MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

@aguidel
Sale como algo opcional que podemos hacer si lo necesitamos.
Saludos.

OPCIONAL: Si queréis que los clientes RW accedan al propio router. Dos maneras, o metéis la interfaz WireGuard en la lista LAN (no le afectará la regla de input que tira el tráfico que no venga de la lista LAN) o creáis una nueva regla de input que acepte el tráfico de la subred road warrior o de la IP concreta que queráis permitir llegar al propio router.

Código:
# Usando la lista LAN
/interface list member
add interface=wireguard-rw list=LAN

# Usando una regla de input
/ip firewall filter
add chain=input src-address=192.168.50.0/24 action=accept \
place-before [find comment="defconf: drop all not coming from LAN"]
 
aguidel dijo:
Lo que me choca es que he seguido el tuto de la primera página de @pokoyo donde no he visto que hubiese que añadir la interface del wireguard a la LAN y entiendo que a otros compañeros les estaría funcionando y tendrían acceso al Mikrotik, NAS o lo que tuvieran en la red de su casa por ejemplo, no sé por qué en mi caso no me iba.
Haz clic para expandir...
Pues menos mal que te has leído el tuto, porque no hay una manera, sino dos, ambas descritas en el manual.

Lo del NAS, era cosa del propio NAS, ¿no? En el chain de forward no tienes ahora mismo ninguna restricción, así que deberías poder llegar desde la VPN a cualquier equipo debajo del router.

Saludos!
 
pokoyo dijo:
Pues menos mal que te has leído el tuto, porque no hay una manera, sino dos, ambas descritas en el manual.

Lo del NAS, era cosa del propio NAS, ¿no? En el chain de forward no tienes ahora mismo ninguna restricción, así que deberías poder llegar desde la VPN a cualquier equipo debajo del router.

Saludos!
Haz clic para expandir...
Jajaja, menos mal si!!!

Si, lo del NAS era por la configuración del firewall del propio NAS, tiene una regla para permitir que rango de ips internas pueden acceder y como al cliente del wireguard tiene una 192.168.50.x no estaba en las permitidas del 192.168.1.x, he añadido el nuevo rango y ya accedo sin problema.
 
aguidel dijo:
Jajaja, menos mal si!!!

Si, lo del NAS era por la configuración del firewall del propio NAS, tiene una regla para permitir que rango de ips internas pueden acceder y como al cliente del wireguard tiene una 192.168.50.x no estaba en las permitidas del 192.168.1.x, he añadido el nuevo rango y ya accedo sin problema.
Haz clic para expandir...
Perfecto. Resuelto entonces. Que lo disfrutes!

Saludos!
 
Hola chicos, esto ya es de locos.
El patron de desconexiones de Wireguard toma forma.
Cuando en una casa se queda sin luz (apagon, corte de luz, interrupción) la conexión Wireguard se pierde, aunque tengas activado el [Persistent Keepalive] no vuelve a conectar, actualmente lo tengo en 00:00:10
Pero si dentro de un tiempo ocurre un apagón o algo, al iniciar el router de nuevo no inicia el wireguard.
Lo curioso es que recupero el enlace cuando cambio el Persistent por otro numero, pero solo cuando cambio eso ojo! Por ejemplo 00:00:15. Este problema lo he estado salvando intercalando cada vez que se desconecta por esos dos tiempos. Pero me gustaria que la conexión no se perdiera.

Solo soy yo con un problema aislado o es algo que a alguien mas presenta?
 
FoxyCTG21 dijo:
Hola chicos, esto ya es de locos.
El patron de desconexiones de Wireguard toma forma.
Cuando en una casa se queda sin luz (apagon, corte de luz, interrupción) la conexión Wireguard se pierde, aunque tengas activado el [Persistent Keepalive] no vuelve a conectar, actualmente lo tengo en 00:00:10
Pero si dentro de un tiempo ocurre un apagón o algo, al iniciar el router de nuevo no inicia el wireguard.
Lo curioso es que recupero el enlace cuando cambio el Persistent por otro numero, pero solo cuando cambio eso ojo! Por ejemplo 00:00:15. Este problema lo he estado salvando intercalando cada vez que se desconecta por esos dos tiempos. Pero me gustaria que la conexión no se perdiera.

Solo soy yo con un problema aislado o es algo que a alguien mas presenta?
Haz clic para expandir...
Yo creo que el persistent keepalive no hace milagros. Solamente lo veo útil detrás de un NAT.

Así lo dice la documentación de mikrotik: if the interface very rarely sends traffic, but it might at anytime receive traffic from a peer, and it is behind NAT, the interface might benefit from having a persistent keepalive interval of 25 seconds.

La mejor solución para las desconexiones es un script que verifique si hay túnel o no y obre en consecuencia (desactive y vuelva a activar el WG o los peers). Hay varios ejemplos en este foro.
 
FoxyCTG21 dijo:
Hola chicos, esto ya es de locos.
El patron de desconexiones de Wireguard toma forma.
Cuando en una casa se queda sin luz (apagon, corte de luz, interrupción) la conexión Wireguard se pierde, aunque tengas activado el [Persistent Keepalive] no vuelve a conectar, actualmente lo tengo en 00:00:10
Pero si dentro de un tiempo ocurre un apagón o algo, al iniciar el router de nuevo no inicia el wireguard.
Lo curioso es que recupero el enlace cuando cambio el Persistent por otro numero, pero solo cuando cambio eso ojo! Por ejemplo 00:00:15. Este problema lo he estado salvando intercalando cada vez que se desconecta por esos dos tiempos. Pero me gustaria que la conexión no se perdiera.

Solo soy yo con un problema aislado o es algo que a alguien mas presenta?
Haz clic para expandir...
Si vienes del export que has posteado anteriormente en este otro hilo, tienes un error en la config de cloud (DDNS de mikrotik). Tienes el "use local address" activado, lo cual es incorrecto si ese equipo maneja IP pública.

Saludos!
 
pokoyo dijo:
Si vienes del export que has posteado anteriormente en este otro hilo, tienes un error en la config de cloud (DDNS de mikrotik). Tienes el "use local address" activado, lo cual es incorrecto si ese equipo maneja IP pública.

Saludos!
Haz clic para expandir...
Lo he desactivado, a ver que tal esta vez. Si no digo nada es que esta solucionado, gracias igualmente.
 
pokoyo dijo:
Si vienes del export que has posteado anteriormente en este otro hilo, tienes un error en la config de cloud (DDNS de mikrotik). Tienes el "use local address" activado, lo cual es incorrecto si ese equipo maneja IP pública.

Saludos!
Haz clic para expandir...
El user local adress es para indicar que la IP obtenida es que no esta detras de una IP publica al exterior? O así?
 
FoxyCTG21 dijo:
El user local adress es para indicar que la IP obtenida es que no esta detras de una IP publica al exterior? O así?
Haz clic para expandir...
Es para usar la ip privada, en lugar de la pública. Para otro tipo de setup distinto.

Saludos!
 
Muchas gracias pokoyo, por la pedazo guía que te has currado para mostrarnos como hacer una vpn con WireGuard y Mikrotik.

He seguido tus pasos y me funciona perfectamente la vpn WireGuard to Site + EoIP.
Pero ahora me ha surgido un problemilla, os cuento!

El Mikrotik que tengo configurado como servidor lo tengo en una bodega con una conexión de fibra de Movistar con servicio de Movistar+ y el otro Mikrotik como cliente lo tengo en mi casa. Como ya he comentado la vpn me va de lujo, incluso con la app de Movistar+ en mi casa veo la tele como sin problemas. Pero lo que no me funciona es ni el deco de Movistar en el router servidor (donde está la fibra de Movistar con el servicio de tv ) ni en mi casa a través del túnel.
Me imagino que será cosa de la vlan de la red de Movistar+ que creo que es la vlan 2, que no pasa a través de los Mikrotik, pero no se ni como ni donde configurarla, no se si hay que configurarla en solo en la parte Lan o también en la Wan y menos aún cómo hacer para que me llegue por el túnel.

Alguien tiene idea?

Gracias!!
 
Sin saber lo que has montado me resulta difícil. Donde está el servicio del operador, quien manda, ¿El mikrotik o el HGU? ¿en qué modo está funcionando el mikrotik, en modo router o en modo bridge? Sino, dame un export de ambos y me dices cual es el del lado que no te funciona y lo vemos.

Saludos!
 
Buenas tardes, tengo dos routers mikrotik (ambos trabajando como switch ya que estan detràs del router de la operadora) que estan conectados con la configuración del iptv gorrón. Me gustaría añadir un peer más que seria para poder ver la IPTV des del mòbil android a través de la app del operador para poder verlo sin limitacions como si estubiera en casa.
He realizado la siguiente configuración:
image (1).png
Screenshot_2023-01-11-18-00-11-035_com.wireguard.android.jpg


La idea es añadir un peer al wireguard que ya tengo funcionando. El recuadro rojo es el peer del mikrotik de pepe, que esta funcionando perfectamente desde hace meses, y el recuadro verde es el peer creado para conectar-se con el android.
Veo que el Rx y el Tx varian un poco pero no consigo poder navegar desde el android y tampoco recibo respuesta a los pings.
Podriais decirme si veis alguna cosa mal?

Gracias
 
marti4 dijo:
Buenas tardes, tengo dos routers mikrotik (ambos trabajando como switch ya que estan detràs del router de la operadora) que estan conectados con la configuración del iptv gorrón. Me gustaría añadir un peer más que seria para poder ver la IPTV des del mòbil android a través de la app del operador para poder verlo sin limitacions como si estubiera en casa.
He realizado la siguiente configuración:
Ver el adjunto 102858Ver el adjunto 102861

La idea es añadir un peer al wireguard que ya tengo funcionando. El recuadro rojo es el peer del mikrotik de pepe, que esta funcionando perfectamente desde hace meses, y el recuadro verde es el peer creado para conectar-se con el android.
Veo que el Rx y el Tx varian un poco pero no consigo poder navegar desde el android y tampoco recibo respuesta a los pings.
Podriais decirme si veis alguna cosa mal?

Gracias
Haz clic para expandir...
Si lo tienes en modo bridge, necesitarás enmascarar el tráfico que viene de la subred de la VPN y sale por la interfaz bridge que sale al router principal

Saludos!
 
pokoyo dijo:
Si lo tienes en modo bridge, necesitarás enmascarar el tráfico que viene de la subred de la VPN y sale por la interfaz bridge que sale al router principal

Saludos!
Haz clic para expandir...
Perdona pokoyo, pero ahora no termino de entender como deberia hacerlo. Te adjunto la configuración que tengo actualmente en Paco, pero le falta la configuración del peer Android, porque ahora no tengo acceso a el y este es el backup que hice antes de configurar el peer.
Código: 
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add name=bridge-lo
/interface wireguard
add listen-port=14321 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.2 mac-address=FE:5F:15:XX:98:00 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=ether3
add bridge=bridge-iptv interface=ether4
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-lo interface=ether5
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=PEPE.sn.mynetname.net \
    endpoint-port=14321 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="NnUammqPG6AM8P/IG2lev1lheJ4ktM1z4dAAm+XXXX="
/ip address
add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-iptv src-address=\
    172.17.0.0/30
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco
 
Modifica la regla de NAT por esta otra.
Código: 
/ip firewall nat
add action=masquerade chain=srcnat comment="nat all but local network \
    out-interface=bridge-iptv src-address=!192.168.1.0/24

Saludos!
 
pokoyo dijo:
Sin saber lo que has montado me resulta difícil. Donde está el servicio del operador, quien manda, ¿El mikrotik o el HGU? ¿en qué modo está funcionando el mikrotik, en modo router o en modo bridge? Sino, dame un export de ambos y me dices cual es el del lado que no te funciona y lo vemos.

Saludos!
Haz clic para expandir...
La configuración tanto del mikrotik servidor como la del otro es una copia de tu manual WireGuard to Site + EoIP. no tengo nada mas configurado salvo las wifis.
Los router de la operadora son los dos HGU de Movistar en modo multipuesto y la única diferencia entre ellos es que el que esta donde se encuentra el mikrotik "servidor" tiene hecho un dmz a la wan del mikrotik.

Los dos mikrotik los tengo como Wisp AP
El mikrotik servidor tiene eth1 como wan y el resto de interface como bridge
El mikrotik cliente tiene eth1 como wan, eth2 y eth3 como bridge y eth4 y eth5 como EoIP.

Yo no entiendo mucho, pero creo que si no se configura la vlan2, no funcionara el deco.

Si necesitas alguna dato mas me dices.
Un Saludo
 
Hola @standby82

Del lado "servidor" tienes que trabajar como un switch. Es decir, con todos los puertos en un mismo bridge, incluido el EoIP. Del lado "cliente", has de separar el puerto dedicado al desco del resto de puertos, los cuales podrían ir igualmente en un bridge. Ese puerto separado es el que ha de ir bridgeado con el EoIP, en un bridge aparte (si es que definiste uno para el resto de puertos). En este último bridge, al igual que en el bridge de la parte servidora, ha de ir configurado IGMP-Snooping.

Los Mikrotik son agnósticos de las VLANs del HGU, puesto que estás trabajando en multipuesto y esas VLANs ya las trató el HGU.

Como ya he dicho en más de una ocasión, las modificaciones de los manuales que os inventéis, van por vuestra cuenta y riesgo. No podéis esperar cambiar un setup y que salga andando por arte de magia, sin entender lo que estáis haciendo. Tu setup se puede hacer perfectamente, pero tiene un punto flaco enorme: ninguno de los extremos Mikrotik maneja por si mismo la IP pública, con el consiguiente perjuicio para los túneles wireguard cuando esta cambie.

Saludos!
 
pokoyo dijo:
Hola @standby82

Del lado "servidor" tienes que trabajar como un switch. Es decir, con todos los puertos en un mismo bridge, incluido el EoIP. Del lado "cliente", has de separar el puerto dedicado al desco del resto de puertos, los cuales podrían ir igualmente en un bridge. Ese puerto separado es el que ha de ir bridgeado con el EoIP, en un bridge aparte (si es que definiste uno para el resto de puertos). En este último bridge, al igual que en el bridge de la parte servidora, ha de ir configurado IGMP-Snooping.

Los Mikrotik son agnósticos de las VLANs del HGU, puesto que estás trabajando en multipuesto y esas VLANs ya las trató el HGU.

Como ya he dicho en más de una ocasión, las modificaciones de los manuales que os inventéis, van por vuestra cuenta y riesgo. No podéis esperar cambiar un setup y que salga andando por arte de magia, sin entender lo que estáis haciendo. Tu setup se puede hacer perfectamente, pero tiene un punto flaco enorme: ninguno de los extremos Mikrotik maneja por si mismo la IP pública, con el consiguiente perjuicio para los túneles wireguard cuando esta cambie.

Saludos!
Haz clic para expandir...
He activado el IGMP Snooping y me sigue sin funcionar el deco, me dice que no tiene conexión a internet! Pero realmente si que tiene.

A parte de activar IGMP Snooping en la pestaña general del bridge, hay que “tocar algo más”
Ejemp: activar DHCP Snooping, modificar algo en la pestaña IGMP Snooping ….
Siento ser tan canso, pero es que de este tema estoy muy perdido.
Gracias de todas formas!
 
standby82 dijo:
He activado el IGMP Snooping y me sigue sin funcionar el deco, me dice que no tiene conexión a internet! Pero realmente si que tiene.

A parte de activar IGMP Snooping en la pestaña general del bridge, hay que “tocar algo más”
Ejemp: activar DHCP Snooping, modificar algo en la pestaña IGMP Snooping ….
Siento ser tan canso, pero es que de este tema estoy muy perdido.
Gracias de todas formas!
Haz clic para expandir...
Te faltan la mitad de las cosas que te he dicho antes, aparte del IGMP Snooping. Y no, a nivel de bridge, nada más.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

E
Cerbot renovación
Respuestas
2
Visitas
411
pokoyo
leptismame
TUNEL CONECTADO - DECO NO ACCEDE A RED
Respuestas
7
Visitas
1,095
pokoyo
leptismame
configurar Digi 10 g - RB4011
Respuestas
6
Visitas
642
leptismame
J
Setup alternativo : probando un pepe en casa Paco para regalar
Respuestas
15
Visitas
553
pokoyo
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
1,098
generalpirata
Arriba