MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

Bueno, después de toda la mañana intentando encontrar el problema en el firewall de Kaspersky no consigo ver nada que tenga relación. ¿Se os ocurre algo que delate la acción de Wireguard en el firewall? No se, el puerto, alguna ip, algún nombre.....
 
Bueno, después de toda la mañana intentando encontrar el problema en el firewall de Kaspersky no consigo ver nada que tenga relación. ¿Se os ocurre algo que delate la acción de Wireguard en el firewall? No se, el puerto, alguna ip, algún nombre.....

Las soluciones de seguridad suelen tener un modo manual que cada elemento que bloquea te avisa (por lo menos el Eset Security que yo uso así tiene) Intenta buscar a ver si tienes esa opción, de tal manera que te salte lo que te está bloqueando para poder darle paso…

Y si no crea la regla a mano diciéndole que deje pasar a la IP del Wireguard y listo…
 
Al final lo he solucionado con una idea de los de Kaspersky y lo que me has comentado del firewall. Me han comentado que tenía que tener configurada como de confianza mi red local y me han mostrado unos pantallazos. He llegado a la pantalla en cuestión y sí que estaba puesta como de confianza, pero he visto que en su pantallazo tenían puestas el stick en varias opciones que yo no tenía, las he cliqueado y ¡¡Bingo!!, ahora funciona.

No obstante, os paso el pantallazo de cómo estaba antes y cómo lo he puesto para que funcione. No entiendo qué tiene que ver el que señale que me notifique "notificar al conectarse a la red, notificar al detectar una dirección MAC nueva, notificar cuando la asignación en tre la MAC y la ip cambie, y seleccionar impresora al conectarse a la red" con lo que me pasaba. A ver si se os ocurre algo ya por curiosidad.

INICIAL.jpg
2.jpg
 
Última edición:
Al final lo he solucionado con una idea de los de Kaspersky y lo que me has comentado del firewall. Me han comentado que tenía que tener configurada como de confianza mi red local y me han mostrado unos pantallazos. He llegado a la pantalla en cuestión y sí que estaba puesta como de confianza, pero he visto que en su pantallazo tenían puestas el stick en varias opciones que yo no tenía, las he cliqueado y ¡¡Bingo!!, ahora funciona.

No obstante, os paso el pantallazo de cómo estaba antes y cómo lo he puesto para que funcione. No entiendo qué tiene que ver el que señale que me notifique "notificar al conectarse a la red, notificar al detectar una dirección MAC nueva, notificar cuando la asignación en tre la MAC y la ip cambie, y seleccionar impresora al conectarse a la red" con lo que me pasaba. A ver si se os ocurre algo ya por curiosidad.

Ver el adjunto 94002Ver el adjunto 94005

Yo creo que más que esas opciones, era que en sí tenías algo mal en el firewall, y al reinstalarlo se ha solucionado…

De todas formas, comentarte q, en mi caso, si tengo que meter a mano la regla de acceso a una ip, solamente con poner la ip sin /24, /32,… me vale….. No sé el motivo por el que metes la /24 al final de la ip….

Pero si ahora te funciona, pues ni tan mal…
 
Yo creo que más que esas opciones, era que en sí tenías algo mal en el firewall, y al reinstalarlo se ha solucionado…

De todas formas, comentarte q, en mi caso, si tengo que meter a mano la regla de acceso a una ip, solamente con poner la ip sin /24, /32,… me vale….. No sé el motivo por el que metes la /24 al final de la ip….

Pero si ahora te funciona, pues ni tan mal…

Uff, lo que dices es lo lógico pero he comprobado que si les quito el stick vuelve a pasarme lo mismo, así que...... :)

En cuanto a lo de meterle la /24 no lo hago yo, lo hace Kaspersky por sí mismo cuando lo reinstalo, así que le dejaré, que no quiero que se me enfade y me vuelva a negar el acceso, jeje.
 
Última edición:
PREGUNTA:

En el "WireGuard: Modo Site to Site" se podría dar acceso a tan solo una IP local?

Resumen: voy a montar un NAS, y quiero que el "cliente" solo acceda a ese NAS, no a TODA mi red.

Es posible¿

Gracias

Un saludo
 
Sí, claro. Admite la IP del túnel del otro lado y, en lugar de la subred con el /24 del otro extremo completa, acepta únicamente la IP que te interesa, en /32

Un ejemplo práctico
Sitio A) LAN: 192.168.10.0/24, IP túnel: 172.16.1.1/30
Sitio B) LAN: 192.168.20.0/24, IP túnel 172.16.1.2/30

Quiero que, desde A, sólo se acceda a la IP 192.168.20.7 de B. En el allowed address de A tendrías:
- IP del túnel en el otro extremo: 172.16.1.2/32
- IP a la que permites comunicarse contigo: 192.168.20.7/32

Y, para la ruta, igual. Podrías hacer la ruta para una IP concreta o par el segmento de red entero.
Código:
/ip route
add dst-address=192.168.20.0/24 gateway=172.16.1.2
ó
Código:
/ip route
add dst-address=192.168.20.7 gateway=172.16.1.2

Saludos!
 
Buenas, una pregunta, es normal que el wireguard site-to-site no me funcione si tengo los mikrotik conectados al router principal de la compañia? ya pueda ser por puertos u otra cosa.

Saludos
 
Buenas, una pregunta, es normal que el wireguard site-to-site no me funcione si tengo los mikrotik conectados al router principal de la compañia? ya pueda ser por puertos u otra cosa.

Saludos
Obviamente, le tendrás que abrir los puertos UDP correspondientes que en cada mikrotik aceptas en input, en el NAT del router que tienes por encima, y apuntando a la IP del equipo en cuestión.

Saludos!
 
Obviamente, le tendrás que abrir los puertos UDP correspondientes que en cada mikrotik aceptas en input, en el NAT del router que tienes por encima, y apuntando a la IP del equipo en cuestión.

Saludos!
Otra pregunta Pokoyo, a la hora de realizar la configuración en el Wireguard se podría hacer el Peer con una dirección que este en la misma subred? Es decir, en router A tengo la 192.168.10.0/24 y en el router B la 192.168.10.0/24, Se podría realizar el Peer de esta manera? o añadiendo la ruta estática haría que no hubiera problemas? Perdona por las preguntas tontas, pero es que estoy realizando el proyecto de final de ciclo y me han asignado hacerlo con dispositivos Mikrotiks y nunca los habia tocado. Muchas gracias!
 
Otra pregunta Pokoyo, a la hora de realizar la configuración en el Wireguard se podría hacer el Peer con una dirección que este en la misma subred? Es decir, en router A tengo la 192.168.10.0/24 y en el router B la 192.168.10.0/24, Se podría realizar el Peer de esta manera? o añadiendo la ruta estática haría que no hubiera problemas? Perdona por las preguntas tontas, pero es que estoy realizando el proyecto de final de ciclo y me han asignado hacerlo con dispositivos Mikrotiks y nunca los habia tocado. Muchas gracias!
En el peer debes permitir la IP del extremo del túnel del otro lado (la que va sobre la interfaz wireguard remota), más las subred del router remoto a la que quieras dar acceso. Normalmente las IP's de los extremos del túnel son /30 y no son del mismo segmento de red.

Saludos!
 
En el peer debes permitir la IP del extremo del túnel del otro lado (la que va sobre la interfaz wireguard remota), más las subred del router remoto a la que quieras dar acceso. Normalmente las IP's de los extremos del túnel son /30 y no son del mismo segmento de red.

Saludos!
Creo que no me he explicado bien jeje. Te explico, yo tengo la siguiente configuración:

Router A:
Segmento de red a comunicar: 192.168.10.0/24
IP asignada a interfaz wireguard: 172.16.10.1/30

Router B:
Segmente de red a comunicar: 192.168.20.0/24
IP asignada a interfaz wireguard: 172.16.10.2/30

Con esta configuración, en teoria siguiendo los tutoriales me deberia de poder comunicar entre la 10.0 y la 20.0, pero mi pregunta viene si en el router B tuviera tambien una 10.0, se podrían comunicar tanto la 10.0 del router A con la 10.0 del router B?
 
Creo que no me he explicado bien jeje. Te explico, yo tengo la siguiente configuración:

Router A:
Segmento de red a comunicar: 192.168.10.0/24
IP asignada a interfaz wireguard: 172.16.10.1/30

Router B:
Segmente de red a comunicar: 192.168.20.0/24
IP asignada a interfaz wireguard: 172.16.10.2/30

Con esta configuración, en teoria siguiendo los tutoriales me deberia de poder comunicar entre la 10.0 y la 20.0, pero mi pregunta viene si en el router B tuviera tambien una 10.0, se podrían comunicar tanto la 10.0 del router A con la 10.0 del router B?
A nivel peer sin problema. Pero, cuando vayas a construir la tabla de rutas, vas a tener un problema.

Saludos!
 
¡Maestro, saludos desde Brasil! Gracias por tu GRAN ayuda. funcional, estoy haciendo la prueba de ping y accediendo al recurso compartido de mi servidor. El gran problema es que la velocidad de transferencia no supera los 2,0 MB/S. ¿Puedes ayudarme? ¡Gracias!

Algunos datos te los paso.

Ambos lados usan fibra óptica 300/300 (Vivo em Brazil/Movistar em la Espanha) con modo routed.

Puertas 51820 direcionadas
MK A (Head Quarter) – WAN 192.168.15.178 – REDE 192.168.0.0/24
MK B (Home) WAN 192.168.15.132 – REDE 192.168.2.0/24


Probé varios valores de MTU, ninguno funcionó
 
¡Maestro, saludos desde Brasil! Gracias por tu GRAN ayuda. funcional, estoy haciendo la prueba de ping y accediendo al recurso compartido de mi servidor. El gran problema es que la velocidad de transferencia no supera los 2,0 MB/S. ¿Puedes ayudarme? ¡Gracias!

Algunos datos te los paso.

Ambos lados usan fibra óptica 300/300 (Vivo em Brazil/Movistar em la Espanha) con modo routed.

Puertas 51820 direcionadas
MK A (Head Quarter) – WAN 192.168.15.178 – REDE 192.168.0.0/24
MK B (Home) WAN 192.168.15.132 – REDE 192.168.2.0/24


Probé varios valores de MTU, ninguno funcionó
Pásame un export de ambos equipos, ¿puedes?

Saludos!
 
# model = RB750Gr3
# serial number = 8AFF0931C6B8
/interface bridge
add name=bridge1
/interface wireguard
add listen-port=51820 name=wireguard-sts
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
aes-256-cbc,aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
add name=pool-VPN ranges=10.10.10.2-10.10.10.60
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=10.10.10.1 remote-address=pool-VPN use-ipv6=no
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=chap,mschap1,mschap2 enabled=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface wireguard peers
add allowed-address=172.16.1.2/32,192.168.2.0/24 endpoint-address=\
VALIDIP endpoint-port=51820 interface=wireguard-sts public-key=\
"wk/uBj4MNdSaALP3WvbWQTerWRIz7zGkuOTw18ys338="
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
add address=192.168.15.178/16 interface=ether1 network=192.168.0.0
add address=172.16.1.1/30 interface=wireguard-sts network=172.16.1.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24
/ip dns
set servers=1.0.0.1,208.67.222.222
/ip firewall filter
add action=accept chain=input
add action=accept chain=input connection-mark="" disabled=yes dst-port="" \
protocol=udp src-port=""
add action=accept chain=input disabled=yes port=1701,500,4500 protocol=udp
add action=accept chain=input comment="allow L2TP VPN (ipsec-esp)" \
in-interface=ether1 protocol=ipsec-esp
add action=accept chain=input comment="allow L2TP VPN (500,4500,1701/udp)" \
dst-port=500,1701,4500 in-interface=ether1 protocol=udp
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.2.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
/ip ipsec policy
set 0 disabled=yes
/ip route
add dst-address=192.168.2.0/24 gateway=172.16.1.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes

/system clock
set time-zone-name=America/Sao_Paulo
/system identity
set name=MK-Matriz
/system package update
set channel=testing



# model = RB750Gr3
# serial number = CC210E5FEF29
/interface bridge
add name=bridge1
add name=loopback
/interface wireguard
add listen-port=51820 name=wireguard-sts
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.2.10-192.168.2.254
add name=L2TP-Remoto ranges=192.168.51.0/24
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.50.0 remote-address=L2TP-Remoto
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=chap,mschap1,mschap2
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface wireguard peers
add allowed-address=172.16.1.1/32,192.168.0.0/24 endpoint-address=MYVALIDIP endpoint-port=51820 \
interface=wireguard-sts public-key="yz9qDOhvdGbSY68ZXwsOtJe5DsXvdMhe9/Lx2xxUPi0="
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
add address=172.16.1.2/30 interface=wireguard-sts network=172.16.1.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24
/ip dns
set servers=208.67.222.222
/ip firewall filter
add action=accept chain=input
add action=accept chain=input disabled=yes dst-port=51820 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard-sts" dst-port=51820 protocol=udp
add action=drop chain=input connection-state=invalid disabled=yes
add action=accept chain=input comment="allow L2TP VPN (ipsec-esp)" disabled=yes in-interface=ether1 \
protocol=ipsec-esp
add action=accept chain=input comment="allow L2TP VPN (500,4500,1701/udp)" disabled=yes dst-port=\
500,1701,4500 in-interface=ether1 protocol=udp
add action=accept chain=input comment="default configuration" connection-state=established,related \
disabled=yes
add action=accept chain=input disabled=yes src-address-list=allowed_to_router
add action=accept chain=input disabled=yes protocol=icmp
add action=accept chain=input disabled=yes protocol=ipsec-esp
add action=accept chain=input disabled=yes port=1701,500,4500 protocol=udp
add action=drop chain=input disabled=yes
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related \
disabled=yes hw-offload=yes
add action=accept chain=forward comment="Established, Related" connection-state=established,related \
disabled=yes
add action=drop chain=forward comment="Drop invalid" connection-state=invalid disabled=yes log=yes \
log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" disabled=\
yes dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN \
out-interface=!bridge1
add action=drop chain=forward comment="Drop incoming packets that are not NATted" \
connection-nat-state=!dstnat connection-state=new disabled=yes in-interface=ether1 log=yes \
log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" disabled=\
yes in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" disabled=yes \
in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.2.0/24
/ip firewall nat
add action=accept chain=srcnat disabled=yes dst-address=192.168.2.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
/ip ipsec policy
set 0 disabled=yes
/ip route
add disabled=no dst-address=192.168.0.0/24 gateway=10.10.10.1 routing-table=main \
suppress-hw-offload=no
add dst-address=192.168.0.0/24 gateway=172.16.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=America/Sao_Paulo
/system identity
set name=MK-Loja02

OLá, desconsidere as configs L2TP, for testint... mesmo problema velocidade
 
Estás haciendo un src-nat del tráfico, y eso no es correcto. Deshabilita la siguiente regla:

SERVER:
Código:
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.2.0/24

También recomiendo empezar desde la configuración por defecto, y desde el canal estable, no testing.

Saludos!
 
La versión que estoy ejecutando en ambos MK es 7.2.1 Estable: ya hice el restablecimiento de fábrica y nada ha cambiado.
Desactivé la regla que sugeriste y ya no puedo acceder al servidor a través de la estación.

Gracias de antemano
 
Reinicié, eliminé el script de configuración inicial. Seguí el S2S paso a paso,


Descarga del cliente desde el servidor -> 2 MB
Descarga del servidor desde el cliente -> 355 KB/s

No se que mas hacer, deje el modem cliente como puente, no surtio efecto.

Salludos!
 
¿Por qué borras el script de configuración inicial? No entiendo la manía que le tenéis. Te paso un ejemplo de configuración sencillo, puesto en producción (ejemplo real):

Sitio A (100Mbps simétricos, router hAP-ac2)
Código:
# site-a
/interface bridge
add name=bridge-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/interface wireguard
add listen-port=24230 mtu=1420 name=wg-sts
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=pool-lan ranges=192.168.75.10-192.168.75.254
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=dhcp-lan
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-lan list=LAN
add interface=internet list=WAN
/interface wireguard peers
add allowed-address=172.16.0.2/32,192.168.76.0/24 endpoint-address=serialB.sn.mynetname.com \
    endpoint-port=24230 interface=wg-sts public-key=\
    "h/nSFZV48zc/8HWaUwIqcgJa915hy1LQBywgAWHWh3g="
/ip address
add address=192.168.75.1/24 interface=bridge-lan network=192.168.75.0
add address=172.16.0.1/30 interface=wg-sts network=172.16.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.75.0/24 comment=defconf dns-server=192.168.75.1 \
    gateway=192.168.75.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.75.1 name=routerA.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=allow-wireguard dst-port=\
    24230 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 dst-address=192.168.76.0/24 gateway=172.16.0.2
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Sitio B (600Mbps simétricos, router RB4011)
Código:
# site-b
/interface bridge
add name=bridge-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/interface wireguard
add listen-port=24230 mtu=1420 name=wg-sts
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=pool-lan ranges=192.168.76.10-192.168.76.254
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=dhcp-lan
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-lan list=LAN
add interface=internet list=WAN
/interface wireguard peers
add allowed-address=172.16.0.1/32,192.168.75.0/24 endpoint-address=serialA.sn.mynetname.com \
    endpoint-port=24230 interface=wg-sts public-key=\
    "iQO4hxUZS0yGxsb/127/Ff0Z4oK2CdBZoqA00GfX0Rw="
/ip address
add address=192.168.76.1/24 interface=bridge-lan network=192.168.76.0
add address=172.16.0.2/30 interface=wg-sts network=172.16.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.76.0/24 comment=defconf dns-server=192.168.76.1 \
    gateway=192.168.76.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 name=routerB.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=allow-wireguard dst-port=\
    24230 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 dst-address=192.168.75.0/24 gateway=172.16.0.1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Resultado de una prueba de tráfico B -> A, vía túnel = 100% de la línea de A

1650286314763.png


A -> B, idéntico.

1650286722023.png



El túnel no va bien, va mejor.

Saludos!
 
Última edición:
Arriba