Escogiendo routers VPN WireGuard: servidor y cliente

pokoyo dijo:
Configura en el portátil la misma conexión que tienes en el móvil, con los mismos detalles, y ya lo tienes.

Sino, en la app móvil, configura para que se vean más campos, y verás el flag de RS.



Saludos!
Haz clic para expandir...

Muchas gracias @pokoyo , al final entre el movil etc... he conseguido crear un nuevo peer, mi portátil, para el wd-rw-uk. Ahora mismo lo tengo conectado y puedo acceder al hAP (router UK) vía el WinBox.

Te pongo algunas capturas para comprobar si está funcionando bien el hEX y el puente:

picture 1.JPG
picture 2.JPG
 
No, el EoIP no está funcionando. Debería aparecer con el flag "RS"

Comprueba si desde la terminal de ambos routers haces ping a la IP de la interfaz wireguard el otro lado. Si eso funciona, te faltará aceptar el tráfico EoIP en input en UK.

Saludos!
 
pokoyo dijo:
No, el EoIP no está funcionando. Debería aparecer con el flag "RS"

Comprueba si desde la terminal de ambos routers haces ping a la IP de la interfaz wireguard el otro lado. Si eso funciona, te faltará aceptar el tráfico EoIP en input en UK.

Saludos!
Haz clic para expandir...

Desde el terminal del hAP, hago ping a172.17.0.1 que si no me equivoco es la interfaz site to site "wg-sts-es"
picture.JPG


Desde el terminal del hEX, hago ping a172.17.0.2 y parece que no llega...

picture2.JPG
 
El hEX tiene la IP local 172.17.0.2 (lo puedes ver en IP > Address, sobre la interfaz Wireguard) y el hAP, la 172.17.0.1. La idea es que pruebes a la inversa: desde el hEX probar si llegas a la ip del hAP y viceversa.

Si no llegas, revisa la apertura de puertos. Son UDP y tienes que abrir tantos como interfaces wireguard creases en el hEX (por si creaste dos, una site to site y otra RW)

Si enganchó cuando lo llevaste a casa de tu colega, de igual manera debe de enganchar aquí.

Si no lo hace, asegúrate de que los dominios DDNS estén resolviendo sendas ip’s públicas correctamente. Pasa a veces que tardan en actualizarse cuando se cambia la IP pública y se queda pillado un tiempo.

Otra cosa a revisar es que no hayas tocado la config vía webfig (acceso http vía navegador web al router). Hay un pequeño bug aún en webfig que hace que cuando editas los peers se borre el endpoint (la url) a la que apuntan. Y claro, sin peers donde apuntar, no enlazan.

Como ves, tener una segunda interfaz de road warrior para conectarte independientemente a ambos equipos, te puede salvar el culo en más de una ocasión.

Saludos!
 
pokoyo dijo:
El hEX tiene la IP local 172.17.0.2 (lo puedes ver en IP > Address, sobre la interfaz Wireguard) y el hAP, la 172.17.0.1. La idea es que pruebes a la inversa: desde el hEX probar si llegas a la ip del hAP y viceversa.
Haz clic para expandir...

esto creo que es lo que he probado y se pierden los paquetes: saliendo del hEX haciendo Ping al hAP

6AEE19BA-2E37-462A-9145-3390BCA6D44E.png


pokoyo dijo:
El hEX tiene la IP local 172.17.0.2 (lo puedes ver en IP > Address, sobre la interfaz Wireguard) y el hAP, la 172.17.0.1. La idea es que pruebes a la inversa: desde el hEX probar si llegas a la ip del hAP y viceversa.
Haz clic para expandir...
pokoyo dijo:
Si no llegas, revisa la apertura de puertos. Son UDP y tienes que abrir tantos como interfaces wireguard creases en el hEX (por si creaste dos, una site to site y otra RW)

Si enganchó cuando lo llevaste a casa de tu colega, de igual manera debe de enganchar aquí.

Si no lo hace, asegúrate de que los dominios DDNS estén resolviendo sendas ip’s públicas correctamente. Pasa a veces que tardan en actualizarse cuando se cambia la IP pública y se queda pillado un tiempo.

Otra cosa a revisar es que no hayas tocado la config vía webfig (acceso http vía navegador web al router). Hay un pequeño bug aún en webfig que hace que cuando editas los peers se borre el endpoint (la url) a la que apuntan. Y claro, sin peers donde apuntar, no enlazan.

Como ves, tener una segunda interfaz de road warrior para conectarte independientemente a ambos equipos, te puede salvar el culo en más de una ocasión.

Saludos!
Haz clic para expandir...

Luego reviso el listado de cosas que me indicas. Te voy contando. Muchas gracias.
 
pokoyo dijo:
Si no lo hace, asegúrate de que los dominios DDNS estén resolviendo sendas ip’s públicas correctamente. Pasa a veces que tardan en actualizarse cuando se cambia la IP pública y se queda pillado un tiempo.

Saludos!
Haz clic para expandir...

Este punto lo revisa porque tras el chequeo que hicimos llevando el hEX a otra casa, hicimos algunos pequeños cambios en tema DDNS por el Pi-hole… a ver si por ahí se rompió algo.
 
soso75 dijo:
Este punto lo revisa porque tras el chequeo que hicimos llevando el hEX a otra casa, hicimos algunos pequeños cambios en tema DDNS por el Pi-hole… a ver si por ahí se rompió algo.
Haz clic para expandir...
Dale un reinicio al hAP. Y, acto seguido, pasado un par de minutos, lo mismo al hEX.

Si sigue sin enganchar, me pasas un export de ambos y lo reviso en cuanto pueda.

¿hasta cuando estás allí?

Saludos!
 
pokoyo dijo:
Dale un reinicio al hAP. Y, acto seguido, pasado un par de minutos, lo mismo al hEX.

Si sigue sin enganchar, me pasas un export de ambos y lo reviso en cuanto pueda.

¿hasta cuando estás allí?

Saludos!
Haz clic para expandir...

Estoy revisando toda la configuración del hAP y del hEX, y en el hAP he visto una diferencia entre su configuración y mis notas: Esta captura es de la configuración de mi hAP:

Bridge.JPG


y en mis notas tengo esto otro, donde la MAC Address del bridge-iptv es diferente:

Notas.JPG


¿puede ser esto parte del problema? Estoy en Barcelona hasta el martes.
 
Mientras que no tengas las MAC repetidas en los extremos, no hay problema. Se generan solas cuando creas el bridge. El principal, lleva la MAC del primer puerto que se añade a él (normalmente, ether2).

Lo dicho, pásame ambos export (si prefieres por privado) y los reviso a conciencia.

Saludos!
 
pokoyo dijo:
Mientras que no tengas las MAC repetidas en los extremos, no hay problema. Se generan solas cuando creas el bridge. El principal, lleva la MAC del primer puerto que se añade a él (normalmente, ether2).

Lo dicho, pásame ambos export (si prefieres por privado) y los reviso a conciencia.

Saludos!
Haz clic para expandir...

Te acabo de pasar las configuraciones en formato código, si prefieres los archivos, me dices y te los paso. Mil gracias

Parece que lo que falla es del hEX haciendo Ping al hAP.

En el router Movistar del que cuelga el hEX, he abierto un par de puertos:

1655933120714.png


además de fijarle al hEX la ip 192.168.1.50
 
No veo nada raro, ambos equipos parecen perfectos. Si quieres, prueba a abrir los puertos en el HGU de manera individual. Además de eso, asegúrate de que al mikrotik ya se le está entregando esa IP 192.168.1.50 (lo puedes ver en IP - > Address)

Saludos!
 
pokoyo dijo:
No veo nada raro, ambos equipos parecen perfectos. Si quieres, prueba a abrir los puertos en el HGU de manera individual. Además de eso, asegúrate de que al mikrotik ya se le está entregando esa IP 192.168.1.50 (lo puedes ver en IP - > Address)

Saludos!
Haz clic para expandir...

Hecho, he puesto los puertos por separado y he reseteado ambos equipos, primero el hAP y luego el hEX.

Ahora hago ping desde el hEX al hAP y funciona:

Captura.JPG


hago ping desde el hAP al hEX y funciona

Captura2.JPG


pero parece que el flag no cambia...

Captura3.JPG


¿podría ser que este setting del Pi-hole esté dando guerra?

Captura4.JPG
 
Perdona, revisa que te revisa, veo algo que no entiendo: Cuando llevé el hEX a casa de mi amigo, veo en nuestros mensajes privados que tenemos que yo hice un ping desde el hAP al hEX, como "ping 172.17.0.2" y devolvía buenos resultados:

1655937032665.png


pero en cambio ahora desde el winbox del hAP, veo que estoy haciendo ping 172.17.0.1 , ¿no tiene sentido, no?

1655937096177.png


¿me estoy liando en algo, verdad?
 
No, no tiene sentido, te está liando. La 172.17.0.1 es una ip de una interfaz del hAP, es decir, algo local que siempre va a responder si lo llamas desde el propio equipo. Lo mismo que la 172.17.0.2, si la llamas desde el hEX.

La prueba para ver que el túnel levanta es hacer ping al lado opuesto. El decir, desde el hAP a la .2 y desde el hEX a la .1. Lo cual supongo que sigue sin funcionarte, de otra manera verías el túnel EoIP levantar de inmediato y ponerse con el flag RS.

Vamos a tratar de ver de dónde viene el problema. Activa el log del wireguard en ambos equipos, a ver qué pinta, y si nos da una pista de por dónde van los tiros: System -> Logging -> Rule (pestaña) -> (+)

1655963823644.png


Lo haces en ambos equipos y los reinicias. Una vez reiniciado, deberías ver mensajes como este:

1655963977680.png


Si ves mensajes como estos otros, es que hay algún problemas con los peers.
1655964117928.png



Con respecto al pi-hole, que veo que te preocupa: la resolución de nombres que hace el propio router lo hace con los servidores seteados en IP -> DNS. Ahí podrás ver que tienes los servidores públicos de Cloudflare en ambos equipos. El pantallazo de pi-hole sólo te afecta si vas a querer usarlo en remoto (por ejemplo, desde una conexión road warrior). En ese caso, no marques la opción que resaltas de "Allow only local requests" y pasa a seleccionar la que pone "Respond only on interface eth0"

Otra cosa que cambiaría, por mera estética, es el nombre del DDNS en el peer que representa el router de España en el hAP. Lo tienes con mayúsculas, no sé si recuerdas porque metimos el número de serie a mano. En ese peer, yo configuraría la dirección todo en minúsculas.

Saludos!
 
Muchas gracias. Tengo la mañana un poco liada pero esta tarde hago los cambios sugeridos y te voy contando.
 
pokoyo dijo:
No, no tiene sentido, te está liando. La 172.17.0.1 es una ip de una interfaz del hAP, es decir, algo local que siempre va a responder si lo llamas desde el propio equipo. Lo mismo que la 172.17.0.2, si la llamas desde el hEX.

La prueba para ver que el túnel levanta es hacer ping al lado opuesto. El decir, desde el hAP a la .2 y desde el hEX a la .1. Lo cual supongo que sigue sin funcionarte, de otra manera verías el túnel EoIP levantar de inmediato y ponerse con el flag RS.
Haz clic para expandir...

Aclarado. Acabo de probar, y como era de esperar, al hacer ping del hAP a la .2 y no funciona. Lo mismo del hEX a la .01 y no funciona.


pokoyo dijo:
Vamos a tratar de ver de dónde viene el problema. Activa el log del wireguard en ambos equipos, a ver qué pinta, y si nos da una pista de por dónde van los tiros: System -> Logging -> Rule (pestaña) -> (+)

Ver el adjunto 96309

Lo haces en ambos equipos y los reinicias. Una vez reiniciado, deberías ver mensajes como este:

Ver el adjunto 96312

Si ves mensajes como estos otros, es que hay algún problemas con los peers.
Ver el adjunto 96315
Haz clic para expandir...

Hecho activado el log para wireguard en ambos equipos y reiniciados.

pokoyo dijo:
Con respecto al pi-hole, que veo que te preocupa: la resolución de nombres que hace el propio router lo hace con los servidores seteados en IP -> DNS. Ahí podrás ver que tienes los servidores públicos de Cloudflare en ambos equipos. El pantallazo de pi-hole sólo te afecta si vas a querer usarlo en remoto (por ejemplo, desde una conexión road warrior). En ese caso, no marques la opción que resaltas de "Allow only local requests" y pasa a seleccionar la que pone "Respond only on interface eth0"
Haz clic para expandir...

He dejado el Pi-hole de este modo: "Respond only on interface eth0"

pokoyo dijo:
Otra cosa que cambiaría, por mera estética, es el nombre del DDNS en el peer que representa el router de España en el hAP. Lo tienes con mayúsculas, no sé si recuerdas porque metimos el número de serie a mano. En ese peer, yo configuraría la dirección todo en minúsculas.

Saludos!
Haz clic para expandir...

Cambio ejecutado en el hAP, cambiado en el peer el DDNS del hEX a minúsculas.

Log del hAP tras reinicio:

1655969226043.png


Log del hEX tras reinicio:

1655969281000.png
 
Ese último mensaje de "eoip-iptv" link up tiene buena pinta. ¿Aparece ahora con RS en alguno de los dos extremos el EoIP?

Saludos!
 
pokoyo dijo:
Ese último mensaje de "eoip-iptv" link up tiene buena pinta. ¿Aparece ahora con RS en alguno de los dos extremos el EoIP?

Saludos!
Haz clic para expandir...

Pues los cambios que hemos hecho no parecían muy relevantes... pero el caso es que ahora está funcionando:

Captura del hEX:

1655983705382.png


Ping del hEX al hAP:

1655983775798.png


y captura del hAP:

1655984094968.png


Ping del hAP al hEX:

1655984170225.png


Así que parece que lo tenemos todo funcionado!!!! ahora hago backup de hAP y hEX. Ya tengo el deco en la mochila, previamente lo he enchufado en casa, actualizado etc... , listo para el miércoles al llegar a UK, conectarlo y ver si la magia se hace...

Gracias por todo @pokoyo
 
soso75 dijo:
Pues los cambios que hemos hecho no parecían muy relevantes... pero el caso es que ahora está funcionando:

Captura del hEX:

Ver el adjunto 96327

Ping del hEX al hAP:

Ver el adjunto 96330

y captura del hAP:

Ver el adjunto 96333

Ping del hAP al hEX:

Ver el adjunto 96336

Así que parece que lo tenemos todo funcionado!!!! ahora hago backup de hAP y hEX. Ya tengo el deco en la mochila, previamente lo he enchufado en casa, actualizado etc... , listo para el miércoles al llegar a UK, conectarlo y ver si la magia se hace...

Gracias por todo @pokoyo
Haz clic para expandir...
Puede que el DNS no reconozca los nombres en mayúscula. ¿Llegaste a cambiar el endoint a minúscula en el hAP?

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

E
Configuración Servidor/Cliente Wireguard
Respuestas
0
Visitas
1,017
Edu_rofe
D
  • Anclado
MANUAL: Mikrotik, integración con NordVPN (IKEv2 / Nordlynx)
2 3 4
Respuestas
70
Visitas
5,513
ZoNkeD
pokoyo
  • Anclado
Manual: Mikrotik, VPN One to Many (L2TP + Netmap)
Respuestas
7
Visitas
990
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik, WireGuard VPN a fondo (RW + STS)
30 31 32
Respuestas
622
Visitas
52,407
pokoyo
G
Cliente Wireguard en HAP-Lite tras CG-NAT
2
Respuestas
22
Visitas
3,926
pokoyo
Arriba