MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

Con la 192.168.50.1/24 para el router no se muy bien a que te refieres.. Recibe IP del DHCP de mi ISP. ¿Podría cambiar la subred (seguramente si)?
Me refiero a la IP que le das a la interfaz wireguard en el router. En el export veo que ya tienes una se esa subred, 192.168.40.1. En ese caso, la interfaz que declaras en el Mac, ha de coincidir con la dirección que declaras en el peer en el router, 192.168.40.2/32, en lugar de 10.10.0.2/32.

Creo que ese es tu fallo.

Saludos!
 
Hombre @pokoyo! pos va a ser que si modifico los valores a las sugerencias que indicas, me funciona mejor, si ya de por si lo hacía bien (bueno, eso creía :)).

Y los MTU en realidad como siempre has dicho que no debemos moverle nada que no sepamos, pues le dejé los mismos valores que me arroja el RO en el winbox, así que no me quise complicar.

Muchas gracias, maestro!

Saludos
El MTU de wireguard es 1420, lo puedes ver en su interfaz. No hace falta que declares ese valor en el peer del ordenador, lo coge solo.

Saludos!
 
El MTU de wireguard es 1420, lo puedes ver en su interfaz. No hace falta que declares ese valor en el peer del ordenador, lo coge solo.

Saludos!
Tienes toda la razón!

La verdad es que ya había visto ese valor pero no le tomé importancia, ya sabes, lo ve uno tantas veces que le parece normal; qué bien que lo aclares.

Pero ahora me asalta una duda: la conexión de mi ISP es pppoe, por lo que su valor MTU es 1492 por defecto; al respecto, si le restamos los 80 que indicas, entonces ¿el valor resultante, que en este caso es 1412, deberé especificarlo en el peer de mi conexión wireguard?

O, ¿lo deberé dejar en 1420, tal como lo indicas?

Perdona mi digresión.

Saludos!
 
En el export veo que ya tienes una se esa subred, 192.168.40.1
Claro, la cambié de la 10.10.0.x a la 192.168... como me dijiste. Y exporte un zip con la config del tunel, la añadí al Mac y funcionó. Seguramente se me habría pasado ponerla manualmente.

Pero el problema que sigo manteniendo, al igual que con el túnel L2TP, es que conecta al servidor VPN, pero no me deja hacer nada en la red (acceder al ordenador) desde la red de mi casa, la que usa un MikroTik (desde otra ubicación del VPN lógicamente). El lunes hablaré con mi compañía a ver que tal. ¿Podría ser algún problema con el firewall que tengan ellos configurado en su MK?
Gracias y saludos!!
 
Última edición:
Tienes toda la razón!

La verdad es que ya había visto ese valor pero no le tomé importancia, ya sabes, lo ve uno tantas veces que le parece normal; qué bien que lo aclares.

Pero ahora me asalta una duda: la conexión de mi ISP es pppoe, por lo que su valor MTU es 1492 por defecto; al respecto, si le restamos los 80 que indicas, entonces ¿el valor resultante, que en este caso es 1412, deberé especificarlo en el peer de mi conexión wireguard?

O, ¿lo deberé dejar en 1420, tal como lo indicas?

Perdona mi digresión.

Saludos!
Mejor no pongas nada, y deja que el cálculo lo haga él. Donde has de tenerlo en cuenta es luego si interconectas dos sites. Ahí si que tendrías que regularlo vía mangle, si unes a con b y desde un extremo quieres acceder a un servicio web expuesto en el otro.

Saludos!
 
Claro, la cambié de la 10.10.0.x a la 192.168... como me dijiste. Y exporte un zip con la config del tunel, la añadí al Mac y funcionó. Seguramente se me habría pasado ponerla manualmente.

Pero el problema que sigo manteniendo, al igual que con el túnel L2TP, es que conecta al servidor VPN, pero no me deja hacer nada en la red (acceder al ordenador) desde la red de mi casa, la que usa un MikroTik (desde otra ubicación del VPN lógicamente). El lunes hablaré con mi compañía a ver que tal. ¿Podría ser algún problema con el firewall que tengan ellos configurado en su MK?
Gracias y saludos!!
Sí, mejor habla con ellos. Si conectando desde fuera te funciona, algo tienes a nivel firewall que lo capa.

Saludos!
 
Hay una duda con esto de WireWuard. Ya lo tengo usando desde hace un tiempo pata site-to-site y va de maravilla sobre todo en conexiones de 4g y 3g. Pero se me ha planteado 2 dudas para hacerlo algo mas comodo a la hora de un despliegue con mas de 50 usuarios clientes.

1- Hay manera de que la configuracion cliente vaya con un DHCP? asi hacerlo mucho mas facil la escabilidad
2 - Se puede usar 1 solo tunel (interfaz Wg) para multiples clientes?
 
1 - No.
2 - Sí (tipo road warrior 1 servidor, y los clientes que quieras), aunque no lo recomiendo para varios site to site.

Saludos!
 
1 - No.
2 - Sí (tipo road warrior 1 servidor, y los clientes que quieras), aunque no lo recomiendo para varios site to site.

Saludos!
Gracias por tu respuesta.

Lo tengo configurado WireWard como road warrior pero a la hora de que se conectan dos clientes sobre la misma interfaz uno de ellos pierde conexion (172.168.4.2=C1 y 172.168.4.3=C2 sobre 172.168.4.1=WG).

No, los site to site los tengo por interfaz separadas.
 
Gracias por tu respuesta.

Lo tengo configurado WireWard como road warrior pero a la hora de que se conectan dos clientes sobre la misma interfaz uno de ellos pierde conexion (172.168.4.2=C1 y 172.168.4.3=C2 sobre 172.168.4.1=WG).

No, los site to site los tengo por interfaz separadas.
Sospecho que estás reusando los Peers. Recuerda que cada peer es independiente el uno del otro. Es decir, si tienes 50 usuarios RW, tienes 50 peers cada uno con su par de claves. Si reusas las claves y sus configuraciones, es normal que desconectes a uno si conectas otro con los mismos datos.

Saludos!
 
Hola, no sé si tendré algún problema de seguridad con el firewall, porque aunque no active la regla mencionada en la guía, tengo acceso igualmente tanto a la LAN como a internet:

Estas son mis reglas de firewall (por defecto, más alguna más para el pihole):

Código:
Flags: X - disabled, I - invalid; D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 X  ;;; Acceso remoto Winbox
chain=input action=accept protocol=tcp in-interface-list=WAN dst-port=XXX

2    ;;; Bloquea accesos DNS desde fuera de la LAN
chain=input action=drop connection-state=new protocol=tcp in-interface-list=WAN dst-port=53 log=yes log-prefix="block dns"

3    ;;; Bloquea accesos DNS desde fuera de la LAN
chain=input action=drop connection-state=new protocol=udp in-interface-list=WAN dst-port=53

4    ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked

5    ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid

6    ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp

7 X  ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1 log=no log-prefix=""

8    ;;; voip: accept rip multicast traffic
chain=input action=accept protocol=udp dst-address=224.0.0.9 in-interface=vlan3-telefono dst-port=520

9 X  ;;; vpn: allow wireguard-rw
chain=input action=accept protocol=udp dst-port=12345 log=no log-prefix=""

10    ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN

11    ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec

12    ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec

13    ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related

14    ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked

15    ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid

16    ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
 
tengo acceso igualmente tanto a la LAN como a internet:
¿Acceso desde donde?

La regla número 1 es un peligro, y de los gordos. Jamás debería estar ahí.

Las reglas 2 y 3 sobran. Ya tienes un drop de cualquier cosa que no venga de la LAN como última regla de input.

Lo que falta por ver es qué tienes en la lista LAN. Si ya tienes wireguard y el bridge metido en esa lista, es normal que llegues a todo. Si quieres restringirlo, en la lista LAN sólo el bridge principal (tu lan local) y mete una regla explícita que acepte el tráfico de un cliente o clientes concretos de la VPN en input. Y quita por dios el acceso a winbox desde la WAN.

Saludos!
 
¿Acceso desde donde?

La regla número 1 es un peligro, y de los gordos. Jamás debería estar ahí.

Las reglas 2 y 3 sobran. Ya tienes un drop de cualquier cosa que no venga de la LAN como última regla de input.

Lo que falta por ver es qué tienes en la lista LAN. Si ya tienes wireguard y el bridge metido en esa lista, es normal que llegues a todo. Si quieres restringirlo, en la lista LAN sólo el bridge principal (tu lan local) y mete una regla explícita que acepte el tráfico de un cliente o clientes concretos de la VPN en input. Y quita por dios el acceso a winbox desde la WAN.

Saludos!
Accedo desde un roadwarrior, más precisamente un movil android.
En la lista LAN está solo el bridge, no el wireguard.
Voy a hacer esa poda de las tres primeras reglas, en mi descargo diré que la de acceso remoto está desactivada :cry:, pero se va a la porra ahora que puedo entrar con el winbox por el tunel wireguard.

PD: sí, me explico fatal...

Saludos

EDITO: no sé que ha pasado exactamente, pero hasta que no he reactivado la regla del firewall para el wireguard no me he podido conectar de nuevo.
 
Última edición:
Buenas tarades,

Estoy experimentando, hay alguna forma de que el móvil Android en la aplicación de wireguard se pongan los DNS que se pongan, cuando salga a internet por la VPN del mikrotik coja las DNS del router y no las que tenga la aplicación wireguard en el ANdroid? No sé si me explico. Gracias.
 
Buenas tarades,

Estoy experimentando, hay alguna forma de que el móvil Android en la aplicación de wireguard se pongan los DNS que se pongan, cuando salga a internet por la VPN del mikrotik coja las DNS del router y no las que tenga la aplicación wireguard en el ANdroid? No sé si me explico. Gracias.
Sospecho que igual que si te configuras un dns a mano en un pc, secuestrando el dns.

Saludos!
 
Sospecho que igual que si te configuras un dns a mano en un pc, secuestrando el dns.

Saludos!
Buenos días, a raíz de eso me surge una duda y pido disculpas si la misma no corresponde a este hilo.

¿Entonces como se puede salir con las DNS del router teniendo otras puestas en el dispositivo, obviamente conectado por VPN wireguard? mi conocimiento de mikrotik no llega para saber cómo se haría. Gracias
 
Si vas a usar el propio router como DNS, con una regla de redirect te vale:
Código:
/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

A partir de ese momento, toda petición DNS la resolverá el propio router.

Y si tu DNS es externo al propio router, se hace igualmente con una regla de NAT, solo que es algo más complejo no bloquearte a ti mismo la resolución de nombres del propio servidor DNS, la que necesita para trabajar.

Saludos!
 
Si vas a usar el propio router como DNS, con una regla de redirect te vale:
Código:
/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

A partir de ese momento, toda petición DNS la resolverá el propio router.

Y si tu DNS es externo al propio router, se hace igualmente con una regla de NAT, solo que es algo más complejo no bloquearte a ti mismo la resolución de nombres del propio servidor DNS, la que necesita para trabajar.

Saludos!
Buenos días

Supongo que esas líneas irán debajo de la línea de "Masquerade" del NAT ¿Cierto?
Por otra parte, tengo una duda, ¿Se podría dirigir la VPN Wireguard solo hacia un dispositivo que está dentro de la red LAN? Es decir que un dispositivo PC. móvil, ... se conecte por VPN Wireguard a mi red, pero solo a un dispositivo concreto como por ejemplo mi NAS, el resto de la red ni siquiera puede saber ni que existe. ¿Sería posible? ¿Como sería? Muchas gracias de antemano.

Saludos
 
Buenos días

Supongo que esas líneas irán debajo de la línea de "Masquerade" del NAT ¿Cierto?
Por otra parte, tengo una duda, ¿Se podría dirigir la VPN Wireguard solo hacia un dispositivo que está dentro de la red LAN? Es decir que un dispositivo PC. móvil, ... se conecte por VPN Wireguard a mi red, pero solo a un dispositivo concreto como por ejemplo mi NAS, el resto de la red ni siquiera puede saber ni que existe. ¿Sería posible? ¿Como sería? Muchas gracias de antemano.

Saludos
Sí, vía firewall. Con una simple regla de forward que dropee todo lo que venga de esa IP de wireguard y su destino sea distinto de la IP a la que quieres acceder. Pero ojo cuidado con esa regla, que dejarías al tío que se conecta sin internet y con acceso únicamente a esa IP.

Saludos!
 
Sí, vía firewall. Con una simple regla de forward que dropee todo lo que venga de esa IP de wireguard y su destino sea distinto de la IP a la que quieres acceder. Pero ojo cuidado con esa regla, que dejarías al tío que se conecta sin internet y con acceso únicamente a esa IP.

Saludos!
Hola
Y si qusiese que tuviera acceso a internet? Gracias
 
Arriba