MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

Debido a que soy nuevo en MK, pensé que las reglas podrían estar estorbando. Voy a restablecer y dejar que la configuración comience y vuelva a probar.
GRACIAS por la paciencia
 
Debido a que soy nuevo en MK, pensé que las reglas podrían estar estorbando. Voy a restablecer y dejar que la configuración comience y vuelva a probar.
GRACIAS por la paciencia
Todos mis manuales, salvo que así lo diga expresamente, están hechos partiendo de la configuración por defecto de MikroTik, la del script de auto-configuración. Absolutamente todos. Esa configuración es una joya para novatos, sin embargo todos os empeñáis en deshaceros de ella... :unsure::rolleyes:

Ánimo con ello. Una vez configurado correctamente, tu configuración se debe parecer mucho a la que te he mandado, del ejemplo real de producción.

Saludos!
 
Debido a que soy nuevo en MK, pensé que las reglas podrían estar estorbando. Voy a restablecer y dejar que la configuración comience y vuelva a probar.
GRACIAS por la paciencia

La configuración que monta por defecto, las reglas no estorban en absoluto… está muy bien pensadas para tener una buenísima base a todos los niveles…. Para echar a andar un setup sin problemas y bien protegido….

Y luego ya, retocar, pero sobre esa base….
 
Perfecto, gracias por las respuestas honestas!
Hice la prueba mediante la prueba de ancho de banda y alcanzó los 100 MB, ¿ahora puede hacer una prueba de transferencia mediante la unidad mapeada de Windows para tener una referencia?

Esa velocidad en ambos lados


Captura de tela 2022-04-18 112341.png
 
Última edición:
Perfecto, gracias por las respuestas honestas!
Hice la prueba mediante la prueba de ancho de banda y alcanzó los 100 MB, ¿ahora puede hacer una prueba de transferencia mediante la unidad mapeada de Windows para tener una referencia?

Esa velocidad en ambos lados


Ver el adjunto 94242
No te puedo hacer esa prueba, no uso windows. No obstante, por si fuera cosa de la configuración, revisa los MTU. Asegúrate de tener a 1492 los MTU de las interfaces PPPoE, 1420 los de las interfaces WireGuard y 1500 las demás.

Y, ya que te pones, hazlo bien: ahora que tienes un canal seguro enlazando ambos extremos, usa un FTP para hacer ese tipo de transferencias. Recuerda que la velocidad que ves es velocidad de transferencia (MB/s) no de transmisión (Mbps), multiplícala por 10 para saber la velocidad aproximada que estás consumiendo.

Saludos!
 
¡Hola! ¿Cómo estás?
Reinicié todo y sigo el paso a paso, ¡ahora las interfaces no se conectan!
¡Voy a llorar! De todos modos, gracias por las respuestas! ¡un gran día!

OPSSS, culpa de lo KASPERSKY!!!!!!! ARRRRGH!!!!!!!!!!!!
 
¡Hola! ¿Cómo estás?
Reinicié todo y sigo el paso a paso, ¡ahora las interfaces no se conectan!
¡Voy a llorar! De todos modos, gracias por las respuestas! ¡un gran día!

OPSSS, culpa de lo KASPERSKY!!!!!!! ARRRRGH!!!!!!!!!!!!

Un consejo… cambia de solución de seguridad…. Huye de Kaspersky, Norton, Mcafee,…. Que lo unico que dan son problemas… te lo digo con conocimiento de causa….
 
Hola a todos.
Muchas gracias @pokoyo por este manual, a pesar de no participar activamente voy siguiendo el foro con vuestros consejos para ir aprendiendo un poco del mundo de Mikrotik, al final me he decidido a cambiar a la V7 y configurar Wireguard.
Como ya he visto los problemas que hay por no respetar la configuración por defecto que ofrece el router, esta recién instalado con la configuración que por defecto deja el Quick set.
Os comento, la conexión y navegación desde un movil RW me funciona sin problemas, también puedo hacer ping al router (192.168.1.1) ya que he metido el interface de WG en la LAN, pero curiosamente no puedo llegar al resto de la LAN, ni ping ni nada como si no encontrara el camino de la LAN.
Si hago un treceroute a la 192.168.1.1 desde el movil llega con un salto, pero si lo hago el treceroute sobre 192.168.1.10 el primer salto lo hace a la ip 192.168.2.1 (WG) y a partir de aquí ya se queda sin saber por donde ir
He configurado la red similar a tu ejemplo WG en la IP 192.168.2.1 y el peer en la IP 2.2
¿Podíais darme alguna idea para descubrir que estoy haciendo mal?
Muchas gracias.
Un saludo.
 
Última edición:
Hola a todos.
Muchas gracias @pokoyo por este manual, al final me he decidido a cambiar a la V7 y configurar Wireguard.
La conexión y navegación desde un movil RW me funciona sin problemas, también puedo hacer ping al router (192.168.1.1) ya que he metido el interface de WG en la LAN, pero curiosamente no puedo llegar al resto de la LAN, ni ping ni nada como si no encontrara el camino de la LAN.
Si hago un treceroute a la 192.168.1.1 desde el movil llega con un salto, pero si lo hago el treceroute sobre 192.168.1.10 el primer salto lo hace a la ip 192.168.2.1 (WG) y a partir de aquí ya se queda sin saber por donde ir
He configurado la red similar a tu ejemplo WG en la IP 192.168.2.1 y el peer en la IP 2.2
¿Podíais darme alguna idea para descubrir que estoy haciendo mal?
Muchas gracias.
Un saludo.
Me hablas de un road warrior, no? Dale un export, que lo veamos.

Saludos!
 
Tienes una cosa rara, es esta:
Código:
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=tgc interface="WG FORMAT" public-key=\
    "jYDIldBm29tlT9mHtgzWU7C1O98+L/9BIqEtIeNo/0s="

En un road warrior, normalmente esa parte la lleva el cliente. Es decir, el servidor sólo acepta (allowed-address=ip) una dirección concreta por cada cliente RW. Y es el cliente RW el que tiene el allowed-address=0.0.0.0/0.

Tienes el ejemplo aquí: https://www.wireguard.com/#cryptokey-routing

El servidor acepta la IP /32 del cliente, y es el cliente el que tiene acceso a todo vía el 0.0.0.0/0 (la configuración que harías en un móvil, por ejemplo).

Saludos!
 
Tienes una cosa rara, es esta:
Código:
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=tgc interface="WG FORMAT" public-key=\
    "jYDIldBm29tlT9mHtgzWU7C1O98+L/9BIqEtIeNo/0s="

En un road warrior, normalmente esa parte la lleva el cliente. Es decir, el servidor sólo acepta (allowed-address=ip) una dirección concreta por cada cliente RW. Y es el cliente RW el que tiene el allowed-address=0.0.0.0/0.

Tienes el ejemplo aquí: https://www.wireguard.com/#cryptokey-routing

El servidor acepta la IP /32 del cliente, y es el cliente el que tiene acceso a todo vía el 0.0.0.0/0 (la configuración que harías en un móvil, por ejemplo).

Saludos!
Muchas gracias por la rápida respuesta @pokoyo , voy a darle 2 vueltas, haré alguna prueba a ver si encuentro el problema y os cuento.
Un saludo.
 
Buenas tardes,

Pregunta tonta en una estructura de dos Mikrotik site-to-site mediante wireguard si quieres tener acceso desde fuera se debe de crear otra interface wireguard para road warriors con otro habilitando otro puerto en el firewall?

Es decir dos interfaces una para cada cosa cada una con sus IP's y sus Peers... etc... pueden convivir las dos estructuras de forma simultanea... y cada interface tendrá su public key... y privada distinta.... claro no?

Cordialmente,

Juhn_Hoo
 
Yo lo haría así, sí, por separar el tráfico. Pero, si desde B quieres acceder a A, puedes hacerlo usando la IP del otro lado del túnel. Si metiste las interfaces en la lista LAN, apuntando a esa IP llegarías al mikrotik de A dese B y viceversa.

Saludos!
 
Yo lo haría así, sí, por separar el tráfico. Pero, si desde B quieres acceder a A, puedes hacerlo usando la IP del otro lado del túnel. Si metiste las interfaces en la lista LAN, apuntando a esa IP llegarías al mikrotik de A dese B y viceversa.

Saludos!
Buenos días,

Otra pregunta tonta tonta... como comenté ya tengo la estructura Mikrotik site-to-site mediante wireguard y BRIDGE1_IPTV_EOIP-to-BRIDGE2_IPTV_EOIP exclusivamente para tener los dos decos....

Si bien dices una manera ordenada de tener el tráfico es separándolo... la realidad es que teniendo la estructura anterior...

Desde Router A llego a Router B y a todos sus elementos y al revés... al hacer el EOIP pensé que solo se comunicaría el trafico entre los EOIP... es decir el resto quedaría en cada router... no se si me explico...

Es decir permanentemente los elementos conectados en la RED A tienen acceso a RED B y al revés... pensé que al tener el EOIP solamente funcionaría eso.

Muchas muchas gracias por todo.

Cordialmente,

Juhn_Hoo
 
Ahora mismo tienes dos túneles: el site to site de wireguard, que permitirá todo tráfico que tú permitas en los peers y enrutes vía tabla de rutas, y el EoIP, que sólo llevará el tráfico del desco. Si únicamente queires que ambos sitios estén conectados por el EoIP, en los peers, acepta únicamente las IP's de los extremos del site to site, que son las únicas que necesita el EoIP para funcionar. Si haces eso y borras de la tabla de rutas las rutas estáticas que comunican ambos extremos, ya lo tienes cerrado a cal y canto.

No obstante, no te recomiendo hacerlo, puesto que pierdes el manejo remoto del router de Paco. Y recordemos que partimos de la premisa de que Paco no es mikrotikero, sino todo un neófito en estos lares. Si necesitas administrar remótamente su equipo, y no tienes conectividad EoIP (algo que suele pasar cuando por lo que sea se cae el túnel), estás jodido, no te queda otra que llamarle para que reinicie.

Saludos!
 
Hola a todos,
Una pregunta Pokoyo, se puede hacer que el rango de IP's en uso por parte de wireguard sea por ejemplo las ultimas 50 direcciones del rango propio de la lan? esto es, la LAN está en 192.168.0.x y para el wireguard reservar de la 200 en adelante. Para qué digo esto, pues para mantener en el Pi_Hole el ajuste "allow only local request" que he tenido que abrir para permitir las ips desde los clientes 192.168.10.x
 
Hola a todos,
Una pregunta Pokoyo, se puede hacer que el rango de IP's en uso por parte de wireguard sea por ejemplo las ultimas 50 direcciones del rango propio de la lan? esto es, la LAN está en 192.168.0.x y para el wireguard reservar de la 200 en adelante. Para qué digo esto, pues para mantener en el Pi_Hole el ajuste "allow only local request" que he tenido que abrir para permitir las ips desde los clientes 192.168.10.x
Eso no es para nada buena idea. ¿qué IP le das a la interfaz wireguard en ese caso? Normalmente las VPN van siempre en una subred aparte. La consideración de seguridad del "allow only local request" del pi-hole, si sabes lo que estás haciendo, no debería ser un problema.

Saludos!
 
Eso no es para nada buena idea. ¿qué IP le das a la interfaz wireguard en ese caso? Normalmente las VPN van siempre en una subred aparte. La consideración de seguridad del "allow only local request" del pi-hole, si sabes lo que estás haciendo, no debería ser un problema.

Saludos!
Ok Pokoyo, muchas gracias. En parte, el pi-hole está protegido ante llamadas extrañas ya desde el firewall, pero era para no abrirlo tanto.
 
Ok Pokoyo, muchas gracias. En parte, el pi-hole está protegido ante llamadas extrañas ya desde el firewall, pero era para no abrirlo tanto.
Le puedes hacer una trampa con una regla de srcnat para que las peticiones que vengan de la subred wireguard, y con destino el pi-hole, transformen su IP por la del router, por ejemplo, dentro del rango LAN ronde tengas el pi-hole. Así sí podrías hacerlo, aunque como contrapunto tienes que todas las peticiones dns, en los logs del pi-hole, parecerá que vengan del propio router.

Saludos!
 
Arriba