MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

Sin saber lo que tenías ni lo que has tocado, difícil. Muestra el export y qué cambios has hecho, y lo vemos.

Saludos!
Hola,
Te remito mi configuracion:

/interface bridge
add admin-mac=xxxxxxx:63:2B:76 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1420 name=MikroTik-Wireguard
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20
/interface pppoe-client
add ac-name=ftth add-default-route=yes disabled=no interface=vlan20 max-mru=1492 max-mtu=1492 name=pppoe-out1 service-name=ftth user=\
xxxxxx3@digi
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=6 name=DNS_MK value="'192.168.1.1'"
/ip pool
add name=default-dhcp ranges=192.168.1.7-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE dns-server=192.168.1.1,1.1.1.1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set authentication=mschap2 enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=MikroTik-Wireguard list=LAN
/interface wireguard peers
add allowed-address=192.168.32.3/32 comment="Pixel 6 Pro" interface=MikroTik-Wireguard public-key=\
"yxxxxxxxxxxxx1jTbrs88wWEMOW++UXvsm0="
add allowed-address=192.168.32.4/32 comment=Macbook interface=MikroTik-Wireguard public-key="xxxxxxxxxxxxxTv3rBnKVt1wuab02V1Ucn4="
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=192.168.32.1/24 interface=MikroTik-Wireguard network=192.168.32.0
/ip cloud
set ddns-enabled=yes
/ip cloud advanced
set use-local-address=yes
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:56:61:f2:e9:c7:7c mac-address=56:61:F2:E9:C7:7C server=defconf
add address=192.168.1.13 client-id=1:16:2e:6b:5a:b6:a1 mac-address=16:2E:6B:5A:B6:A1 server=defconf
add address=192.168.1.11 client-id=1:94:c6:91:10:42:74 mac-address=94:C6:91:10:42:74 server=defconf
add address=192.168.1.17 client-id=1:c8:bc:c8:9f:20:a2 mac-address=C8:BC:C8:9F:20:A2 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=192.168.1.100 disabled=yes name=xxxxxxxxsynology.me
add address=192.168.1.11 disabled=yes name=xxxxxxxhageek.com
/ip firewall address-list
add address=xxxxxxxxx.sn.mynetname.net disabled=yes list=public-ip
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Wireguard old" disabled=yes dst-port=13231 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=input comment="Acces winbox" dst-port=8291 protocol=tcp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="LAN-WAN Masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="Synology https" dst-port=9643 protocol=tcp to-addresses=192.168.1.xxx to-ports=xx43
add action=dst-nat chain=dstnat comment="Synology http" disabled=yes dst-port=xx80 in-interface-list=WAN protocol=tcp src-port="" \
to-addresses=192.168.1.xxx to-ports=xx80
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.xx to-ports=32400
add action=dst-nat chain=dstnat comment="Unraid SSL" disabled=yes dst-port=xx43 in-interface-list=WAN protocol=tcp src-port="" \
to-addresses=192.168.1.xx to-ports=443
add action=dst-nat chain=dstnat comment="Nginx443 " dst-port=xxx in-interface-list=WAN protocol=tcp src-port="" to-addresses=192.168.1.xx \
to-ports=443
add action=dst-nat chain=dstnat comment="Nginx 80" dst-port=xx in-interface-list=WAN protocol=tcp src-port="" to-addresses=192.168.1.xx \
to-ports=80
add action=dst-nat chain=dstnat comment="Acces Router" disabled=yes dst-port=xxxx protocol=tcp to-addresses=192.168.1.1 to-ports=xxx
add action=dst-nat chain=dstnat comment=Ghostreamy disabled=yes dst-port=3139 in-interface-list=WAN protocol=tcp to-addresses=xxxxxx \
to-ports=3139

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
/ipv6 address
add address=::1 from-pool=pool6 interface=bridge
/ipv6 dhcp-client
add interface=pppoe-out1 pool-name=pool6 rapid-commit=no request=address,prefix use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Tienes la regla que acepta el tráfico de wireguard deshabilitada en input. Si además pretendes usarlo como DNS (el propio router), necesitas darle acceso al chain de input para ese servicio.

Por otro lado, esto es una abrerración, teniendo una VPN montada (espero sea algo temporal, pero aun así no debería estar ahí)
Código:
add action=accept chain=input comment="Acces winbox" dst-port=8291 protocol=tcp

Saludos!
 
Tienes la regla que acepta el tráfico de wireguard deshabilitada en input. Si además pretendes usarlo como DNS (el propio router), necesitas darle acceso al chain de input para ese servicio.

Por otro lado, esto es una abrerración, teniendo una VPN montada (espero sea algo temporal, pero aun así no debería estar ahí)
Código:
add action=accept chain=input comment="Acces winbox" dst-port=8291 protocol=tcp

Saludos!
Hola,
La regla de acceso al router es temporal.
La regla de wireguard, le doy a enable, me sale con un check verde, pero cuando reviso el estado por terminal me dice disabled=yes.
Como la tengo que activar?
Gracias por la ayuda!!
Saludos,
 
Hola,
La regla de acceso al router es temporal.
La regla de wireguard, le doy a enable, me sale con un check verde, pero cuando reviso el estado por terminal me dice disabled=yes.
Como la tengo que activar?
Gracias por la ayuda!!
Saludos,
Y ahora añadiendo una regla me he quedado sin internet....
Hay muchas reglas en la pestaña firewall filter que están desactivadas, no se si debe ser eso alguna regla de estas....
Cuando llegue a casa te hago un export, disculpa las molestias
 
Y ahora añadiendo una regla me he quedado sin internet....
Hay muchas reglas en la pestaña firewall filter que están desactivadas, no se si debe ser eso alguna regla de estas....
Cuando llegue a casa te hago un export, disculpa las molestias
Abre un post específico con tu problema y lo vemos en detalle, y adjunta la configuración que tienes y qué quieres lograr.

Saludos!
 
Entiendo que el site-to-site sería para poder conectar desde, por ejemplo, un móvil a cualquiera de los 2 puntos, verdad? Si es así, cuál sería el caso para poder conectar SÓLO a 1 site. Es decir, digamos que ya tenemos configurado un servidor Wireguard en la oficina (punto A) y queremos que el Mikrotik de casa (punto B) se conecte a dicha VPN, para no tener que configurar un peer de WIreguard en cada dispositivo de casa que quiera llegar a la oficina. Por tanto, solo necesitaríamos el Wireguard VPN server en el punto A (ya está configurado y funcionando), que es a donde conectaríamos el Mikrotik de casa.

En resumen, sería convertir el Mikrotik en un peer del punto A y que nos sirva como pasarela para los dispositivos de la red en punto B, sin necesidad de exponer la red en el punto B.
 
Hola, no sé si se habrá comentado, en la VPN RoadWarrior, si el rango de IPs a la que se quiere acceder desde el servidor, coincide con el mismo rango de IPs del cliente, en la configuración de cliente (en windows es donde me ha ocurrido el problema), tiene que indicarse especificamente que hay acceso a ese rango:

Ejemplo: el cliente tiene configurado en su red 192.168.1.0/24 y está conectado por VPN RW a un servidor, que da acceso a una red que también es: 192.168.1.0/24

En ese caso, hay que indicar en la configuración del cliente:

AllowedIPs = 0.0.0.0/0, 192.168.1.0/24

Espero que os sirva de ayuda ;)
 
Hola, tras montar en un 4011 una interfaz rw y una sts con un 750. Me sucede que para que el rw funcione en los clientes debo hacer masquerade de la red /24 de rw a los clientes /32. Si no lo hago, tengo acceso a la LAN principal del 4011 pero no salida a internet. Se me escapa qué debo estar configurando mal para tener que hacer masquerade, puesto que se ha dicho aqui que no es necesario con wireguard. En la parte sts no hay masquerade y funciona bien. Se me antoja un poco más lento (unos 150Mbs frente a los 180-200Mbs) que el anterior tunel ipsec pero debe ser por limitación del 750.

Un saludo y enhorabuena por estos manuales que valen oro!;)
 
Hola, tras montar en un 4011 una interfaz rw y una sts con un 750. Me sucede que para que el rw funcione en los clientes debo hacer masquerade de la red /24 de rw a los clientes /32. Si no lo hago, tengo acceso a la LAN principal del 4011 pero no salida a internet. Se me escapa qué debo estar configurando mal para tener que hacer masquerade, puesto que se ha dicho aqui que no es necesario con wireguard. En la parte sts no hay masquerade y funciona bien. Se me antoja un poco más lento (unos 150Mbs frente a los 180-200Mbs) que el anterior tunel ipsec pero debe ser por limitación del 750.

Un saludo y enhorabuena por estos manuales que valen oro!;)
Dale un export al 4011 que lo veamos.

Saludos!
 
Buenas @guibca

Tu problema es que tienes tocada la regla original de masquerade, añadiendo un filtro innecesario que hace que sólo se haga masquerade a una subred concreta. La regla es esta:
Código:
/ip firewall filter
add action=masquerade chain=srcnat comment=NAT out-interface=WAN-O2 src-address=172.16.10.0/24

La original, reza así:
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=masq-wan ipsec-policy=out,none out-interface-list=WAN

Esa es la razón por la cual te ves obligado a volver a hacer masquerade de nuevo a la subred de wireguard road warrior, de manera independiente. Si añades la regla de nat original y la pones en su sitio, verás que te puedes ahorrar esas dos más restrictivas.

Saludos
 
Perdonad, voy a abrir un hilo para esto, que no sé si este era el sitio...
Buenos días, he estado leyendo, en este y otros hilos, pero no he conseguido encontrar mi caso, y no sé si será posible, a ver si me podéis ayudar.
Tengo en casa un servidor de Wireguard, montado en un Home Assistant desde hace bastante tiempo y me va bastante bien, conectándome desde fuera con móviles y PCs.
Tengo pedidos un par de Mikrotiks para casa, así que intentaré montar el servidor en el Mikrotik cuando lleguen, pero esto es otra historia.

En una segunda residencia, donde estoy ahora, tengo otro Mikrotik, y querría conectar algún dispositivo desde aquí a casa. Ya me conecto con un PC, con el cliente de Wireguard que tiene instalado, pero quiero conectar, por ejemplo, una SmartTV, que no se deja instalar un cliente Wireguard, y no sé si es posible configurar en el Mikrotik el túnel para conectar esta TV a casa, para poder acceder al DLNA y que la app de Movistar+ no me diga que no puedo reproducir la F1 porque ya hay alguien en casa reproduciéndola (mi hijo).

En resumen: Quiero que una TV que está en B, donde hay un Mikrotik con V7, esté en la LAN de A, y salga por la IP de A, donde hay un servidor de Wireguard, y no sé muy bien por dónde empezar, así que, antes de dar palos de ciego, pregunto por aquí, a ver si alguien me orienta.

Gracias por adelantado y un saludo
Mejor así. Borro este port ahora.

Saludos!
 
Buenas @guibca

Tu problema es que tienes tocada la regla original de masquerade, añadiendo un filtro innecesario que hace que sólo se haga masquerade a una subred concreta. La regla es esta:
Código:
/ip firewall filter
add action=masquerade chain=srcnat comment=NAT out-interface=WAN-O2 src-address=172.16.10.0/24

La original, reza así:
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=masq-wan ipsec-policy=out,none out-interface-list=WAN

Esa es la razón por la cual te ves obligado a volver a hacer masquerade de nuevo a la subred de wireguard road warrior, de manera independiente. Si añades la regla de nat original y la pones en su sitio, verás que te puedes ahorrar esas dos más restrictivas.

Saludos

Solucionado, he añadido la original y borrado las dos que enmascaraban por separado y funciona como debería. Muchísimas gracias!!!
 
Os suena algún modo de generar los QR de configuración con los datos del mikrotik... para facilitar la config en los clientes?
 
Buenas,

Estoy liado intentando configurar el wireguard-rw para conectar los móviles y portátil y no sé que estoy haciendo mal porque me ocurre algo rarísimo.

Conecto sin problemas y navego con la ip pública del router, hasta ahí todo bien.
El problema viene cuando quiero acceder al NAS que tengo en la red local e incluso al router.
Al router a través de su ip 192.168.1.1 no accede, al NAS que está en la ip .3 tampoco, sin embargo al GRAFANA que tengo en el NAS al que accedo con el puerto 4000 accedo sin problemas (192.168.1.3:4000).

He instalado el cliente en el Mac y tampoco, me ocurre lo mismo aunque si le hago ping al router responde.

Pego aquí un export del router a ver si tengo mal.

Código:
# jan/06/2023 19:34:23 by RouterOS 7.6
# software id = ELAZ-67H6
#
# model = RB4011iGS+
/interface bridge
add admin-mac=48:8F:5A:82:B8:F8 auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment="Ni\F1o"
set [ find default-name=ether2 ] comment="Cable red Alicia"
set [ find default-name=ether3 ] comment="Desco sal\F3n"
set [ find default-name=ether4 ] comment=TV
set [ find default-name=ether6 ] comment="Conejo sal\F3n"
set [ find default-name=ether7 ] comment="Conejo cuartito"
set [ find default-name=ether8 ] comment="Cable red Mac Studio"
set [ find default-name=ether9 ] comment=Impresora
set [ find default-name=ether10 ] comment=NAS
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment=vlans-iptv-voip name=VLANs2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.239
add name=iptv-dhcp ranges=192.168.1.241-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/routing rip instance
add afi=ipv4 disabled=no name=rip
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment="Peer iPhone Carl" interface=\
    wireguard-rw public-key="jyv6ofrNoXgP9B2N1+gveOc/tEwlL9bKQuzceHzo="
add allowed-address=192.168.50.3/32 comment="Peer iPad Carl" interface=\
    wireguard-rw public-key="B+4PBXnW6Dor5Gdx5UclPKu8M1hHqLdzRI81o="
add allowed-address=192.168.50.4/32 comment="Peer iPhone Ali" interface=\
    wireguard-rw public-key="vwdvmtmPTPKJ3Y7P7X5RbamdQtSWlJmPlaPXrWV8="
add allowed-address=192.168.50.5/32 comment="Peer Mac Carl" interface=\
    wireguard-rw public-key="Sr3JdXDfzcvnf70KtOgGroV7qrrtZy+cZkn6vaDo="
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
add address=10.94.117.132/10 interface=vlan2-iptv network=10.64.0.0
add address=192.168.50.1/24 interface=wireguard-rw network=192.168.50.0
/ip dhcp-client
add comment=defconf interface=ether1
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.26 client-id=1:60:a4:b7:b4:eb:3e mac-address=\
    60:A4:B7:B4:3E server=defconf
add address=192.168.1.5 client-id=1:68:ff:7b:30:6d:b3 mac-address=\
    68:FF:7B:30:B3 server=defconf
add address=192.168.1.3 client-id=1:0:11:32:38:3d:52 mac-address=\
    00:11:32:38:52 server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
    192.168.1.1
add address=192.168.1.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vlans: accept voip and iptv vlans" \
    in-interface-list=VLANs2&3
add action=accept chain=input comment="vpn: Allow wireguard-rw" dst-port=\
    12345 log=yes log-prefix=WG-rw protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
/ip firewall service-port
set rtsp disabled=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Buenas,

Estoy liado intentando configurar el wireguard-rw para conectar los móviles y portátil y no sé que estoy haciendo mal porque me ocurre algo rarísimo.

Conecto sin problemas y navego con la ip pública del router, hasta ahí todo bien.
El problema viene cuando quiero acceder al NAS que tengo en la red local e incluso al router.
Al router a través de su ip 192.168.1.1 no accede, al NAS que está en la ip .3 tampoco, sin embargo al GRAFANA que tengo en el NAS al que accedo con el puerto 4000 accedo sin problemas (192.168.1.3:4000).

He instalado el cliente en el Mac y tampoco, me ocurre lo mismo aunque si le hago ping al router responde.

Pego aquí un export del router a ver si tengo mal.

Código:
# jan/06/2023 19:34:23 by RouterOS 7.6
# software id = ELAZ-67H6
#
# model = RB4011iGS+
/interface bridge
add admin-mac=48:8F:5A:82:B8:F8 auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment="Ni\F1o"
set [ find default-name=ether2 ] comment="Cable red Alicia"
set [ find default-name=ether3 ] comment="Desco sal\F3n"
set [ find default-name=ether4 ] comment=TV
set [ find default-name=ether6 ] comment="Conejo sal\F3n"
set [ find default-name=ether7 ] comment="Conejo cuartito"
set [ find default-name=ether8 ] comment="Cable red Mac Studio"
set [ find default-name=ether9 ] comment=Impresora
set [ find default-name=ether10 ] comment=NAS
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment=vlans-iptv-voip name=VLANs2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.239
add name=iptv-dhcp ranges=192.168.1.241-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/routing rip instance
add afi=ipv4 disabled=no name=rip
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment="Peer iPhone Carl" interface=\
    wireguard-rw public-key="jyv6ofrNoXgP9B2N1+gveOc/tEwlL9bKQuzceHzo="
add allowed-address=192.168.50.3/32 comment="Peer iPad Carl" interface=\
    wireguard-rw public-key="B+4PBXnW6Dor5Gdx5UclPKu8M1hHqLdzRI81o="
add allowed-address=192.168.50.4/32 comment="Peer iPhone Ali" interface=\
    wireguard-rw public-key="vwdvmtmPTPKJ3Y7P7X5RbamdQtSWlJmPlaPXrWV8="
add allowed-address=192.168.50.5/32 comment="Peer Mac Carl" interface=\
    wireguard-rw public-key="Sr3JdXDfzcvnf70KtOgGroV7qrrtZy+cZkn6vaDo="
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
add address=10.94.117.132/10 interface=vlan2-iptv network=10.64.0.0
add address=192.168.50.1/24 interface=wireguard-rw network=192.168.50.0
/ip dhcp-client
add comment=defconf interface=ether1
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.26 client-id=1:60:a4:b7:b4:eb:3e mac-address=\
    60:A4:B7:B4:3E server=defconf
add address=192.168.1.5 client-id=1:68:ff:7b:30:6d:b3 mac-address=\
    68:FF:7B:30:B3 server=defconf
add address=192.168.1.3 client-id=1:0:11:32:38:3d:52 mac-address=\
    00:11:32:38:52 server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
    192.168.1.1
add address=192.168.1.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vlans: accept voip and iptv vlans" \
    in-interface-list=VLANs2&3
add action=accept chain=input comment="vpn: Allow wireguard-rw" dst-port=\
    12345 log=yes log-prefix=WG-rw protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
/ip firewall service-port
set rtsp disabled=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Prueba lo que indicaba en unos post más atrás:

 
@aguidel
Prueba a añadir el wireguard-rw a la interface list LAN.
Saludos.
Pues era eso, una vez añadida a la LAN la interface wireguard ya me ha dejado acceder a todos los equipos de la red incluido el router. En cuanto al NAS he tenido que añadir una regla en el firewall para que permitiera el acceso al rango 192.168.50.x.

Lo que me choca es que he seguido el tuto de la primera página de @pokoyo donde no he visto que hubiese que añadir la interface del wireguard a la LAN y entiendo que a otros compañeros les estaría funcionando y tendrían acceso al Mikrotik, NAS o lo que tuvieran en la red de su casa por ejemplo, no sé por qué en mi caso no me iba.
 
Arriba