Wireguard VPN (ROS 7.X) server-clients all OS

**deniSun** · 03-08-23, 15:41

Το conf που σας έλεγα για ipv6 support (είναι συμπληρωματικά αυτού):

Spoiler:

Σχόλια:
1. Δεν χρειάζεται dhcpv6 server όπως διάβασα σε πολλά manual.
2. Παίζει με ula v6. Μπορείτε να δηλώσετε οποιαδήποτε ν6 διεύθυνση στο subnet: fd00::/8
3. Δεν χρειάζεται να ανοίξετε πόρτες για το ν6 αφού δεν έχει κανένα νόημα κάτι τέτοιο,
παρά μόνο αν θέλετε να συνδέεστε στο ΜΤ μέσω ν6 αντί ν4 (δεν βρίσκω καμία χρησιμότητα αυτού).
4. Με τα παραπάνω περνάτε όλα τα τεστ για ν6
και μπορείτε να δώσετε οποιοδήποτε ping -6, tracertoute -6 για να δείτε ότι οι δρομολογήσεις γίνονται κανονικά.
5. Το πρόβλημα που υπάρχει το αναφέρω παραπάνω και δεν έχω βρει ακόμα λύση.

**Cuore Sportivo** · 04-08-23, 12:36

Καλησπέρα,
Έχω στήσει ένα site to site WireGuard VPN μεταξύ δύο MT το οποίο δουλεύει μια χαρά, ωστόσο έχω δύο θεματάκια.

Από το δίκτυο 1 (192.168.1.x/24) δε μπορώ να κάνω access μέσω WinBox to interface του ΜΤ στο δικτυο 2 (192.168.11.x/24) καθώς και αντίστροφα. Σε όλα τα άλλα resources έχω κανονικά access.
Στο δίκτυο 1, πλην του WireGuard για τον site to site VPN (wireguard1), υπάρχει και ένα δεύτερο interface (wireguard2) το οποίο τρέχει σε άλλο port για client (Windows laptops) VPN. Κι αυτό δουλεύει απροβλημάτιστα, ωστόσο δεν έχω access στα resources του ΜΤ2.
Στα allowed IPs και του Peer και του WireGuard client έχω δηλώσει όλες τις διαθέσιμες IP (0.0.0.0/0).

**deniSun** · 04-08-23, 22:16

Αρχικό μήνυμα από Cuore Sportivo

Από το δίκτυο 1 (192.168.1.x/24) δε μπορώ να κάνω access μέσω WinBox to interface του ΜΤ στο δικτυο 2 (192.168.11.x/24) καθώς και αντίστροφα. Σε όλα τα άλλα resources έχω κανονικά access.

Λογικά έχεις περιορισμό στα winbox. πχ:

Κώδικας:

IP > Services
	api, api-ssl, ftp, ssh, telnet, www > Disable
	winbox
		Available From: 192.168.5.0/24
						192.168.55.0/24

Αρχικό μήνυμα από Cuore Sportivo

Στο δίκτυο 1, πλην του WireGuard για τον site to site VPN (wireguard1), υπάρχει και ένα δεύτερο interface (wireguard2) το οποίο τρέχει σε άλλο port για client (Windows laptops) VPN. Κι αυτό δουλεύει απροβλημάτιστα, ωστόσο δεν έχω access στα resources του ΜΤ2.
Στα allowed IPs και του Peer και του WireGuard client έχω δηλώσει όλες τις διαθέσιμες IP (0.0.0.0/0).

Αν εννοείς ότι δεν μπορείς να δεις με winbox το ΜΤ2 ισχύει το προηγούμενο.

**Cuore Sportivo** · 08-08-23, 11:28

Θενξ deniSun! Δυστυχώς δεν έχω κάποιο περιορισμό στις IPs που μπορούν να συνδεθούν στο WinBox οπότε κάτι άλλο κόβει τη σύνδεση.

**BillyVan** · 08-08-23, 12:06

Δεν του λες ομως του καθενος Μικροτικ απο που θα παει να βρει το αλλο.

Θελεις στατικ ρουτ μεσω της vpn ip του καθενος για το απεναντι subnet του τοπικου δικτυου.

**Cuore Sportivo** · 08-08-23, 13:40

Έχω δημιουργήσει ένα static route στο οποίο έχω βάλει ως dst address την (192.168.x.0/24) του απέναντι ΜΤ και ως gateway την IP του vpn tunnel. Έχω πρόσβαση σε όλα τα resources που υπάρχουν στο απέναντι δίκτυο, εκτός του ίδιου του απέναντι ΜΤ.

**BillyVan** · 08-08-23, 14:09

Tα αντιστοιχα subnets τα εχεις και στο allow του peer?

**Cuore Sportivo** · 08-08-23, 14:29

Κι αυτά περασμένα είναι, αλλά τελικά βρέθηκε η λύση....
Έπρεπε να πάω στο Interfaces/Interface list και να δηλώσω το wireguard που ως LAN, το οποίο βέβαια δεν ξέρω πόσο safe είναι.

**BillyVan** · 08-08-23, 15:16

Με μισολογα προσπαθησαμε να σε βοηθησουμε.

Αλλο θεμα εχεις και ειναι στο firewall.

**deniSun** · 08-08-23, 18:10

Αρχικό μήνυμα από Cuore Sportivo

Θενξ deniSun! Δυστυχώς δεν έχω κάποιο περιορισμό στις IPs που μπορούν να συνδεθούν στο WinBox οπότε κάτι άλλο κόβει τη σύνδεση.

Λογικά στο ΝΑΤ έχεις θέμα.
Θα ΝΑΤάρεις μόνο την κίνηση προς τα έξω και όχι αυτή που σχετίζεται με τα εσωτερικά δίκτυα των ΜΤ.
Τι δήλωση έχεις για ΝΑΤ;

**jkarabas** · 09-08-23, 08:04

Αρχικό μήνυμα από Cuore Sportivo

Έπρεπε να πάω στο Interfaces/Interface list και να δηλώσω το wireguard που ως LAN, το οποίο βέβαια δεν ξέρω πόσο safe είναι.

Καλημέρα
Το παραπάνω είναι τεράστιο λάθος. Ποτέ δεν δηλώνουμε τα vpns σε LAN είτε είναι Lists είτε είναι Interfaces, για λόγους ασφαλείας.
Το θέμα σου είναι στο firewall.

**deniSun** · 09-08-23, 09:36

Αρχικό μήνυμα από jkarabas

Καλημέρα
Το παραπάνω είναι τεράστιο λάθος. Ποτέ δεν δηλώνουμε τα vpns σε LAN είτε είναι Lists είτε είναι Interfaces, για λόγους ασφαλείας.
Το θέμα σου είναι στο firewall.

Απολύτως κανένα πρόβλημα δεν υπάρχει.
Εκτός και αν δεν έχεις ορίσει σωστά που θα έχουν πρόσβαση οι δηλώσεις LAN.

**Cuore Sportivo** · 09-08-23, 11:19

Καλημέρα,
Στο firewall έχω κρατήσει τα default filter rules. Για το στήσιμο του WG προσέθεσα το

/ip/firewall/filter
add action=accept chain=input dst-port=13231 protocol=udp src-address="AddressList" place-before=1

Σαν source address έχω φτιάξει ένα address list το domain name του απέναντι MT.

**deniSun** · 09-08-23, 11:26

Αρχικό μήνυμα από Cuore Sportivo

Σαν source address έχω φτιάξει ένα address list το domain name του απέναντι MT.

Γιατί το παιδεύεται τόσο δεν καταλαβαίνω;
Γιατί να δηλώσεις src-address;
Φοβάσαι μήπως κάποιος αποκτήσει πρόσβαση;
Πώς θα το έκανε αυτό αν δεν είχες δηλωμένο το src-address;

**jkarabas** · 09-08-23, 12:35

Αρχικό μήνυμα από deniSun

Απολύτως κανένα πρόβλημα δεν υπάρχει.
Εκτός και αν δεν έχεις ορίσει σωστά που θα έχουν πρόσβαση οι δηλώσεις LAN.

Καλό είναι να το αποφεύγουμε πάντως.

Θέμα: Wireguard VPN (ROS 7.X) server-clients all OS

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές