Wireguard VPN (ROS 7.X) server-clients all OS

[jkarabas]

ο πρωτος κανονας ειναι filter.

Ναι στα filter rules κάνουμε accept την πόρτα του wireguard.

Τελικα εκανες κατι με route? εκανε κατι μονο του?

Όχι δεν έκανα τίποτα. Αυτόματα πρόσθεσε εγγραφή στα routes.

Το θέμα είναι ότι ο καθένας μας έχει το δικό του firewall με τους δικούς του κανόνες.
Την πόρτα την άνοιξες τελικά μέσα στο firewall; κάνε copy την πόρτα του ovpn που έχεις και φτιάξε τον ίδιο κανόνα για το wireguard.

[Nikiforos]

Τα εχω κανει ολα, οπως ειπα εχω wireguard στο raspi και δουλευε αψογα, το εβγαλα απο την μεση και ολα τα σχετικα εμειναν ιδια, αφου πρωτα ειχα δοκιμασει στην αλλη πορτα.
Δοκιμασα ΟΛΟΥΣ τους κανονες που εχετε γραψει ολοι εδω στο θεμα τιποτα δεν αλλαξε.
Δεν καταλαβαινω τι γινεται ΕΛΕΟΣ δλδ εχω φαει ωρες και αποτελεσμα μηδεν.

Εντωμεταξυ ειναι και μπερδεμα γιατι εχω το hap ac2 που εχει το ιντερνετ, ενω ολα τα αλλα ειναι στο 109.
Γιαυτο εβαλα του raspi μη μου ξεφυγει κατι αλλα παλι τα ιδια κανει.

- - - Updated - - -

ωπα ωπα οι ips μηπως πεφτουν μεσα στο 10.0.0.0/8 ? γιατι βλεπω τωρα οτι το hap κανει μια λουπα με το 433ΑΗ (awmn router).

- - - Updated - - -

οχι ακυρο τις ειχα κανει /32, τις εκανα /24 και τωρα pingarω ξανα, αλλα εσωτερικο δικτυο δεν βλεπω με τιποτα.

- - - Updated - - -

Το βρηκα!!!!

τελικα αυτοι οι 2 κανονες ηταν σε λαθος μηχανημα

add action=accept chain=input comment="Wireguard" in-interface=wireguard1
add action=accept chain=forward comment="Wireguard" in-interface=wireguard1

Αυτοι εφταιγαν στο 109 ηταν στην bridge λογω του raspi και ξεχασα να τους αλλαξω, και πριν τους εβαζα στο hap με λάθος φυσικα interface και δεν δουλευαν.
Τωρα ολα καλα!
Γενικα και στα 2 μηχανηματα γινεται της ποπης στο firewall (filter+nat) πρεπει να τα καθαρισω καποια στιγμη γιατι χανει η μανα το παιδι και το παιδι την μανα εκει μεσα...

- - - Updated - - -

Ερωτηση τωρα, αν καταλαβα καλα για να συνδεσω ας πουμε ενα mikrotik απλα κανω αλλο ενα peer? οχι αλλον server?

[jkoukos]

Δεν υπάρχει server/client στο wireguard. Όλοι είναι ισότιμοι και απλά για λόγους κατανόησης τους αναφέρουμε έτσι.
Μπορεί κάλλιστα ο καθένας να είναι "server" σε κάποιους "client" και ταυτόχρονα ο ίδιος "client" σε έναν ή περισσότερους "servers".

Αν ρωτάς για σύνδεση 2 απομακρυσμένων σημείων μέσω wireguard, που θέλεις να τα συνδέσεις και να επικοινωνούν σαν να ήταν ένα ενιαίο LAN (site to site VPN), τότε κάνεις τα ίδια (βάζεις τον 2ο ως peer) και απλά στον "server" συμπληρώνεις τα πεδία Endpoint IP (ΙΡ ή DDNS hostname), Endpoint Port (την οποία θα ανοίξεις στον απέναντι "client" router).
Τέλος καλό είναι να ορίσεις και στα 2 το Keepalive (π.χ. 25sec), ώστε να παραμένει ανοικτό το tunnel, από οποιοδήποτε site ξεκινά την επικοινωνία.

[jkarabas]

Το βρηκα!!!!

τελικα αυτοι οι 2 κανονες ηταν σε λαθος μηχανημα

Τέλεια.

Τέλος καλό είναι να ορίσεις και στα 2 το Keepalive (π.χ. 25sec), ώστε να παραμένει ανοικτό το tunnel, από οποιοδήποτε site ξεκινά την επικοινωνία.

Σωστή παρατήρηση. Άρα και στην μεριά του mikrotik (peer) θέλει το PersistentKeepalive = 00:00:25 και από την μεριά του client.

[BillyVan]

Επειδη θα το βρειτε μπροστα σας αν αλλάξει public ip ο σερβερ

Βαλτε το παρακατω σκριπτ στους clients.

(ειναι μαλλον bug του wireguard ΟΧΙ μονο στο Μικροτικ)

System / scripts
παταμε το +

:foreach Peer in=[ /interface/wireguard/peers/find ] do={ /interface/wireguard/peers/set $Peer endpoint-address=[ get $Peer endpoint-address ]; }

Στη συνεχεια απ το Scheduler το καλειτε να τρεχει ανα πχ 2-3 λεπτα.

/system script run (οτι ονομα δωσατε στο σκριπτ)

[jkarabas]

Επειδη θα το βρειτε μπροστα σας αν αλλάξει public ip ο σερβερ

Τι πρόβλημα ακριβώς παρουσιάζεται;
Επειδή το δοκίμασα χωρίς το script με νεα public ip, απλά επανέρχεται μετά από λίγα λεπτά.

[BillyVan]

Εχουν αναφερει οτι δεν κανει resolve συντομα...

Με το σκριπτακι παιζει 100%

[jkarabas]

Στο endpoint-address μέσα στα peers του mikrotik δεν έχω κάτι δηλωμένο.
Είναι όμως δηλωμένο στους clients.
Το αναφέρω σχετικά με το script αν θα δουλέψει.

[Nikiforos]

καλησπερα, γιατι αμα εχουμε noip ή mikrotik ip cloud δεν κανει δουλεια δλδ?
Δεν ισχυει οτι ειναι bug του wireguard, εχω πολυ καιρο και δεν εγινε ποτε με noip που ετρεχε ο client επανω στο raspi και μερικες φορες στον nas server.
Βεβαια η ip της inalan εκανε και ποσους μηνες καθε φορα να αλλαξει αλλα μερικες αλλαγες τις πετυχα.

- - - Updated - - -

Αυτο ομως το script ειναι ΜΟΝΟ για mikrotik client, δεν αφορα το προβλημα αλλα λειτουργικα σαν clients?
Στο raspi που ανεφερα εχω δοκιμασει μονο με πελατη android κινητο.

[jkoukos]

Σωστή παρατήρηση. Άρα και στην μεριά του mikrotik (peer) θέλει το PersistentKeepalive = 00:00:25 και από την μεριά του client.

Χρειάζεται μόνο σε site to site VPN όπου η σύνδεση είναι μόνιμη. Δεν χρειάζεται στην περίπτωση του client που συνδέεται περιστασιακά και όχι μόνιμα, αφού μόνο αυτός θα ξεκινά την επικοινωνία.
Η τιμή στο πεδίο αφορά δευτερόλεπτα. Οπότε βάζεις π.χ. 25 ή 120 ή ότι άλλο ανάλογα τον χρόνο που θέλεις.

- - - Updated - - -

Επειδη θα το βρειτε μπροστα σας αν αλλάξει public ip ο σερβερ

Σωστά, το είχα ξεχάσει. Σε OpenWrt έχουμε το wireguard_watchdog script.

Τι πρόβλημα ακριβώς παρουσιάζεται;

Το wireguard κάνει έλεγχο των hostnames μόνον κατά την εκκίνησή του και δημιουργεί τα κατάλληλα routes. Όταν ο "server" έχει σταθερή ΙΡ και την ορίζουμε στον "client", δεν υπάρχει θέμα.
Αυτό αλλάζει όμως στην περίπτωση χρήσης DDNS υπηρεσίας. Όταν ξεκινήσει το wireguard, όλα θα είναι ΟΚ. Αν όμως στο ενδιάμεσο αλλάξει η δημόσια ΙΡ, ναι μεν θα ενημερωθεί η DDNS υπηρεσία αλλά όχι το wireguard, καθώς δεν κάνει έλεγχο αυτόματα, παραμένοντας με τα προηγούμενα routes, οπότε δεν θα δουλεύει το tunnel.

Δεν υπάρχει ουσιαστικό θέμα σε "client" που περιστασιακά συνδέεται, διότι κάθε φορά στην εκκίνηση θα γίνεται αυτός ο έλεγχος. Θέμα υπάρχει με μόνιμες συνδέσεις ή/και σε περιστασιακή χρήση, μόνον όταν αλλάξει η δημόσια ΙΡ στο ενδιάμεσο.

[Nikiforos]

Εφτιαξα και το wireguard στο 951 το πηρα το καλαι! jkarabas εσωσα τον οδηγο σου και μου εχει λυσει τα χερια!
τωρα θελω να συνδεσω τα 2 mikrotik μεταξυ τους! το 109 + 951 δλδ ελπιζω να μην τα κανω μανταρα...

Αν εχω καταλαβει σωστα κανω ΜΟΝΟ peer στο καθενα και ip συνεχιζουμε ενα ενα νουμερο παραπανω σωστα?
πχ εχω την 10.5.0.2/32 στο κινητο, στο 951 θα ειναι η 10.5.0.3/32 ετσι δεν ειναι?

[BillyVan]

Σε τηλέφωνα δεν θα υπάρξει σοβαρό πρόβλημα μια και με ενα κλείσιμο / ανοιγμα του VPN όλα θα ειναι και πάλι ΟΚ.

Το πρόβλημα θα εμφανιστεί αν χρειάζεται 24/24 ωρο η σύνδεση και δεν είναι κανείς απέναντι να κανει το κλεισε / ανοιξε.

Το σκριπτακι παίζει απροβλημάτιστα.

Μπορειτε να το βάλετε κι ετσι

:foreach Peer in=[ /interface/wireguard/peers/find ] do={ /interface/wireguard/peers/set $Peer endpoint-port=[ get $Peer endpoint-port ]; }

αντι να κοιταζει το endpoint-address να κοιταζει την πορτα.

Και τα 2 ειναι απο μια ομαδα στο Telegram

Κώδικας:

 https://t.me/routeros_scripts

και δεν ειναι δικά μου...

Παίζει και με τους 2 τρόπους παντως.

[Nikiforos]

Αμα καταφερω να κανω τα mikrotikia να παιξουν μεταξυ τους θα το δοκιμασω.

- - - Updated - - -

Πρεπει να κανω server σε αλλη πορτα για το mikrotik τωρα? δεν βλεπω να γινεται μονο με peer. Με OVPN TCP ο καθε server δινει και σε φορητες συσκευες και σε mikrotik.

Βασικα το προβλημα ειναι οτι χωρις δευτερο wireguard interface πως θα δωσω ip ? απο κινητο γινεται, απο mikrotik σκετο peer δεν γινεται. Μου διαφευγει κατι?

- - - Updated - - -

Ενταξει εκανα νεα interface, τα εφτιαξα τωρα κανω ping απο την μια ip στου απεναντι. Αυριο παλι. Καλο βραδυ!

[jkarabas]

Έλειπα τώρα επέστρεψα. Ωραία χαίρομαι Νικηφόρε που πήρες φόρα. Είδες είναι πολύ απλό τελικά. Καλό βράδυ.

- - - Updated - - -

Το πρόβλημα θα εμφανιστεί αν χρειάζεται 24/24 ωρο η σύνδεση και δεν είναι κανείς απέναντι να κανει το κλεισε / ανοιξε.

Οκ τώρα είναι ξεκάθαρο. Εγώ πάντως παίζω με το άνοιγμα κλείσιμο προς το παρόν.
Πάντως το έβαλα και το script για να το έχω στο μέλλον.

- - - Updated - - -

Χρειάζεται μόνο σε site to site VPN όπου η σύνδεση είναι μόνιμη.

Τώρα το κατάλαβα που το ανέφερες.

- - - Updated - - -

Χρειάζεται μόνο σε site to site VPN όπου η σύνδεση είναι μόνιμη.

Τώρα το κατάλαβα που το ανέφερες.

Δεν υπάρχει ουσιαστικό θέμα σε "client" που περιστασιακά συνδέεται, διότι κάθε φορά στην εκκίνηση θα γίνεται αυτός ο έλεγχος. Θέμα υπάρχει με μόνιμες συνδέσεις ή/και σε περιστασιακή χρήση, μόνον όταν αλλάξει η δημόσια ΙΡ στο ενδιάμεσο.

Ήσουνα κατατοπιστικότατος ευχαριστώ.

[Nikiforos]

Ποιο απλο ειναι το στησιμο απο το ovpn, αλλα τωρα για να φτιαξω οτι εχω με το ovpn tcp μεταξυ του 109 και 951 πρεπει να μου βγει το λαδι.
απειροι κανονες στα filter, route και nat. Περναει το awmn μεσω αυτου και γινονται ωραια κολπα οπως αυτο με την πριζα wifi που ανεφερα καπου.
Mε το ovpn ειχα στο καθενα και server και client και το απεναντι εχει συνδεση και με τα 2 και σαν server και σαν client.
Δεν ξερω τωρα αν θα κανει τις ιδιες δουλειες το wireguard, θελει πολλες δοκιμες.
Και με προβληματιζει και αυτο που ειπαμε παραπανω με την public ip, οκ με την ιναλαν εχω βαλει πλεον static, αλλα η αλλη ακρη παιζει με noip και mikrotik ip cloud, εβαλα πλεον και ενα script επανω στο 951 για το noip.
Ποσα χρονια εχω το ovpn tcp ειναι σκυλι, περναω και voip δλδ δινω το σταθερο απο εδω εκει, και απο εκει εδω και εσωτερικα νουμερα, ο server asterisk ειναι εδω. Xρειαζεται 100% αξιοπιστια λοιπον.
Επισης μεσω των awmn ips βλεπω ολα τα μηχανηματα σαν να ειμαι τοπικα γιατι ετσι κι αλλιως βλεπονται τα subnets τους, ανηκουν ολα στο 10.0.0.0/8 (αυτο ειναι ολο το AWMN).

Kαι εκανα και πατατα πριν, βαση ενως οδηγου https://rickfreyconsulting.com/wireguard/ εβαλα 10.0.0.1 κτλ και αυτα ανηκουν στο awmn και εγινε μπαχαλεισον, εφαγα ωρα να καταλαβω τι εγινε, μαλλον αντι 10αρες επρεπε να εβαζα κατι αλλο.

- - - Updated - - -

Υ.Γ παντως στην σελιδα του awmn υπαρχει διευθυνσιοδοτηση και τσεκαρεις τα subnets αμα δεν το δειχνει δεν ειναι δικο τους.