MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)

FUNCIONAAAA!!!!

Por fin ha enganchado el túnel y ya transmite multicast!!
Enhorabuena. Me alegro mucho de que por fin funcione.
Con Ikev2 yo tampoco fui capaz de hacerlo funcionar y ahora que podría probar con Wireguard mis familiares se dieron de baja de la TV.
A mi también me funcionaba con EoIP directamente.
Si en un futuro vuelven a contratar la TV, ya sé que Wireguard-StS-EoIP funciona gracias a tí.
Saludos y gracias por compartir la experiencia.
 
@pokoyo, gracias!!

Voy a dejarlo configurado metiendo la interfaz WG en LAN tanto en HQ como en branch...y creo que acabo antes...., entiendo que ya accedería con las IP's sobre las que monto el túnel EoIP (172.168.1.1 - 172.168.1.2). Correcto?

Muchas gracias!

Saludos
 
Buenas, una preguntilla fácil: existe cliente Wireguard grafico para ubuntu o hay que configurarlo a manubrio tipo "sudo apt-get install...."?

S@lu2.
No se desde Ubuntu, uso KDE no lo probé pero vi que esta ahi, desde el administrador de redes pones configurar le das en el + para agregar una nueva conexión y buscas WG, para que funcione supongo que ademas tenes que tener tener instalado los paquetes de WG (por lo menos asi pasaba con OpenVPN), aunque no se por que ya esta en el kernel, es cuestion de probarlo
 
@pokoyo, gracias!!

Voy a dejarlo configurado metiendo la interfaz WG en LAN tanto en HQ como en branch...y creo que acabo antes...., entiendo que ya accedería con las IP's sobre las que monto el túnel EoIP (172.168.1.1 - 172.168.1.2). Correcto?

Muchas gracias!

Saludos
correcto.
 
Bueno..., pues me ha dado por actualizar a 7.1.1 en HQ...y ahora la VPN, por motivos que desconozco, no levanta, y el túnel tampoco...

En principio toda la config está correcta, no se me ocurre donde pudiera estar el fallo. El caso es que los WG-RW sí van bien, pero los STS, nada...

Se os ocurre algo que pueda probar?

Saludos
 
Bueno..., pues me ha dado por actualizar a 7.1.1 en HQ...y ahora la VPN, por motivos que desconozco, no levanta, y el túnel tampoco...

En principio toda la config está correcta, no se me ocurre donde pudiera estar el fallo. El caso es que los WG-RW sí van bien, pero los STS, nada...

Se os ocurre algo que pueda probar?

Saludos
Apaga y enciende la interfaz del túnel WG. Y asegúrate de tener un DNS puesto en IP > DNS, que el propio router pueda usar.

Saludos!
 
Ya está, he tenido que reiniciar el branch y a funcionar!

En cuanto a los DNS, HQ tiene DNS fija configurada y los branch las cogen por DHCP del router principal.

Vaya descubrimiento esto de wireguard.....


Saludos!!!
 
Buenos días a tod@s,

Esta mañana probé a reiniciar el router HQ, y vuelvo a tener el mismo problema que ayer. Los dos WG-STS no levantan, y por ende, tampoco el túnel EoIP que tengo montados sobre cada uno de ellos. Sin embargo, el WG-RW, sí que funciona perfectamente.

He probado a desactivar y activar tanto los interfaces WG como los túneles EoIP, desde HQ, sin éxito.

¿Es normal este comportamiento? ¿He de habilitar algún parámetro que se me esté escapando, para que se "reinicien" los WG-STS? Tiene algo que ver la opción Persistent KeepAlive que se puede habilitar en peers?

En branch, tal y como me indicó @pokoyo, asigné una IP DNS fija (porsi)


Como siempre, mil gracias por todo!!


Saludos.-
 
Última edición:
Buenos días a tod@s,

Esta mañana probé a reiniciar el router HQ, y vuelvo a tener el mismo problema que ayer. Los dos WG-STS no levantan, y por ende, tampoco el túnel EoIP que tengo montados sobre cada uno de ellos. Sin embargo, el WG-RW, sí que funciona perfectamente.

He probado a desactivar y activar tanto los interfaces WG como los túneles EoIP, sin éxito.

¿Es normal este comportamiento? ¿He de habilitar algún parámetro que se me esté escapando, para que se "reinicien" los WG-STS? Tiene algo que ver la opción Persistent KeepAlive que se puede habilitar en peers?

En branch, tal y como me indicó @pokoyo, asigné una IP DNS fija (porsi)


Como siempre, mil gracias por todo!!


Saludos.-
El persistent keep alive suele ayudar cuando los túneles están detrás de un nat, pero en lo que he podido probar hasta ahora, no he necesitado ponerlo nunca.

Pásame un export de ambos equipos que lo miro, a ver si vas a tener por ahí algún testo de IKEv2 jodiendo la mona o el firewall mal configurado.

También revisa que la branch tenga un dns estático público configurado en IP > DNS, para uso y disfrute del propio router, sino no será capaz de “llamar” a la dirección DDNS de HQ, puesto que me comentaste que el enlace lo tienes hecho sólo de un lado, y que no es bidireccional.

Saludos!
 
@pokoyo, mil gracias como siempre.

El HQ está sin NAT, conectado directo a la ONT. Los branch sí están nateados tras el router de la operadora, ayer les dejé asignados a ambos la DNS 1.1.1.1.

De Ikev2 no hay rastro, ya que el HQ por el momento es el RB5009 que directamente lo configuré desde 0 con WG (no obstante he revisado todo lo relativo a IPSec y las pestañas están "limpias"). En al menos uno de los branch tampoco hay rastro ya que actualicé a 7.1.1. y lo configuré también desde 0 (incluso sin default configuration). El otro branch tengo que mirarlo pero juraría que tampoco tenía restos de IKEv2.

En cuanto a firewall, en HQ añadí únicamente la línea correspondiente a apertura de puertos para los WG según manual. En branch sólo tengo en firewall filter la apertura del puerto de WG (aunque al estar nateado...no sé si tiene mucho sentido).....Hostias...., escribiendo esto acabo de darme cuenta del posible problema....

¿He de abrir en los routers de operadora donde están los branch...los puertos correspondientes a WG y redirigirlos a la IP asignada a los MK?


Saludos!!
 
¿He de abrir en los routers de operadora donde están los branch...los puertos correspondientes a WG y redirigirlos a la IP asignada a los MK?
Es lo suyo, si quieres que haya comunicación bidireccional. Pero vamos, si "branch" tiene una salida a internet y el router e capaz de resolver el DDNS del otro lado, se conecta igualmente, porque iniciaría él la conexión.

Saludos!
 
@pokoyo, es lo que me extraña, cuando reinicio los branch es cuando engancha WG y se mantiene levantado mientras HQ esté operativo, pero si HQ se reinicia, ni el propio HQ ni branch son capaces de restablecer el túnel.

Voy a abrir los puertos en los HGU por si acaso, y volveré a probar. Os voy informando.


Saludos!
 
Pues ahora mismo me pillas. Me suena que había un pluging para el network-manager que incluye Wireguard, pero hace tiempo que no trasteo con ello.

Ábrelo en un post aparte, que seguro que alguno de los linuxeros habituales te echa una mano.

Saludos!

Ya he abierto un hilo en el foro de Linux a ver si hay algún linuxero inquieto que me pueda iluminar, jeje

Dudas al instalar Wireguard "cliente" en Ubuntu 21.10

S@lu2.
 
Me acaba de surgir una duda con respecto a las prioridades en la conexión VPN, vamos de cero, tengo conectado el ordenador y el movil a la misma LAN hago la medición de velocidad entre ambos dispositivos y me da un promedio de unos 93.0 Mbits/sec, ahora conecto el movil a datos, activo el WG hago la misma medición y obtengo un promedio de unos 18.8 Mbits/sec Hasta aca todo seria lógico, pero si vuelvo a activar el WiFi en el movil (dejando activo el WG) la velocidad de velocidad pasa a un promedio de 69.0 Mbits/sec y en este momento es donde miro el movil y digo .... WTF.... o sea, no llego a entender por que ese valor, estimo que pasa por la misma red sale a internet y vuelve a entrar y ahí tengo esa perdida de velocidad, seria correcto? y ahora la otra pregunta, hay forma que si esta conectado a la misma LAN priorice la conexión de la LAN en lugar de la del VPN?
 
No entiendo la pregunta. La bajada de velocidad es, obviamente, por el encriptado del túnel. Si no lo apagas, vas a salir por tu propia conexión, pero encriptando el tránsito. Lo que puedes hacer es jugar con las reglas para no activar la vpn en tu lan. Eso se hace en el cliente móvil.

Saludos!
 
No entiendo la pregunta. La bajada de velocidad es, obviamente, por el encriptado del túnel. Si no lo apagas, vas a salir por tu propia conexión, pero encriptando el tránsito. Lo que puedes hacer es jugar con las reglas para no activar la vpn en tu lan. Eso se hace en el cliente móvil.

Saludos!
Si, la pregunta apuntaba más a notebook que se conecten, al VPN ya que el usuario típico deja habilitada la conexión y estaría generando tráfico sin sentido, estaba pensando, no se si es posible alguna regla que bloquee el acceso a internet si detecta la dirección privada que da el WG y la IP pública de dónde está el router
 
Si, la pregunta apuntaba más a notebook que se conecten, al VPN ya que el usuario típico deja habilitada la conexión y estaría generando tráfico sin sentido, estaba pensando, no se si es posible alguna regla que bloquee el acceso a internet si detecta la dirección privada que da el WG y la IP pública de dónde está el router
Puedes enrutar solo el trafico lan. Si en lugar de aceptar todo el tráfico en el peer le pones que acepte sólo tráfico de la lan, estarás haciendo lo mismo que con un split include en IPSec.

Saludos!
 
Buenas!

No se si se ha preguntado ya..,mirando el hilo no lo vi..., cuando voy con el movil en road warrior todo genial pero cuando llego a casa la conexión VPN sigue activa, me gustaría saber si hay modo de que cuando conecte a mi wlan la VPN desconecte sola.

Gracias por la info q se pueda aportar! Y Feliz navidad a tod@s
 
Arriba