MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

En el cliente de iOS se puede. Lo desconozco en el de Android. Pero, afortunadamente, la vpn sigue funcionando, incluso si te conectas a tu misma red.

Saludos!
 
Buenas!

No se si se ha preguntado ya..,mirando el hilo no lo vi..., cuando voy con el movil en road warrior todo genial pero cuando llego a casa la conexión VPN sigue activa, me gustaría saber si hay modo de que cuando conecte a mi wlan la VPN desconecte sola.

Gracias por la info q se pueda aportar! Y Feliz navidad a tod@s

Sí… ese “problema” ya se ha comentado en varias ocasiones desde que salió Wireguard, y parece ser que en el cliente para Android, no hay opción de decirle que cuando este en la red wifi tuya (o las que tu definas) se desactive.. cosa que en el cliente para IOS, por ejemplo, si tiene la opción de ponerle a demanda y cuando se conecte a la red wifi definida en los favoritos, se desconecte la vpn de manera automática…
 
Buenas!

No se si se ha preguntado ya..,mirando el hilo no lo vi..., cuando voy con el movil en road warrior todo genial pero cuando llego a casa la conexión VPN sigue activa, me gustaría saber si hay modo de que cuando conecte a mi wlan la VPN desconecte sola.

Gracias por la info q se pueda aportar! Y Feliz navidad a tod@s

 
Vaya.. gracias por la respuesta.. pues habrá que esperar hasta que mejoren el cliente... O hacerse el apaño con tasker o algo similar...

Thanks
 
@pokoyo, es lo que me extraña, cuando reinicio los branch es cuando engancha WG y se mantiene levantado mientras HQ esté operativo, pero si HQ se reinicia, ni el propio HQ ni branch son capaces de restablecer el túnel.

Voy a abrir los puertos en los HGU por si acaso, y volveré a probar. Os voy informando.


Saludos!
La semana pasada lo deje unos dias por desesperacion..
Tengo los mismos problemas.... de primeras levanta y funciona a la perfeccion... tras un reinicio no vuelve a levantar el tunel nunca más....
Estoy bastante bloqueado en ese asunto y no se como avanzar.....
He probado a abrir puertos de ambos extremos solo de uno de ellos y nada.... de primeras perfecto, funciona todo y tras un reinicio de cualquier router o del desco KO.... al final reset, reconfiguracion y funciona un rato...
y asi me desespere hace unos dias.......
Has encontrado alguna solucion?
 
@mdPando, en los branch's al estar tras un NAT, le abrí el puerto correspondiente a wireguard en el router principal sobre el que cuelgan los MK's (que por olvido mío no los tenía abiertos) y le activé la opción "Persistent Keepalive" dentro de la conexión Wireguard, tanto en HQ como en los branch, y por el momento no me ha vuelto a pasar.

Prueba y nos cuentas.


Saludos!
 
Buenas a todos
Alguien a tenido problema de acceder a recursos locales como una servidor WEB usando Hairpin-NAT a través de la VPN... anteriormente usando OpenVPN no he tenido ese problema.

1640639538196.png
 
Qué pinta el masquerade del wireguard? No lo necesitas. Y, hacer dos veces hairpin nat, tampoco.

Saludos!
La regla 0 es el hairpin-nat pero la regla 2, es una redirección y el comentario a la regla, no es el más adecuado... pero me entiendo yo ;)
El masquerade del Wireguard es para poder acceder a un recurso compartido de un portatil que esta en otro segmento de red.... Si quito esa regla, no puedo llegar a el.
 
La regla 0 es el hairpin-nat pero la regla 2, es una redirección y el comentario a la regla, no es el más adecuado... pero me entiendo yo ;)
El masquerade del Wireguard es para poder acceder a un recurso compartido de un portatil que esta en otro segmento de red.... Si quito esa regla, no puedo llegar a el.
OK, ignoro el comentario del segundo hairpin.

Esa regla de masquerade no es correcta. Si necesitas acceder a otro segmento de red, probablemente necesites una regla de firewall que lo permite o la ruta estática que le lleve a dicho segmento.

Pero ese masquerade es probablemente el que te la está liando.

Saludos!
 
OK, ignoro el comentario del segundo hairpin.

Esa regla de masquerade no es correcta. Si necesitas acceder a otro segmento de red, probablemente necesites una regla de firewall que lo permite o la ruta estática que le lleve a dicho segmento.

Pero ese masquerade es probablemente el que te la está liando.

Saludos!
Correcto, tenias toda la razón con el masquerade que no es necesario y se solucionaron los dos problemas... El del recurso compartido, era un problema del Firewall de Windows "Bloqueaba la ip de la conexión del dispositivo de la VPN".
Todo se ha solucionado al borrar el masquerade y agregar una regla para que acepte el trafico en el Cortafuegos de Windows. Gracias Pokoyo
 
Última edición:
Correcto, tenias toda la razón con el masquerade que no es necesario... tenia otro problema adicional "Cortafuegos de Windows... que bloqueaba la ip de la conexión del dispositivo de la VPN". Pero mi otro problema, sigo sin solucionarlo para poder acceder a un Servidor WEB si estoy conectado a través de la VPN... Por Wifi o desde fuera, puedo acceder a el desde el dominio que apunta a la ip publica. Seguiré investigando que podrá ser.
Fijate si esto te sirve https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-tips-tricks.548449/
 
Última edición:
Jejeje, cojonudo, no sólo me copian los manuales, sino que me enlazan las copias en el foro donde los creé :ROFLMAO::ROFLMAO::ROFLMAO:
Jajajja, era tuyo? me lo pasaron hace un tiempito cuando andaba con un problema similar.... mil perdones, ahi google y sale en varios sitios.....
Listo corregido
 
Yo no he podido echar a andar el tunel quiero hacer un site to site y nada luego me salen log de aviso de intento de que alguien intenta acceder a mi equipo, alguien que me eche una manita soy de mexico y mis lineas son de Telmex, ya abri puertos y hasta los mande a zona desmilitarizada y nada que consigo enlazarlos y he seguido a pie de letra el manual.

1640897735140.png


1640897783771.png
 
Yo no he podido echar a andar el tunel quiero hacer un site to site y nada luego me salen log de aviso de intento de que alguien intenta acceder a mi equipo, alguien que me eche una manita soy de mexico y mis lineas son de Telmex, ya abri puertos y hasta los mande a zona desmilitarizada y nada que consigo enlazarlos y he seguido a pie de letra el manual.

Ver el adjunto 90186

Ver el adjunto 90189
Usa la config por defecto, ese firewall hace aguas si tienes ese mensaje en los logs.

Saludos!
 
Buenas tardes! Ante todo gracias Pokoyo y todos los que aportan ideas y soluciones... Vengo usando openvpn y hace unos días arranque con Wireguard... y tengo dos consultas...
1. El cliente de android te deja de funcionar hasta que reinicias el peer... lo tengo configurado con el dns del cloud de mk. Lei que muchos hicieron un script...hay otra solución?
2. Si necesariamente los clientes salen con la ip del servidor... yo solo necesito que accedan a los recursos de red...y para navegar que sigan usando su enlace.
No se si me explique bien...
Muchas gracias
Saludos
 
1. El cliente de android te deja de funcionar hasta que reinicias el peer... lo tengo configurado con el dns del cloud de mk. Lei que muchos hicieron un script...hay otra solución?
Ni idea. ¿tema del keep alive, quizá?

2. Si necesariamente los clientes salen con la ip del servidor... yo solo necesito que accedan a los recursos de red...y para navegar que sigan usando su enlace.
En el peer del móvil, en lugar de ponerle 0.0.0.0/0, ponle únicamente la IP LAN de la subred a la que quieres acceder.

Saludos!
 
Arriba