Wireguard fallido

Hola,

Estoy con la tesitura de sacar un router ASUS y poner un mikrotik. Voy por pasos, tranquilamente... Pero a la primera de cambio ya he tenido un tropezón con el Wireguard; no hay manera que funcione. Y yo de redes, muy justo...

El HEX S se encuentra detrás de una ONT. He tenido que abrir puertos para varios servicios (Syncthing, Resilio, Synology, HA, etc). Hasta aquí funciona bien. Para intentar no cagarla, primero con el wizard de mikrotik y después tocando lo mínimo. Más adelante tendré que configurar AP ubiquiti, además de un failover con un HAP + modem y me gustaría poner algunos scripts que pueden ir muy bien.

Pero ahora estoy con el wireguard y nada de nada, ni con el tutorial del foro ni con otros mil, hubiese sido más efectivo dedicarle las horas a leer un buen libro de redes :-(

Cuelgo la configuración a ver si alguien se anima y le quiere poner el ojo encima para encontrar el/los fallo/s. ¡También podría ser que hubiese algún que otro disparate!

Muchas gracias.

SaludosVer el adjunto config.txt
 
Lo tienes prácticamente todo bien. Lo que no acabas de pillar es que las reglas del firewall llevan un órden, dentro de la cadena a la que pertenecen (las de input por un lado, forward por otro, output por otro). La penúltima regla del chain de input tira a tomar por culo todo tráfico que no venga de tu LAN (y que previamente no haya sido aceptado), y justo detrás está la que acepta el tráfico del wireguard. Así que te toca subir la regla de wireguard antes de esta:
Código: 
/ip firewall filter
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN

Por otro lado, el masquerade de la subred del wireguard no es necesario, la siguiente línea la puedes quitar del nat
Código: 
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.10.0.0/24


PS: las claves públicas no hace falta que las escondas. Son públicas por eso mismo, porque no pasa nada por que se vean.

Saludos!
 
pokoyo dijo:
Lo tienes prácticamente todo bien. Lo que no acabas de pillar es que las reglas del firewall llevan un órden, dentro de la cadena a la que pertenecen (las de input por un lado, forward por otro, output por otro). La penúltima regla del chain de input tira a tomar por culo todo tráfico que no venga de tu LAN (y que previamente no haya sido aceptado), y justo detrás está la que acepta el tráfico del wireguard. Así que te toca subir la regla de wireguard antes de esta:
Código: 
/ip firewall filter
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN

Por otro lado, el masquerade de la subred del wireguard no es necesario, la siguiente línea la puedes quitar del nat
Código: 
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.10.0.0/24


PS: las claves públicas no hace falta que las escondas. Son públicas por eso mismo, porque no pasa nada por que se vean.

Saludos!
Haz clic para expandir...
Perfecto, no tenía ni idea. Mañana lo pruebo y os cuento. Tema llave pública, ¡no lo pensé! Pero soy un poco paranoico y como menos info mejor. Es del trabajo y prefiero pecar por exceso :eek:

Tengo que decir que antes de comprar nada de mikrotik (voy a meterlos hasta en la "cocina"), lo veia todo un poco arcaico: interface, configuración en texto, etc... y ahora me parece el mejor sistema. Esto, lo dejo escrito por si algun novato como yo no se atreve a dar el paso; vale la pena.

Volviendo al tema de seguridad. Tengo que dejar abierto el puerto 80 para la renovación del certificado del dominio del synology. Si la v7 hay opción de usar dominio y certificado propio de mikrotik, ¿será más seguro (que abra y cierre el puerto solo cuando se tenga que renovar, etc)? Por otro lado veo que los subdominios son fijos (sn). ¿No es mas peligroso a un escaneo masivo? (Además ya saben que hay detrás). Para mejorar la seguridad, voy a terminar de migrar de Resilio a Syncthing, y todo lo otro que pueda, por vpn y a cerrar todos estos puertos.

@pokoyo , muchas gracias, de verdad, por toda la ayuda!

¡Un saludo!
 
ectoplasma dijo:
Perfecto, no tenía ni idea. Mañana lo pruebo y os cuento. Tema llave pública, ¡no lo pensé! Pero soy un poco paranoico y como menos info mejor. Es del trabajo y prefiero pecar por exceso :eek:

Tengo que decir que antes de comprar nada de mikrotik (voy a meterlos hasta en la "cocina"), lo veia todo un poco arcaico: interface, configuración en texto, etc... y ahora me parece el mejor sistema. Esto, lo dejo escrito por si algun novato como yo no se atreve a dar el paso; vale la pena.

Volviendo al tema de seguridad. Tengo que dejar abierto el puerto 80 para la renovación del certificado del dominio del synology. Si la v7 hay opción de usar dominio y certificado propio de mikrotik, ¿será más seguro (que abra y cierre el puerto solo cuando se tenga que renovar, etc)? Por otro lado veo que los subdominios son fijos (sn). ¿No es mas peligroso a un escaneo masivo? (Además ya saben que hay detrás). Para mejorar la seguridad, voy a terminar de migrar de Resilio a Syncthing, y todo lo otro que pueda, por vpn y a cerrar todos estos puertos.

@pokoyo , muchas gracias, de verdad, por toda la ayuda!

¡Un saludo!
Haz clic para expandir...
No hace falta que el puerto 80 esté abierto para renovar el certificado, una vez está creado y funcionando el certbot. Con tener el 443 abierto y redireccionado al puerto https del nas, funciona igualmente. Yo mismo lo he tenido así mucho tiempo.

Lo de cerrar puertos y usar la vpn es casi lo más importante de lo que has comentado.

Saludos!
 
pokoyo dijo:
No hace falta que el puerto 80 esté abierto para renovar el certificado, una vez está creado y funcionando el certbot. Con tener el 443 abierto y redireccionado al puerto https del nas, funciona igualmente. Yo mismo lo he tenido así mucho tiempo.

Lo de cerrar puertos y usar la vpn es casi lo más importante de lo que has comentado.

Saludos!
Haz clic para expandir...
¡Buenas noches @pokoyo !

He quitado el masquerade de wireguard y he movido una posición, para arriba, la regla de firewall del mismo y... No funciona la vpn. Aparentemente se conecta el móvil al router, pero desde el móvil no tengo internet y no puedo hacer ping, por ejemplo, al Synology :( Si puedes echarle otra ojeada... Si no ves nada raro, le daré un reset a todo y volveré a intentarlo.

¡Gracias por la ayuda y un saludo!
 
Última edición:
ectoplasma dijo:
¡Buenas noches @pokoyo !

He quitado el masquerade de wireguard y he movido una posición, para arriba, la regla de firewall del mismo y... No funciona la vpn. Aparentemente se conecta el móvil al router, pero desde el móvil no tengo internet y no puedo hacer ping, por ejemplo, al Synology :( Si puedes echarle otra ojeada... Si no ves nada raro, le daré un reset a todo y volveré a intentarlo.

¡Gracias por la ayuda y un saludo!
Ver el adjunto 88926
Haz clic para expandir...
PD: el archivoVer el adjunto config.txt
 
Pues a nivel de router no tenías nada más raro. Solo queda que el cliente lo estés configurando mal.

Pasa si quieres un pantallazo del móvil, y un export (el link de arriba no funciona, puedes adjuntar simplemente el fichero en txt), ocultando únicamente la privada y lo reviso.

Saludos!
 
Sigues teniendo mal la posición de la regla. Ha de ir delante de la regla de input que dice “drop all not coming from LAN”, del chain de input. Si filtras por chain, verás que, aunque tú la has movido, sigue en la misma posición, la última del chain de input.

Saludos!
 
Creo que ahora lo he puesto bien, pero no funciona. Cuelgo captura del móvil. ¡Gracias!
orden.jpg
photo_2021-12-03_22-03-07.jpg
 
ectoplasma dijo:
PD: sin tocar nada, ahora no tengo internet en ningun dispositivo en los servicios que vayan por el puerto 80. En cambio telegram, etc funcionan :s Quizá al actualizar de la rc7 a la última. Creo que le tendré que dar un buen reset...
Haz clic para expandir...
No sé, la config ahora sí es correcta. Tienes un poco de barullo en el nat, pero salvo eso, nada excepcional. Comenta si quieres todas las reglas de NAT menos la primera del masquerade y prueba. Y cerciórate de que la clave publica que metes en el peer del móvil es la actual de la interfaz Wireguard (no se ve en el export).

Saludos!
 
pokoyo dijo:
No sé, la config ahora sí es correcta. Tienes un poco de barullo en el nat, pero salvo eso, nada excepcional. Comenta si quieres todas las reglas de NAT menos la primera del masquerade y prueba. Y cerciórate de que la clave publica que metes en el peer del móvil es la actual de la interfaz Wireguard (no se ve en el export).

Saludos!
Haz clic para expandir...
Parece que, siguiendo el nuevo tutorial que has creado *, funciona (Antes, quizás la ip 10.10.x.x colisiona con algo de vodafone, por decir algo pq ni tengo ni fu...

Digo que parece, pq accedo a mi servidor con la IP interna, con la red móvil y wireguard encendido, pero en cambio tengo la IP pública del móvil y no la IP pública de Mikrotik. ¿Que puede ser?

* ¡ @pokoyo felicidades por otro excelente tutorial!
 
ectoplasma dijo:
Parece que, siguiendo el nuevo tutorial que has creado *, funciona (Antes, quizás la ip 10.10.x.x colisiona con algo de vodafone, por decir algo pq ni tengo ni fu...

Digo que parece, pq accedo a mi servidor con la IP interna, con la red móvil y wireguard encendido, pero en cambio tengo la IP pública del móvil y no la IP pública de Mikrotik. ¿Que puede ser?

* ¡ @pokoyo felicidades por otro excelente tutorial!
Haz clic para expandir...
Cambiaste la ip en ambos sitio? En el peer del router y en la definición del túnel del móvil? Como no sea algún rollo propio de Android, no sabría decirte. Si en el móvil tienes el 0.0.0.0/0 como allowed IPs, deberías poder salir por la ip del router remoto.

Saludos!
 
He vuelto empezar otra vez con el wireguard desde 0 y funciona perfectamente (ip publica y acc. equipos red). Antes, cuando funcionaba parcialmente, había modificado, a saco, una configuración "mala". Muchas gracias por todo @pokoyo

Saludos
 
Debes estar conectado o registrado para responder aquí.

Similar threads

F
Problema con red un poco compleja
2 3 4
Respuestas
63
Visitas
4,910
froiland78
pokoyo
  • Anclado
MANUAL: Mikrotik, tips & tricks
10 11 12
Respuestas
225
Visitas
44,406
pokoyo
Arriba