Mikotik cliente wireguard

Hola, primero daros los gracias por este foro, de lo mejor que he encontrado en español para gente inexperta en mikrotik.

Llevo unos días con un mikrotik RB750G3 y estoy intentando conectarlo como cliente a un servidor de wireguard con una raspberry pi 4.

Haber si me podéis echar un cable

Tengo instalado el RouterOS 7.1 beta 6

El fichero de configuracion que tengo es:
[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.6.0.6/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy
PresharedKey = zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
Endpoint = xxxx.duckdns.org:45678
AllowedIPs = 0.0.0.0/0, ::0/0

Asi he configurado el cliente en mikrotik
wireguard.interface.jpg
wireguard.peer.jpg

ip.address.jpg


route.list1.jpg

route.list2.jpg


No me redirige el tráfico a través de la vpn.
Gracias
 
Vas mal compi. Si el servidor vpn está montado en otra máquina y tú vas a conectar como cliente sólo necesitas:

El endpoint y puerto.
Saber la IP que va a asignar como cliente vpn, puesto que esa será la que definas en IP -> Addresses, sobre la interfaz de WireGuard.
La clave pública del otro extremo.

No obstante, si tú controlas ambos extremos y ya has generado una configuración completa del otro lado (o te fías de quien, para que te funcione en el mikrotik como cliente, tal y como me muestras en los pantallazos tiene buena pinta. Sospecho que lo que te falta es una regla de src-nat para cambiar el tráfico de la subred de la VPN por tu IP pública. Es decir, una regla tal que así:
Código:
ip firewall nat 
add chain=srcnat src-address=10.6.0.0/24 action=src-nat to-address=10.10.109.113

Saludos!
 
Gracias por tu respuesta. Si yo controlo el servidor y el cliente.

He probado lo que me indicas y sigue igual
 
Mañana te hago una prueba rápida y te digo. El mikrotik que hace de cliente, por lo que veo en tu config, no maneja tu IP pública, no? Sospecho que lo que le falta es una ruta que diga, “saca todo el tráfico, 0.0.0.0/0, por la IP del servidor del túnel al otro lado.

Saludos!
 
Buenos días compi. Lo que parecía una chorrada, me tuvo ayer hasta la 1.30 de la mañana despierto. Y, como no podía ser de otra manera, esta mañana y con un café entre las manos, las cosas se ven mejor.

La solución a esto no es NADA trivial, así que me estoy planteando hacer un par de manuales para mostrar las diferencias de cómo configurar un mikrotik con wireguard en modo cliente, reenviando todo el tráfico por la VPN, y hacer lo mismo pero comunicando dos LANs en un site-to-site, cosa mucho más simple.

Por si te vale de aperitivo, necesitas una tabla de rutas nueva y enchufar el tráfico por ahí, manteniendo la ruta por defecto que te de salida a internet. Además de eso, hay que hacerle un masquerade a la interfaz del wireguard, porque pasa a ser nuestro default gateway. Sería algo así (considerando 192.168.88.0/24 mi LAN local en el router cliente, y la 192.168.55.1 la IP del otro extremo del túnel en el servidor)
Código:
# Creamos una nueva routing table
/routing table
add name=wg

# La primera regla evita que nos quedemos sin acceso al router desde nuestra LAN, la segunda indica que todo lo que se genere en nuestro segmento LAN, va para la nueva tabla de rutas.
/routing rule
add action=lookup dst-address=192.168.88.0/24 src-address=192.168.88.0/24 table=main
add action=lookup dst-address=0.0.0.0/0 src-address=192.168.88.0/24 table=wg

# Dos nuevas rutas, para indicar que todo el tráfico sale ahora con destino la IP del otro extremo del túnel, el servidor de WireGuard.
/ip route
add distance=1 gateway=192.168.55.1 routing-table=wg
add distance=1 dst-address=192.168.88.0/24 gateway=bridge routing-table=wg

# Y, como wireguard1 pasa a ser nuestra interfaz de navegación, enmascaramos su tráfico para salir a internet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard1

En cuanto pueda monto un manual con todo esto, explicándolo paso a paso, que creo que merece la pena.

Saludos!
 
me estoy planteando hacer un par de manuales para mostrar las diferencias de cómo configurar un mikrotik con wireguard en modo cliente, reenviando todo el tráfico por la VPN, y hacer lo mismo pero comunicando dos LANs en un site-to-site

Y si no te importa Wireguard más tunel EoIP para el tema de los descos. De cara a cuando Wireguard lo tengamos en la rama estable.
Y lo que te digo siempre, sin prisas y gracias por tus manuales.
Saludos.
 
Y si no te importa Wireguard más tunel EoIP para el tema de los descos. De cara a cuando Wireguard lo tengamos en la rama estable.
Y lo que te digo siempre, sin prisas y gracias por tus manuales.
Saludos.
Ese es muy sencillo de meter encima del site-to-site. Es idéntico al IKEv2, una vez tienes las IP's de ambos extremos del túnel, no es más que usar esas en el setup del EoIP.

Saludos!
 
Eres un crack!!!!, ya lo tengo funcionando. Estoy conectando desde América con una conexión de 50 Mb simétricos a O2 600Mb.




Voy a abusar un poco,
Si en algún momento se cae el servidor, elimino las rutas y salgo con mi conexión local?
Si quiero elegir que algún equipo no salga por la vpn, creo una ruta nueva para ese equipo?

Mil Gracias!!!
 
Última edición:
Eres un crack!!!!, ya lo tengo funcionando. Estoy conectando desde América con una conexión de 50 Mb simétricos a O2 600Mb.




Voy a abusar un poco,
Si en algún momento se cae el servidor, elimino las rutas y salgo con mi conexión local?
Si quiero elegir que algún equipo no salga por la vpn, creo una ruta nueva para ese equipo?

Mil Gracias!!!
Si quieres tener un failover, yo usaría mangle para marcar los paquetes salientes de tu red (o de un address list concreto, así controlas qué equipos sí y qué equipos no), en lugar de la opción de /routing rule. De esa manera, si la conexión se cae y la interfaz de WireGuard se cae y deja de estar disponible, tu tráfico saldría automáticamente por la tabla de rutas “@main” por defecto, haciendo un failover. Con eso, y un chequeo por ping al gateway del otro extremo, lo que en mi config es la ruta por defecto al 192.168.55.1, tendrías un failover automático (si falla el túnel el ping lo detecta y anula dicha ruta).

Si vas a usar mangle, recuerda que es incompatible con fasttrack, así que tendrás que deshabilitar eso en el firewall para que funcione correctamente el marcado de paquetes.

Saludos!
 
Y si no te importa Wireguard más tunel EoIP para el tema de los descos. De cara a cuando Wireguard lo tengamos en la rama estable.
Y lo que te digo siempre, sin prisas y gracias por tus manuales.
Saludos.

Pues algo debe de haber en esta beta que a mi no me ha funcionado el tunel eoip para esto, ni con wireguard (que por cierto, super sencillo de configurar y velocidad de 80 Mbps con un hap lite) ni con l2tp/ipsec, tuve que volver a la última versión estable.

Un Saludo.
 
Pues algo debe de haber en esta beta que a mi no me ha funcionado el tunel eoip para esto, ni con wireguard (que por cierto, super sencillo de configurar y velocidad de 80 Mbps con un hap lite) ni con l2tp/ipsec, tuve que volver a la última versión estable.

Un Saludo.
Export, please. Y recordad que esto sigue siendo una beta, para producción, usad IKEv2 + EoIP, en caso de necesitar este tipo de túneles. O directamente EoIP+IPSec.

Saludos!
 
Arriba