Escogiendo routers VPN WireGuard: servidor y cliente

Te mando un ejemplo: donde ves .75, sería tu .88

1653849354227.png



Si además quieres aprovechar el DNS propio del router, necesitas hacer una config más adicional en el pi-hole, activando el conditional forwarding: esto hará que las peticiones locales las mire también en el propio router (igualmente, donde ves un .75, sería tu .88 ). Esta pantalla la tienes en Settings -> DNS, en el pi-hole, donde se define los servidores DNS padre, los que usas como fuente o upstream dns server.

1653849495243.png



Eso hará que luego puedas ir al router y en IP -> DNS -> Static, y definir entradas como estas, que apunten a los equipos de tu LAN

1653849788313.png


Así podrás hacer ping pihole.lan y retornará la IP correspondiente. Entradas ahí puedes crear las que quieras, como si quieres crear una para cada chisme que tienes en la red.

Saludos!
 
pokoyo dijo:
La manera correcta de entregar esas direcciones es el en servidor dhcp. Igual que antes hemos metido una entrada adicional para la subred /29, para entregarles un dns público concreto, puedes hacer lo mismo en la otra entrada que existe en ese mismo menú para la subred principal 192.168.88.0/24. Lo encontrarás en IP > DHCP Server > Networks.

Como IP principal entregarías la del pi-hole, y como secundaria (failover, aquí sí respeta el orden), la del propio router, que es la única que verás entregada ahí ahora mismo.
Haz clic para expandir...

A ver si he entendido algo, ahora tenemos los DHCP así:

Captura.JPG


teniendo en cuenta que el NAS está en la 192.168.88.2 ¿estaría bien esta modificación?

Captura2.jpg
 
Justo al revés, en el de la izquierda. La ventana de la derecha déjala con DNS públicos, para los chismes que quieres que salgan por IP española.

Saludos!
 
Y, si además quieres entregar esa DNS en la config del wireguard, conseguirás que los móviles en remoto usen el DNS de tu casa, teniendo una navegación limpita de mierda. Una gozada, especialmente para ahorrar datos:

1653850559808.png


... y así me podría pegar hasta mañana enseñándote trucos y trampas de estos chismes.

Saludos!
 
esto de aprender es comenzar y un no parar :LOL::LOL::LOL::ROFLMAO:

pero de momento no toco nada más hasta ir a Barcelona y testear a la vuelta! Por cierto igual te molesto, por el tema del desco que hay que comprar, más que nada por saber: ¿lo compro nuevo? ¿lo reseteo? ¿lo debo conectar en Barcelona a HGU antes de traerlo a tierras lejanas?

De nuevo una y otra vez, muchas gracias
 
soso75 dijo:
esto de aprender es comenzar y un no parar :LOL::LOL::LOL::ROFLMAO:

pero de momento no toco nada más hasta ir a Barcelona y testear a la vuelta! Por cierto igual te molesto, por el tema del desco que hay que comprar, más que nada por saber: ¿lo compro nuevo? ¿lo reseteo? ¿lo debo conectar en Barcelona a HGU antes de traerlo a tierras lejanas?

De nuevo una y otra vez, muchas gracias
Haz clic para expandir...
Cómpralo por wallapop de seguanda mano, no te molestes en pillar uno nuevo, no merece la pena. Cuando lo tengas, pínchalo primero al HGU, que se actualice y telecargue y haga toda lo que necesite, estando allí en Barcelona. Luego lo echas a la maleta, y lo conectas a ether2 cuando llegues aquí. Ejemplo: https://es.wallapop.com/item/movistar-4k-uhd-787476179

Cuando estés en Barcelona, haz ping por aquí y hacemos todas las pruebas que necesites. Y recuerda que no has hecho más que empezar con Mikrotik, puedes hacer tela marinera aún con ellos.

Saludos!
 
pokoyo dijo:
Cómpralo por wallapop de seguanda mano, no te molestes en pillar uno nuevo, no merece la pena. Cuando lo tengas, pínchalo primero al HGU, que se actualice y telecargue y haga toda lo que necesite, estando allí en Barcelona. Luego lo echas a la maleta, y lo conectas a ether2 cuando llegues aquí. Ejemplo: https://es.wallapop.com/item/movistar-4k-uhd-787476179

Cuando estés en Barcelona, haz ping por aquí y hacemos todas las pruebas que necesites. Y recuerda que no has hecho más que empezar con Mikrotik, puedes hacer tela marinera aún con ellos.

Saludos!
Haz clic para expandir...
La semana que viene marcho de viaje. Así que aprovecharé a probar el wg-rw-uk y luego ya te iré contando que tal va.

cuándo esté en Barcelona, postraré seguro con las novedades y para que me ilumines en los posibles testeos.
 
pokoyo dijo:
Así lo harás allí: en ese menú puedes asociar que un equipo al que se entrega IP por DHCP, se le entregue siempre la misma IP. Desconozco si lo mismo se puede hacer desde el menú básico del HGU, en el apartado de Mapa de Red (ahora mismo no tengo ninguno en modo router a mano).

Ver el adjunto 95589

Saludos!
Haz clic para expandir...

@pokoyo
estoy de viaje y navegando con el WireGuard que configuramos para conectarnos a la casa de UK, wg-rw-uk, y va de lujo!!!

Estaba entretenido leyendo el manual del router de Barcelona sobre lo de fijar la up del hEX:

Screenshot 2022-06-01 at 22.43.15.png


y tengo una pequeña duda, si el router tiene como rango DHCP:

IP inicio DHCP; 192.168.1.33
IP fin DHCP: 192.168.1.199

¿Que ip le debo asignar como ip fija una fuera del rango DHCP, 192.168.1.25? O ¿una de dentro del rango DHCP por ejemplo la 192.168.1.50 pero al hacer el DCHP Static IP Lease, el router siempre le asignará la misma?
 
soso75 dijo:
@pokoyo
estoy de viaje y navegando con el WireGuard que configuramos para conectarnos a la casa de UK, wg-rw-uk, y va de lujo!!!

Estaba entretenido leyendo el manual del router de Barcelona sobre lo de fijar la up del hEX:

Ver el adjunto 95691

y tengo una pequeña duda, si el router tiene como rango DHCP:

IP inicio DHCP; 192.168.1.33
IP fin DHCP: 192.168.1.199

¿Que ip le debo asignar como ip fija una fuera del rango DHCP, 192.168.1.25? O ¿una de dentro del rango DHCP por ejemplo la 192.168.1.50 pero al hacer el DCHP Static IP Lease, el router siempre le asignará la misma?
Haz clic para expandir...
Diría que sólo te va a permit definirla dentro del rango de su DHCP. La .33, por ejemplo. Con el Mikrotik puedes reservarla dentro, fuera, en otro pool, lo que quieras. Pero estos equipos suelen ser más restrictivos en ese aspecto.

Si una vez instalado quieres que la fijemos del todo, me dices y la pasamos a estática, y nos olvidamos de reservarla en el HGU. Pero, si mañana cambias de router, ha de operar en el mismo segmento, o te quedarás sin acceso remoto al equipo.

Saludos, y buen puente!
 
Última edición:
Buenos días
Una pequeña consulta. Me ha llegado un mail diciendo que el NAS se ha desconectado y como estoy de viaje no puedo chequearlo.
El túnel WireGuard funciona, así que el router y el servicio de internet funcionan correctamente. Consulta, ¿puedo acceder al router en remoto? Una vez activo e WireGuard desde mi teléfono, pongo la ip de la puerta de enlace pero no me carga la web de acceso al router.
 
soso75 dijo:
Buenos días
Una pequeña consulta. Me ha llegado un mail diciendo que el NAS se ha desconectado y como estoy de viaje no puedo chequearlo.
El túnel WireGuard funciona, así que el router y el servicio de internet funcionan correctamente. Consulta, ¿puedo acceder al router en remoto? Una vez activo e WireGuard desde mi teléfono, pongo la ip de la puerta de enlace pero no me carga la web de acceso al router.
Haz clic para expandir...
Sí, pero necesitas primero permitir dicho tráfico en el firewall, en el chain de input. Al NAS no llegas?

Saludos!
 
pokoyo dijo:
Sí, pero necesitas primero permitir dicho tráfico en el firewall, en el chain de input. Al NAS no llegas?

Saludos!
Haz clic para expandir...
Gracias @pokoyo

mal NAS no llego porque algo le ha pasado y se ha desconectado. He recibido un mail diciendo:

Hi,
Connection to xxxxx.synology.me has been lost since 2022-06-03 10:55:03 +01:00. Please check the network connection of your DiskStation, and make sure its DDNS service is enabled.
From Synology Account

no pasa nada, ya lo revisaré cuando vuelva y lo reconectare.
Miraré también lo del firewall del router porque estaría bien poder acceder al router de UK cuando vaya a Barcelona
 
@pokoyo

llevo varias semanas probando el hAP y funciona realmente bien. Esta semana, al fin, voy a España, así que podré conectar el hEX y ver si funciona la configuración que hicimos. Ya he comprado en Barcelona un decodificador, así que lo tenemos todos.

sólo hay una cosa que creo estaría bien, que es poder acceder a la configuración del hAP cuando estoy fuera de UK. Aun usando el wg-rw-uk cuando estoy fuera de casa, tengo la ip de casa de UK, pero no logro acceder al router hAP y pienso que igual esta semana desde Barcelona igual lo necesito. ¿Qué opinas? ¿Cómo permito el acceso remoto al hAP?

Gracias!
 
soso75 dijo:
@pokoyo

llevo varias semanas probando el hAP y funciona realmente bien. Esta semana, al fin, voy a España, así que podré conectar el hEX y ver si funciona la configuración que hicimos. Ya he comprado en Barcelona un decodificador, así que lo tenemos todos.

sólo hay una cosa que creo estaría bien, que es poder acceder a la configuración del hAP cuando estoy fuera de UK. Aun usando el wg-rw-uk cuando estoy fuera de casa, tengo la ip de casa de UK, pero no logro acceder al router hAP y pienso que igual esta semana desde Barcelona igual lo necesito. ¿Qué opinas? ¿Cómo permito el acceso remoto al hAP?

Gracias!
Haz clic para expandir...
Con una simple regla de firewall que te permita el acceso al chain de input del router desde la subred rw de wireguard (o desde una IP concreta), y ya lo tienes.

Otra opción es meter la interfaz wireguard road warrior en la lista LAN. De esa manera, todo el que se conecte a esa interfaz tendrá acceso al router.

Saludos!
 
Última edición:
pokoyo dijo:
Con una simple regla de firewall que te permita el acceso al chain de input del router desde la subred rw de wireguard (o desde una IP concreta), y ya lo tienes.
Haz clic para expandir...

He optado por esta opción, peor ahí algo que no acabo de hacer bien creo

Firewallrule.JPG
 
Mejor así (la regla va delante de la de drop que tira todo tráfico que no venga de la LAN)

Código: 
/ip firewall filter
add action=accept chain=input comment="vpn: allow wg admin clients" \
  src-address=192.168.87.0/24 place-before=[find comment="defconf: drop all not coming from LAN"]

Si no me falla la memoria, en el hAP definimos el segmento 192.168.87.0/24 para los clientes de tipo road warrior. Si sólo quieres que un cliente en particular acceda, en lugar de la subred entera, especifica ahí la IP que quieras que tenga acceso remoto al equipo.

Saludos!
 
pokoyo dijo:
Mejor así (la regla va delante de la de drop que tira todo tráfico que no venga de la LAN)

Código: 
/ip firewall filter
add action=accept chain=input comment="vpn: allow wg admin clients" \
  src-address=192.168.87.0/24 place-before=[find comment="defconf: drop all not coming from LAN"]

Si no me falla la memoria, en el hAP definimos el segmento 192.168.87.0/24 para los clientes de tipo road warrior. Si sólo quieres que un cliente en particular acceda, en lugar de la subred entera, especifica ahí la IP que quieras que tenga acceso remoto al equipo.

Saludos!
Haz clic para expandir...

Hecho, funcionando perfectamente!! Gracias @pokoyo

el miércoles cuando ande por Barcelona, y conecte el hEX etc... os escribo y os cuento que tal todo y chequeamos que los bridge funcionan correctamente.
 
Buenos días @pokoyo

ya estoy en Barcelona y he instalado el hEX. Además le he asignado una ip fija, 192.168.1.50, y he abierto los puertos. En teoría todo está en su sitio.

El problema es que olvidé configurar mi pc portátil (donde tengo el WinBox) como un peer del wd-rw-uk, así que ahora no sé cómo chequear si el puente entre el hEX (de Barcelona) y hAP (de UK). Como peers del wd-rw-uk tengo mi movil, pero en el navegador web y en la app de MikroTik no se llegar a la parte del bridge del hAP para ver si ha cambiado el flag "RS".
 
Última edición:
soso75 dijo:
Buenos días @pokoyo

ya estoy en Barcelona y he instalado el hEX. Además le he asignado una ip fija, 192.168.1.50, y he abierto los puertos. En teoría todo está en su sitio.

El problema es que olvidé configurar mi pc portátil (donde tengo el WinBox) como un peer del wd-rw-uk, así que ahora no sé cómo chequear si el puente entre el hEX (de Barcelona) y hAP (de UK). Como peers del wd-rw-uk tengo mi movil, pero en el navegador web y en la app de MikroTik no se llegar a la parte del bridge del hAP para ver si ha cambiado el flag "RS".
Haz clic para expandir...
Configura en el portátil la misma conexión que tienes en el móvil, con los mismos detalles, y ya lo tienes.

Sino, en la app móvil, configura para que se vean más campos, y verás el flag de RS.

1655899957027.png
1655900153543.png


Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

E
Configuración Servidor/Cliente Wireguard
Respuestas
0
Visitas
1,070
Edu_rofe
D
  • Anclado
MANUAL: Mikrotik, integración con NordVPN (IKEv2 / Nordlynx)
3 4 5
Respuestas
81
Visitas
7,993
Oletros
pokoyo
  • Anclado
Manual: Mikrotik, VPN One to Many (L2TP + Netmap)
Respuestas
14
Visitas
1,722
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)
32 33 34
Respuestas
677
Visitas
59,954
pokoyo
G
Cliente Wireguard en HAP-Lite tras CG-NAT
2
Respuestas
22
Visitas
4,213
pokoyo
Arriba