhcp-client add disabled=no interface=bridge

Saludos.
 
Perdón por la simplicidad de la pregunta. Tengo una vpn desde mi movil a mi intranet montada con l2tp a mi router Mikrotk (usuario prenovato) y no veo por que cambiar a Wireguard y os leo tan ilusioandos y está claro que me pierdo algo bueno. Todo está muy bien explicado pero los dummies no vemos la razón inicial. Gracias por la ayuda y la paciencia, y disculpad el bajo nivel.
Buenos días,

A parte de que hay dos dichos:

1.-.Lo que funciona no lo toques.
2.-.Para estar seguro hay que actualizar, actualizar o morir...

Salvo error hay manuales de como configurar el servidor pero no he visto nada al respecto de clientes que no sean routers...

La pregunta es los terminales móviles de gama alta...iphones, samsung... etc aceptan este tipo de configuración, hasta la fecha solo IKEv2,IPsec y L2TP... para poder usar/probar/cambiar la configuración de VPN....

Necesitamos un cliente de VPN? alguna recomendación? Podéis aclarar este punto?

Cordialmente,

Juhn_Hoo
 
La pregunta es los terminales móviles de gama alta...iphones, samsung... etc aceptan este tipo de configuración, hasta la fecha solo IKEv2,IPsec y L2TP... para poder usar/probar/cambiar la configuración de VPN....
Buenos días,

Cuando tuve funcionando los túneles IKEv2 (antes de pasarme a WireGuard), para el móvil Android tenía funcionando la App strongSwan VPN Client.

Utiliza el buscador del foro, hay bastante comentado sobre su configuración para ese tipo de túneles.

S@lu2.
 
Buenos días,

Cuando tuve funcionando los túneles IKEv2 (antes de pasarme a WireGuard), para el móvil Android tenía funcionando la App strongSwan VPN Client.

Utiliza el buscador del foro, hay bastante comentado sobre su configuración para ese tipo de túneles.

S@lu2.
Buenos días,

Ya veo que no es algo que los sistemas operativos de los móviles lleven por defecto como el PPTP, L2TP, IPSEC o IKEv2... requiere app externa... grrr con lo poco que me gustan...

Cordialmente,

Juhn_Hoo
 
Buenos días,

Ya veo que no es algo que los sistemas operativos de los móviles lleven por defecto como el PPTP, L2TP, IPSEC o IKEv2... requiere app externa... grrr con lo poco que me gustan...

Cordialmente,

Juhn_Hoo
Fácil: no actualices. Pero, si vas a hacerlo, con todas las consecuencias.

Y, yo de ti, aprovecharía para rehacer toda la configuración, partiendo de la que pone el router por defecto.

Saludos!
 
Fácil: no actualices. Pero, si vas a hacerlo, con todas las consecuencias.

Y, yo de ti, aprovecharía para rehacer toda la configuración, partiendo de la que pone el router por defecto.

Saludos!
Buenas tardes pokoyo,

Estuve todo el fin de semana revisando el firewall del router implementando las reglas (a base de todas las respuestas que iba sacando de unos y de otros, nuevamente gracias) es decir lo revisé todo... creo que lo he dejado perfectamente ajustado a las necesidades y asegurado.

El otro día vi el tema del wireguard pero dependía del Router OS v7 que pensaba que mi router no era compatible por no salir la actualización.... visto que no es así mi intención es probar que tan buena es dicha VPN.

Solo he preguntado si los móviles llevan cliente por defecto o necesitan de app... ya veo que necesita app a mi me gusta más que forme parte del S.O pero...

Cordialmente,

Juhn_Hoo
 
Buenas tardes pokoyo,

Estuve todo el fin de semana revisando el firewall del router implementando las reglas (a base de todas las respuestas que iba sacando de unos y de otros, nuevamente gracias) es decir lo revisé todo... creo que lo he dejado perfectamente ajustado a las necesidades y asegurado.

El otro día vi el tema del wireguard pero dependía del Router OS v7 que pensaba que mi router no era compatible por no salir la actualización.... visto que no es así mi intención es probar que tan buena es dicha VPN.

Solo he preguntado si los móviles llevan cliente por defecto o necesitan de app... ya veo que necesita app a mi me gusta más que forme parte del S.O pero...

Cordialmente,

Juhn_Hoo
Tú prueba Wireguard y luego me cuentas si va a ser un problema o no el usar una app externa…

y si eres usuario de iphone, que se conecta automáticamente la vpn sin hacer tú nada en cuanto detecta una red que no esté en tus favoritas, ya ni te cuento….
 
Si esa función la tuviera implementada Android... le hago la ola, cachiss.

S@lu2.

Es algo q no acabo de entender… porque un cliente si y otro no…

Yo lo tengo en iphone, y la verdad, es un vicio… salgo de la red de trabajo y se conecta automáticamente la vpn… y me olvido de abrir puertos (más allá del del WG) y accedo a todos mis servicios, equipos,.. de manera local…..

Yo creo q algún tienen que acabar implementandolo en Android….
 
Tú prueba Wireguard y luego me cuentas si va a ser un problema o no el usar una app externa…

y si eres usuario de iphone, que se conecta automáticamente la vpn sin hacer tú nada en cuanto detecta una red que no esté en tus favoritas, ya ni te cuento….
Buenos días,

He probado el tema de WireGuard, después de actualizar a Routeros V7 y muy chulo la verdad... pero hay un tema que me ha mareado mucho al principio al menso en iPhone.... aunque el termina no se conecte el icono de la VPN aparece en pantalla... al revisar los logs vemos que no se conecta correctamente pero...

La verdad muy chulo y rápido.

Cordialmente,

Juhn_Hoo
 
Buenos días,

He probado el tema de WireGuard, después de actualizar a Routeros V7 y muy chulo la verdad... pero hay un tema que me ha mareado mucho al principio al menso en iPhone.... aunque el termina no se conecte el icono de la VPN aparece en pantalla... al revisar los logs vemos que no se conecta correctamente pero...

La verdad muy chulo y rápido.

Cordialmente,

Juhn_Hoo

Yo tengo iphone, y el símbolo de vpn solo me aparece cuando se conecta… en cuanto detecta una red conocida que yo he marcado, se desconecta la vpn y no me aparece el símbolo vpn…

Y a parte de chulo y rápido, muy muy seguro, que al final es lo que cuenta en una conexión vpn…
 
Yo tengo iphone, y el símbolo de vpn solo me aparece cuando se conecta… en cuanto detecta una red conocida que yo he marcado, se desconecta la vpn y no me aparece el símbolo vpn…

Y a parte de chulo y rápido, muy muy seguro, que al final es lo que cuenta en una conexión vpn…
Buenas noches,

A lo que me refiero es que aun estando la configuración errónea cuando lo activas e intenta levantar el tunel sin haberlo levantado la marcar se pone en verde y el icono aparece en la pantalla... eso me ha mareado un rato...

Cuando se ha verificado la configuración completamente y esta funcionaba todo perfecto pero hasta entonces ha dado unos minutos de guerra y comprobaciones.... pero una vez probado todo guay y perfecto.

En las configuraciones de VPN por defecto del iphone el check no se mantiene si no consigue levantar la VPN.... el comportamiento es distinto.

Cordialmente,

Juhn_Hoo
 
Buenos días, tengo unas dudas de muy novato, el tema es quería configurar wireguard, lo conseguí, pero por todo configure el rango 192.168.2.0/24 incluso en el peer del MKT 192.168.2.2/24 y perfecto, pero al añadir un segundo peer me tiraba el wireguard y no funcionaba, leyendo el foro vi que en peer usáis el 192.168.2.2/32 y así si puedo añadir más pir y funciona perfectamente. Porque hay que poner por todo /24 y en peer /32 para que funcionen los peer, es por no liarme y fallar en la configuración.

La otra duda es en firewall no tengo nada lo tengo en blanco y después de muchas pruebas vi que algunos ponían la regla de udp al puerto wireguard, yo por si era mi problema de que no me funcionó wireguard lo puse pero observo que tanto habilitado como no funciona igual el wireguard ya que mi problema venía por mi duda anterior, esa regla hace falta o no es necesario, este equipo concreto es un mikrotik en Bridge como e dicho partiendo de configurar borrada.
 
Arriba