MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

Buenas tardes! Os cuento... He configurado WG en modo RW en un hAP lite que tenía sin utilizar y todo bien, funcionado, pero me ha pasado algo que no acabo de entender. Al conectar el hAP en la oficina para probar a conectar desde fuera, en el router de la oficina he redirigido mal el tráfico, apuntando a una IP que no era la de hAP, pero me ha conectado... Eso sí, sin acceso a Internet ni a la LAN. Luego cuando lo he solucionado me he quedado mosquedo y he cambiado el puerto en la configuración del tunel a un puerto aleatorio y me ha conectado... De nuevo sin conexión a nada. Por qué ocurre esto? Conecto a un puerto donde no hay nada, ni si quiera está abierto y WG dice que la conexión se ha establecido. Un saludo!
 
Buenas tardes! Os cuento... He configurado WG en modo RW en un hAP lite que tenía sin utilizar y todo bien, funcionado, pero me ha pasado algo que no acabo de entender. Al conectar el hAP en la oficina para probar a conectar desde fuera, en el router de la oficina he redirigido mal el tráfico, apuntando a una IP que no era la de hAP, pero me ha conectado... Eso sí, sin acceso a Internet ni a la LAN. Luego cuando lo he solucionado me he quedado mosquedo y he cambiado el puerto en la configuración del tunel a un puerto aleatorio y me ha conectado... De nuevo sin conexión a nada. Por qué ocurre esto? Conecto a un puerto donde no hay nada, ni si quiera está abierto y WG dice que la conexión se ha establecido. Un saludo!
No te ha conectado. En este tipo de túnel, cada extremo levanta su lado, y levanta siempre. Esto es UDP, aquí no hay un “yo llamo y establezco conexión”.

Saludos!
 
No te ha conectado. En este tipo de túnel, cada extremo levanta su lado, y levanta siempre. Esto es UDP, aquí no hay un “yo llamo y establezco conexión”.

Saludos!
Anda... vale, entendido, gracias! Otra cosa, conectando desde mi casa a la oficina, puedo acceder a los equipos de la red local de la oficina, pero a los de mi casa no... En otra VPN (IKEv2) que tengo desplegada puedo acceder de forma simultánea a los equipos de ambas LAN. No puedo hacer esto mismo con WG?
 
Anda... vale, entendido, gracias! Otra cosa, conectando desde mi casa a la oficina, puedo acceder a los equipos de la red local de la oficina, pero a los de mi casa no... En otra VPN (IKEv2) que tengo desplegada puedo acceder de forma simultánea a los equipos de ambas LAN. No puedo hacer esto mismo con WG?
Sí, claro. Pero tienes que permitir las subredes en el allowed IPs del Peer.

Saludos!
 
Sí, claro. Pero tienes que permitir las subredes en el allowed IPs del Peer.

Saludos!
Tengo en allowed 0.0.0.0/0. Ahora he probado a desmarcar la casilla "Block untunneled traffic (kill-switch)" y sí puedo acceder a todo. Es correcta la configuración así? No se que significa exactamente esa casilla.

Un saludo y gracias!
 
Tengo en allowed 0.0.0.0/0. Ahora he probado a desmarcar la casilla "Block untunneled traffic (kill-switch)" y sí puedo acceder a todo. Es correcta la configuración así? No se que significa exactamente esa casilla.

Un saludo y gracias!
Hola, algo así es lo que comenta @pokoyo, permitir las subredes en los peers:

1642544610912.png


S@lu2.
 
Esa imagen es de un mikrotik haciendo de cliente, no? Yo tengo todas las IPs allowed, por eso me extrañaba no poder acceder a mi LAN.
Es de un enlace site to site (sts), es decir si tienes un router en casa (router A) y otro en un apartamento en la playa (router B). Cada extremo tiene un peer apuntando al otro extremo, la imagen es uno de los extremos. Realmente Wireguard no hay Servidor-Cliente como tal. Te aconsejo que leas este hilo desde el principio y lo vas a entender.

S@lu2.
 
Se te soluciono? a mi me pasa lo mismo con uno de los enlaces, cada cierto tiempo se desconecta, el keepalive lo tengo puesto en 25 seg que es lo que recomendaban en la pagina de mk, otra cosa que me paso varias veces es que cuando en uno de los nodos se corta la luz y vuelve no hace la conexión en forma automática, tengo que deshabilitar y volver a habilitar el peer del lugar donde se corto la luz.
Con respecto al la conexión RW el "problema" que le encontré es que cuando un cliente se conecta fisicamente en la misma red que esta el VPN, sin deshabilitar el WG anda todo perfecto menos las impresoras de red que tiran error de conexión. Por otro lado 2 clientes distintos me comentaron que si el internet es malo notan mucho mas lento WG que OpenVPN

Pues hasta ahora mismo no he podido entrar en la otra sede, le puse el keepalive en una sede pero en la otra no me lo dejaron encendido el ordenador hasta ayer por la tarde. A ver como se porta este fin de semana.
 
Pues hasta ahora mismo no he podido entrar en la otra sede, le puse el keepalive en una sede pero en la otra no me lo dejaron encendido el ordenador hasta ayer por la tarde. A ver como se porta este fin de semana.
Yo beje a 10 el keepalive peo lo mismo, se sigue desconectando, la unica es bajar y subir el peer de la sucursal remota
 
Hola,

Una pequeña duda: ¿Para configurar varios dispositivos (con conexiones concurrentes), es más recomendable hacer varios interfaces wireguards o simplemente mantener una sola interface wireguard y hacer una peer por cada dispositivo? Gracias!

Saludos

PD: pido disculpas si ya se ha tratado el tema pero no he sido capaz de encontralo.
 
@ectoplasma, yo tengo montados dos WG-Site-To-Site, para conectar mi vvda con un par de MK's que tengo en otra localización.

Luego tengo otro interfaz WG-RoadWarrior, sobre el que he creado varios peers, para conectarme a mi MK desde móvil, portátil, oficina....(cada conexión con su correspondiente Peer). Creo que es una config más cómoda y limpia que tener varios WG montados para el mismo propósito.


Saludos!
 
Hola,

Una pequeña duda: ¿Para configurar varios dispositivos (con conexiones concurrentes), es más recomendable hacer varios interfaces wireguards o simplemente mantener una sola interface wireguard y hacer una peer por cada dispositivo? Gracias!

Saludos

PD: pido disculpas si ya se ha tratado el tema pero no he sido capaz de encontralo.
Yo separaría enlaces punto a punto de enlaces multipunto. Hecha esa separación, dentro de los punto a punto, metería una interfaz por cada par de puntos a conectar, tal que si se cae esa interfaz, sólo se caiga ese enlace.

Los RW, todos a una misma interfaz, y cada uno con su peer.

Saludos!
 
Yo beje a 10 el keepalive peo lo mismo, se sigue desconectando, la unica es bajar y subir el peer de la sucursal remota
Me lo sigue tirando abajo. Ya estoy mirando la forma de sacar los datos de la operadora del router suyo y poner la ONT e intentar configurar el MikroTik. La putada es que es una operadora local y además chunguera el correo es @gmail. A ver si voy al taller e intento una forma de sacar los datos del router porque necesito que se hagan copia de seguridad automáticas y así es imposible
 
Me lo sigue tirando abajo. Ya estoy mirando la forma de sacar los datos de la operadora del router suyo y poner la ONT e intentar configurar el MikroTik. La putada es que es una operadora local y además chunguera el correo es @gmail. A ver si voy al taller e intento una forma de sacar los datos del router porque necesito que se hagan copia de seguridad automáticas y así es imposible
Mira, te paso como "lo solucione" por ahi te sirve, el puesto que se me caía ingresaban a trabajar a las 7 de la mañana, puse en el scheduler que a las 6:59 me baje todos los peers y a las 7 los vuelva a levantar, lo mismo en el horario del almuerzo, de esa manera cuando empiezan a trabajar esta conectado y aguanta sin problemas, no es la solución ideal pero de momento me viene funcionando y no tuve mas problemas.
 
Mira, te paso como "lo solucione" por ahi te sirve, el puesto que se me caía ingresaban a trabajar a las 7 de la mañana, puse en el scheduler que a las 6:59 me baje todos los peers y a las 7 los vuelva a levantar, lo mismo en el horario del almuerzo, de esa manera cuando empiezan a trabajar esta conectado y aguanta sin problemas, no es la solución ideal pero de momento me viene funcionando y no tuve mas problemas.
Vale por lo que te entiendo haces un script que desactiva y activa los peers un minuto antes de que la gente necesiten la red. Se podría ver, pero no es lo suyo, lo idóneo es que tengas disponibilidad 24h
 
Vale por lo que te entiendo haces un script que desactiva y activa los peers un minuto antes de que la gente necesiten la red. Se podría ver, pero no es lo suyo, lo idóneo es que tengas disponibilidad 24h
Claro, lo ideal sera que no se corte.... en total son 6 puntos que se conectan todos entre si, y la desconexión me pasa con uno solo de los puntos
 
Router de casa 750 gr3 colgando del router de operadora
Activado wireguard y probado desde un cliente android y funciona
...
Tengo router rb951 que quiero dejárselo a un amigo para que lo conecte en su casa colgando de su router de operadora y le conecte un dispositivo que quiero controlar desde mi casa.
Antes de dárselo lo estoy probando conectándolo a los datos de mi móvil y conectando un minipc a ver si coge una ip de la red de mi casa.
Pongo el export del router 951
Código:
# feb/07/2022 10:13:01 by RouterOS 7.1.1
# software id = P9RN-LFPL
#
# model = 951G-2HnD
# serial number =xxxxxxxxxxxx
/interface bridge
add name=bridge_deco
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2437 \
    ssid=Redmi100
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface eoip
add local-address=10.10.0.3 mac-address=xx:xx:xx:xx:xx:xx mtu=1500 name=\
    eoip-tunnel1 remote-address=10.10.0.1 tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=pool_admin ranges=192.168.99.2-192.168.99.254
/ip dhcp-server
add address-pool=pool_admin interface=ether5 name=server_admin
/interface bridge port
add bridge=bridge_deco interface=ether2
add bridge=bridge_deco interface=eoip-tunnel1
/interface wireguard peers
add allowed-address=10.10.0.1/32 endpoint-address=\
    xxxxxxxxxxxx.sn.mynetname.net endpoint-port=13231 interface=wireguard1 \
    public-key="\"CA8JkpnE8zyZEmgpjGWHrrSYWpWKomJjzaonjtekrDY=\""
/ip address
add address=10.10.0.3 interface=eoip-tunnel1 network=10.10.0.0
add address=192.168.99.1/24 interface=ether5 network=192.168.99.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=ether5
add interface=wlan1
/ip dhcp-server network
add address=192.168.99.0/24 dns-none=yes gateway=192.168.99.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input dst-port=13231 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=mk951

ether5 es para winbox en mini pc
desde consola resuelve ping
Cuando conecto minipc a ether 2 no coge ip

Llevo varios días leyendo, probando, al final he decidido pedir ayuda....
 
Código:
/ip address
add address=10.10.0.3 interface=eoip-tunnel1 network=10.10.0.0
add address=192.168.99.1/24 interface=ether5 network=192.168.99.0
Me acabo de dar cuenta que la ip está asignada al tunel eoip, la he cambiado a wireguard, pero sigue igual:cry:
 
Código:
/ip address
add address=10.10.0.3 interface=eoip-tunnel1 network=10.10.0.0
add address=192.168.99.1/24 interface=ether5 network=192.168.99.0
Me acabo de dar cuenta que la ip está asignada al tunel eoip, la he cambiado a wireguard, pero sigue igual:cry:
No entiendo qué pinta el EoIP en todo esto.

Saludos!
 
Arriba