Wireguard VPN (ROS 7.X) server-clients all OS

[Nikiforos]

Καλησπέρα, χρόνια πολλά!

Δεν βρήκα άλλο θέμα, οπότε για να μην μπερδευόμαστε στο θέμα της 7.1 ROS θα λέμε εδώ ΜΟΝΟ ότι αφορά το Wireguard VPN που πλέον με την 7.Χ είναι διαθέσιμο και όπως φαίνεται θα αντικαταστήσει το πετσοκομμένο OVPN της Mikrotik.

Ξεκινάω με μερικές σελίδες που έχω βρεί, σχετικά pdf και βιντεο.

https://help.mikrotik.com/docs/display/ROS/WireGuard

https://pgnetpro.bg/images/Presentat.../WireGuard.pdf

https://rickfreyconsulting.com/wireguard/

https://www.youtube.com/watch?v=lS4zeMACT3w&t=22s

Δοκιμαζω τωρα απο το 109 στο κινητο καταφερα να συνδεθω αλλα δεν περναει τιποτα ενω μετρανε οι μετρητες κινηση στον android client.

Μαλλον ειναι θεμα των φιλτρων του firewall οπως φαινεται γιατι βλεπω στην πρωτη σελιδα οτι δειχνει αρκετες καταχωρησεις.

Γενικα δειχνει πολυ ποιο ευκολο απο το ovpn αφου εδω δεν εχουμε αρχεια, αλλα εχει τελειως αλλιωτικο στησιμο και φιλοσοφια.

Για παραδειγμα δεν θελουμε dhcp pool, αλλα ουτε στο PPP-secrets και profiles.

- - - Updated - - -

καλα οτι νανε εκανα, το wireguard το εχω στο 109 που εχει την 7.1.1 και το ιντερνετ (DMZ με της ιναλαν) στο hap ac2, αντι να βαλω κανονες εκει τους εβαζα στο 109 και μαλιστα στο bridge που εχει εκτος το hap γιατι παιζει σε αλλη θυρα σαν WAN. ΛΟΛ!!!!
Επειδη θελει δουλιτσα και τωρα δεν εχω χρονο οταν φτιαξω το firewall και το routing ενημερωνω.

[romankonis]

Καλησπέρα και Καλά Χριστούγεννα

Το WireGuard VPN το έστησα μετά από την έκδοση 7.1.1, και δουλέυει άψογα, το συνιστώ σε όλους.

Mikrotik

/interface wireguard
add comment=VPN listen-port=13231 mtu=1420 name=wireguard1
/interface wireguard peers
add allowed-address=192.168.3.2/32 comment="Work Laptop" interface=\ #al.address - vazete oti thelete alla me /32 einai ip tou client sas.
wireguard1 persistent-keepalive=10s public-key=\
"PUBLIC KEY FROM WIREGUARD CLIENT"
/ip address
add address=192.168.3.1/24 interface=wireguard1 network=192.168.3.0
/ip firewall filter
add action=accept chain=forward comment="WireGuard: LAN - VPN" dst-address=\
192.168.3.0/24 src-address=192.168.1.0/24
add action=accept chain=forward comment="WireGuard: VPN - LAN" dst-address=\
192.168.1.0/24 src-address=192.168.3.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="VPN WireGuard - > LAN" \
dst-address=192.168.1.0/24 dst-address-list="Local network" \
src-address-list="WireGuard VPN"
/ip firewall address-list
add address=192.168.3.0/24 list="WireGuard VPN"

Windows/iOS Client WireGuard

Public key of client - Το κλειδι, αντιγράφεται και το βάζετε στο Peer (Mikrotik - "PUBLIC KEY FROM WIREGUARD CLIENT")

[Interface]
PrivateKey = *************(Θα δείτε αποκλειστικά δικό σας )
Address = 192.168.3.2/32

[Peer]
PublicKey = *************(Εδώ βάζετε το Public key από το Mikrotik wireguard1) η απλά με την εντολή /interface/wireguard print θα το δείτε.
AllowedIPs = 192.168.1.0/24, 192.168.3.0/24
Endpoint = **************:13231 (Εδώ το Static IP σας η DDNS) την πόρτα αφήστε by default.
PersistentKeepalive = 10

και στο τέλος πάτε router settings του παρόχου σας και κάντε port forward - 13231 UDP

Για τα κινητά φτιάχνετε new profile και απλά καταχωρείτε τα ίδια, εκτός από τα public keys και Address. Προσοχή, μια φορά φτιάχνετε wireguard server και τα υπολοιπα μόνο New Peers για κάθε συσκευή.

enJoy

[lghikas]

Γενικά είναι πολύ εύκολα τα πράγματα στο wireguard.

Για το βασικό στήσιμο στο ROS κάνεις τα εξής:

1. Δημιουργία wireguard interface

name:wg
MTU:1300 (για LTE COSMOTE, γενικά μείον 80 από το MTU της σύνδεσής μας)
listen port:13231 (την αλλάζουμε εάν θέλουμε
θα δημιουργηθεί αυτόματα ζευγάρι κλειδιών PRIVATE και PUBLIC
το PUBLIC θα το κάνεις COPY - PASTE στους CLIENTs
το κάνουμε ENABLE

2. Δηλώνουμε τους PEERS

Add new PEER
επιλέγουμε το wg interface
κάνουμε PASTE το PUBLIC key που έχει δημιουργήσει ο CLIENT-PEER που θέλουμε να προσθέσουμε (πχ Android τηλέφωνο)
Allowed Address βάζουμε την IP Που θα έχει ο PEER
πχ 10.0.0.2/32
Apply και enable

3. Δηλώνουμε IP στο interface wg
IP -> Addresses -> Add
Address: 10.0.0.1/24
Network: 10.0.0.0
Interface: wg
Apply και Enable

4. Firewall accept input 13231 UDP

5. Δηλώνουμε το interface "wg" ως LAN στα interface list.
όποιος δεν χρησιμοποιεί interface list θα πρέπει να φτιάξει αντίστοιχους κανόνες για το LAN του "wg"


romankonis γράφαμε μαζί

[Nikiforos]

καλησπερα, επισης, εχω βαλει στο 109 με την 7.1.1 και για κινητο android, συνδεομαι κανονικα μετραει κανονικα, κανω ping κανονικα απο το 109 αλλα δεν φτανω σε αλλα μηχανηματα.
μηπως εχω κανει πατατα με τις ips και δεν παιζει το routing?
εγω εχω δωσει 10.5.0.1/24 στο 109 στο interface και στο κινητο 10.5.0.2/24
Τα εχω κανει βασει των κανονων για το raspi wireguard που παιζουν ολα αψογα αλλα το μικροτικ δεν μας κανει την χαρη!

[romankonis]

καλησπερα, επισης, εχω βαλει στο 109 με την 7.1.1 και για κινητο android, συνδεομαι κανονικα μετραει κανονικα, κανω ping κανονικα απο το 109 αλλα δεν φτανω σε αλλα μηχανηματα.
μηπως εχω κανει πατατα με τις ips και δεν παιζει το routing?
εγω εχω δωσει 10.5.0.1/24 στο 109 στο interface και στο κινητο 10.5.0.2/24
Τα εχω κανει βασει των κανονων για το raspi wireguard που παιζουν ολα αψογα αλλα το μικροτικ δεν μας κανει την χαρη!

Firewall rulls - exp..

/ip firewall filter
add action=accept chain=forward comment="WireGuard: LAN - VPN" dst-address=\
192.168.3.0/24 src-address=192.168.1.0/24
add action=accept chain=forward comment="WireGuard: VPN - LAN" dst-address=\
192.168.1.0/24 src-address=192.168.3.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="VPN WireGuard - > LAN" \
dst-address=192.168.1.0/24 dst-address-list="Local network" \
src-address-list="WireGuard VPN"
/ip firewall address-list
add address=192.168.3.0/24 list="WireGuard VPN"

Mask /32 for clients.

[lghikas]

καλησπερα, επισης, εχω βαλει στο 109 με την 7.1.1 και για κινητο android, συνδεομαι κανονικα μετραει κανονικα, κανω ping κανονικα απο το 109 αλλα δεν φτανω σε αλλα μηχανηματα.
μηπως εχω κανει πατατα με τις ips και δεν παιζει το routing?
εγω εχω δωσει 10.5.0.1/24 στο 109 στο interface και στο κινητο 10.5.0.2/24
Τα εχω κανει βασει των κανονων για το raspi wireguard που παιζουν ολα αψογα αλλα το μικροτικ δεν μας κανει την χαρη!

Νικηφόρε,

Στον client πρέπει να δηλώσεις ποιο range θέλεις να βγαίνει μέσα από το wireguard.

όλο ? 0.0.0.0/0
μόνο 192.168.1.0/24
μόνο 10.5.0.0/24

εσύ δηλώνεις routing table στον client

[Nikiforos]

αν λες το allowed ip εχω βαλει 0.0.0.0/0
οπως ειπα εχω στο raspi με το ιδιο κινητο, οποτε εχω ολες τις ρυθμισεις, τα εχω κανει ολα ιδια.
Κανω ping κανονικα απο τα μηχανηματα απο αλλα απο το κινητο δεν τα βλεπω.
Μονο οι ips και η πορτα αλλαζει ολες οι ρυθμισεις ειναι ιδιες.
Δεν καταλαβαινω τι γινεται.

- - - Updated - - -

Βρηκα ενα route που φαινεται να γινεται αυτοματα και δινει το 10.5.0.0/24 να εχει gateway το ιδιο το interface του wireguard, ενω σε ολα τα αλλα vpn εχω δηλωμενες εγω καταχωρησεις που δινουν σαν gw το μηχανημα που εχει το vpn.
Αυτο δειχνει λαθος. Αλλα η ρουτα δεν βγαινει!
καμια ιδεα?

ip route print
DAc 10.5.0.0/24 wireguard-109 0

[lghikas]

ενδεικτικά με το παρακάτω config παίζει, και βλέπω κανονικά όλες τις συσκευές στο 192.168.1.0 πχ από το κινητό (στο κινητό έχω 0.0.0.0/0 allowed ips)

Κώδικας:

/interface wireguard add listen-port=13231 mtu=1300 name=wg

/interface list add name=WAN
/interface list add name=LAN

/ip neighbor discovery-settings set discover-interface-list=LAN

/interface list member add interface=bridge list=LAN
/interface list member add interface=lte1 list=WAN
/interface list member add interface=wg list=LAN

/interface wireguard peers add allowed-address=10.0.0.2/32 interface=wg public-key=""
/interface wireguard peers add allowed-address=10.0.0.3/32 interface=wg public-key=""
/interface wireguard peers add allowed-address=10.0.0.5/32 interface=wg public-key=""

/ip address add address=192.168.1.1/24 interface=bridge network=192.168.1.0
/ip address add address=10.0.0.1/24 interface=wg network=10.0.0.0

/ip firewall filter add action=accept chain=input connection-state=established,related
/ip firewall filter add action=drop chain=input connection-state=invalid
/ip firewall filter add action=accept chain=input dst-port=13231 protocol=udp
/ip firewall filter add action=drop chain=input in-interface-list=!LAN
/ip firewall filter add action=accept chain=forward connection-state=established,related
/ip firewall filter add action=drop chain=forward connection-state=invalid
/ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

Για να καταλάβω το setup σου θα πρέπει να κοιτάξω τον κώδικα για να βρεθεί μία λύση.

για το interface στο route, ναι πρέπει να σου βγάζει 10.5.0.0/24 με gateway 10.5.0.1%wg εάν έχεις δηλώσει 10.5.0.1 το Interface

[jkoukos]

Ότι ορίζουμε στο Allowed IPs στους clients, σημαίνει ότι μόνο σε αυτά τα υποδίκτυα θα μπορούν να συνδεθούν.
Π.χ. αν σε έναν client ορίσεις 192.168.1.0/24, 10.8.0.0/24 σημαίνει ότι μόνο σε αυτά τα 2 θα έχει πρόσβαση και σε κανένα άλλο. Πρόσβαση στο διαδίκτυο θα έχει μέσω της δική του (του client) σύνδεσης.
Για να βγει ο client στο διαδίκτυο μέσω του VPN, ορίζουμε 0.0.0.0/0.

Όλοι οι clients θα έχουν μοναδική ΙΡ στο εύρος του VPN και υποχρεωτικά μάσκα /32. Π.χ. αν το Wireguard έχει υποδίκτυο 10.5.0.0/24 με τον "server" να ακούει στην 10.5.0.1/24, ο κάθε client θα έχει 10.5.0.x/32.

[jkarabas]

Όλοι οι clients θα έχουν μοναδική ΙΡ στο εύρος του VPN και υποχρεωτικά μάσκα /32. Π.χ. αν το Wireguard έχει υποδίκτυο 10.5.0.0/24 με τον "server" να ακούει στην 10.5.0.1/24, ο κάθε client θα έχει 10.5.0.x/32.

Ακριβώς αυτό που λες ισχύει.
Επίσης Allowed ips έχω 0.0.0.0/0, ::/0

- - - Updated - - -

εγω εχω δωσει 10.5.0.1/24 στο 109 στο interface και στο κινητο 10.5.0.2/24

Στο κινητό θα βάλεις 10.5.0.2/32

- - - Updated - - -

Καλημέρα βρήκα λίγο χρόνο για να ανεβάσω κάποια screeinshots για το wireguard.
Ξεκινάμε λοιπόν με εικόνες:















Παράληψη ορίζουμε στο Persistent Keepalive = 00:00:25

Πάμε τώρα για client σε android















Παράληψη ορίζουμε στο Persistent Keepalive = 00:00:25

Οι παρακάτω κανόνες είναι απαραίτητοι στο firewall του Mikrotik

Κώδικας:

/ip firewall filter
add chain=input action=accept protocol=udp in-interface=<your WAN interface> dst-port=13231
add action=accept chain=input comment="Wireguard" in-interface=wireguard1
add action=accept chain=forward comment="Wireguard" in-interface=wireguard1

Κώδικας:

/ip firewall nat 
add chain=srcnat action=masquerade out-interface=<your WAN interface>  src-address=10.20.20.0/24
add chain=srcnat action=masquerade out-interface=<your Bridge interface>  src-address=10.20.20.0/24

[Nikiforos]

καλησπερα, ελειπα εκτος, θα τα δω ολα αργοτερα ενα ενα, ευχαριστω για τις απαντησεις σας και ενημερωνω.

- - - Updated - - -

Κανενας σας δεν εχει κανει ΝΑΤ για την πορτα του wireguard? ή δεν το δειχνετε?
Αυτο που βλεπω οτι λειπει ειναι το masquerate, αλλα σε κανενα αλλο VPN για εσωτερικο δικτυο δεν εχω και παιζουν αψογα.
Μasquerate εκανα οταν ηθελα πχ να δωσω ιντερνετ μεσω AWMN ή AWMN μεσω internet.
Και Φυσικα οταν δινω ιντερνετ πχ απο κινητη, απο pppoe, DMZ κτλ.
Ισως επειδη εγω δεν παιζω με τετοιες ips, τα δικα μου μηχανηματα ειναι ολα σε AWMN subnet και εδω και στο εξοχικο.
Εδω που εχω awmn δινω στο εξοχικο, το subnet για ολο το awmn ειναι το 10.0.0.0/8
Ισως ετσι περναει κατι και δεν ειναι απαραιτητο.
Επισης οσοι κανονες εχω με input και forward στα filter δεν μετρανε τιποτα οι counters, σε κανενα vpn απο τα αλλα μηχανηματα και παιζουν ολα.

Θα δοκιμασω και κανενα masquarate αλλα δε νομιζω να ειναι απο αυτο.
Επειδη δεν μου χρειαζεται το raspi το ξηλωσα και εκανα το wireguard του 109 πανω απο τις δικες του ρυθμισεις που επαιζε αψογα πολυ καιρο.
Και παλι εχω τα ιδια αποτελεσματα, αρα οτι εχει να κανει με firewall, filter, nat δε νομιζω να ειναι το προβλημα.

- - - Updated - - -

Υ.Γ jkarabas πολυ καλος ο οδηγος σου, thanks!!! θα τον σωσω καπως κιολας να τον εχω. Να τα ξανατσεκαρω ισως καπου εχω κανει λαθος.

- - - Updated - - -

Απο το κινητο και εγω εχω 0.0.0.0/0, οπως ειπα ειχα σε raspi πριν και ετσι ειχα στον client τις ρυθμισεις, ειδα εκεινες και εφτιαξα τις αλλες. Δεν παιζει να ειναι λαθος.
Πιστευω οτι φταιει η αυτοματη ρουτα. Σε ολα τα vpn το gw ειναι το μηχανημα που εχει το vpn, η αυτοματη δειχνει το interface του wireguard ειναι σωστο αυτο ?

[jkarabas]

Κανενας σας δεν εχει κανει ΝΑΤ για την πορτα του wireguard? ή δεν το δειχνετε?

ΝΑΤ θα γίνει σε περίπτωση που το wireguard τρέχει σε άλλη συσκευή και όχι στον ίδιο τον router.
Πχ. αν έχεις raspi που τρέχει wireguard τότε ναι θα κάνεις ΝΑΤ.
Τώρα εάν τρέχει στον ίδιο ρουτερ απλά δίνεις πρόσβαση για την πόρτα του στα filter rules.
To masquerade εγώ το χρησιμοποιώ σε όλα τα vpn που τρέχω μέσω του mikrotik για να έχουν οι clients internet.
Ίσως υπάρχει κανόνας σαν εναλλακτική που εγώ δεν τον χρησιμοποιώ.

[Nikiforos]

Α δεν δινω ιντερνετ εγω σε πελατες, εχουν το τοπικο.
Αυτο που λες θα ηταν χρησιμο αν θελαμε να παρουμε και την αλλη ip.

- - - Updated - - -

Αυτο που λεω εγω ειναι για την πορτα της υπηρεσιας δεν πρεπει να ανοιχτει?

- - - Updated - - -

Βαζεις καποιο route ή το κανει αυτοματα ? τα δοκιμασα τα masquerate δεν αλλαξε κατι δυστυχως.

- - - Updated - - -

Συνδεεται κανονικα γινονται ping, traceroute oι ips αλλα δεν βλεπω το δικτυο μου. Μεχρι και το pc μου φτανει το 10.5.0.2.

[jkarabas]

Αυτο που λεω εγω ειναι για την πορτα της υπηρεσιας δεν πρεπει να ανοιχτει?

Ναι πρέπει, την ανοίγω με τον πρώτο κανόνα που έχω στον οδηγό.

Βαζεις καποιο route ή το κανει αυτοματα ? τα δοκιμασα τα masquerate δεν αλλαξε κατι δυστυχως.

Τι πρόβλημα ακριβώς έχεις;

- - - Updated - - -

Α δεν δινω ιντερνετ εγω σε πελατες, εχουν το τοπικο.

Στη δική μου περίπτωση αν δεν έχω το masquerade όταν θα μπω με vpn δεν θα μπορώ να ανοίγω σελίδα.

- - - Updated - - -

Συνδεεται κανονικα γινονται ping, traceroute oι ips αλλα δεν βλεπω το δικτυο μου. Μεχρι και το pc μου φτανει το 10.5.0.2.

Εννοείς δεν βλέπεις τις local ips σου;

[Nikiforos]

ο πρωτος κανονας ειναι filter.
Nαι δεν βλεπω τιποτα στο εσωτερικο μου δικτυο. Απλα ειμαι συνδεδεμενος.
Απο το εσωτερικο μου δικτυο ομως βλεπω την ip του κινητου.

Τελικα εκανες κατι με route? εκανε κατι μονο του?
Γιατι εμενα βαζει εναν κανονα που εχει gw το interface, ενω σε ολα τα αλλα vpn ειναι στο μηχανημα που τα εχει!
Πιστευω οτι ειναι θεμα routing το προβλημα.
Τα τσεκαρα ολα ενα ενα ολα ειναι σωστα.

- - - Updated - - -

εδω βρηκα κατι σχετικο https://forum.mikrotik.com/viewtopic.php?f=1&t=171916 θα διερευνηθει!

- - - Updated - - -

παντως παρα πολλοι το ιδιο προβλημα βλεπω λυση δεν καταλαβαινω οτι βρηκα εγω τα εχω ηδη κανει.