Ναι στα filter rules κάνουμε accept την πόρτα του wireguard.
Όχι δεν έκανα τίποτα. Αυτόματα πρόσθεσε εγγραφή στα routes.
Το θέμα είναι ότι ο καθένας μας έχει το δικό του firewall με τους δικούς του κανόνες.
Την πόρτα την άνοιξες τελικά μέσα στο firewall; κάνε copy την πόρτα του ovpn που έχεις και φτιάξε τον ίδιο κανόνα για το wireguard.
Εμφάνιση 16-30 από 292
-
26-12-21, 22:32 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #16
Τελευταία επεξεργασία από το μέλος jkarabas : 26-12-21 στις 22:38.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
27-12-21, 00:32 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #17
Τα εχω κανει ολα, οπως ειπα εχω wireguard στο raspi και δουλευε αψογα, το εβγαλα απο την μεση και ολα τα σχετικα εμειναν ιδια, αφου πρωτα ειχα δοκιμασει στην αλλη πορτα.
Δοκιμασα ΟΛΟΥΣ τους κανονες που εχετε γραψει ολοι εδω στο θεμα τιποτα δεν αλλαξε.
Δεν καταλαβαινω τι γινεται ΕΛΕΟΣ δλδ εχω φαει ωρες και αποτελεσμα μηδεν.
Εντωμεταξυ ειναι και μπερδεμα γιατι εχω το hap ac2 που εχει το ιντερνετ, ενω ολα τα αλλα ειναι στο 109.
Γιαυτο εβαλα του raspi μη μου ξεφυγει κατι αλλα παλι τα ιδια κανει.
- - - Updated - - -
ωπα ωπα οι ips μηπως πεφτουν μεσα στο 10.0.0.0/8 ? γιατι βλεπω τωρα οτι το hap κανει μια λουπα με το 433ΑΗ (awmn router).
- - - Updated - - -
οχι ακυρο τις ειχα κανει /32, τις εκανα /24 και τωρα pingarω ξανα, αλλα εσωτερικο δικτυο δεν βλεπω με τιποτα.
- - - Updated - - -
Το βρηκα!!!!
τελικα αυτοι οι 2 κανονες ηταν σε λαθος μηχανημα
add action=accept chain=input comment="Wireguard" in-interface=wireguard1
add action=accept chain=forward comment="Wireguard" in-interface=wireguard1
Αυτοι εφταιγαν στο 109 ηταν στην bridge λογω του raspi και ξεχασα να τους αλλαξω, και πριν τους εβαζα στο hap με λάθος φυσικα interface και δεν δουλευαν.
Τωρα ολα καλα!
Γενικα και στα 2 μηχανηματα γινεται της ποπης στο firewall (filter+nat) πρεπει να τα καθαρισω καποια στιγμη γιατι χανει η μανα το παιδι και το παιδι την μανα εκει μεσα...
- - - Updated - - -
Ερωτηση τωρα, αν καταλαβα καλα για να συνδεσω ας πουμε ενα mikrotik απλα κανω αλλο ενα peer? οχι αλλον server?
-
27-12-21, 00:49 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #18
Δεν υπάρχει server/client στο wireguard. Όλοι είναι ισότιμοι και απλά για λόγους κατανόησης τους αναφέρουμε έτσι.
Μπορεί κάλλιστα ο καθένας να είναι "server" σε κάποιους "client" και ταυτόχρονα ο ίδιος "client" σε έναν ή περισσότερους "servers".
Αν ρωτάς για σύνδεση 2 απομακρυσμένων σημείων μέσω wireguard, που θέλεις να τα συνδέσεις και να επικοινωνούν σαν να ήταν ένα ενιαίο LAN (site to site VPN), τότε κάνεις τα ίδια (βάζεις τον 2ο ως peer) και απλά στον "server" συμπληρώνεις τα πεδία Endpoint IP (ΙΡ ή DDNS hostname), Endpoint Port (την οποία θα ανοίξεις στον απέναντι "client" router).
Τέλος καλό είναι να ορίσεις και στα 2 το Keepalive (π.χ. 25sec), ώστε να παραμένει ανοικτό το tunnel, από οποιοδήποτε site ξεκινά την επικοινωνία.Τελευταία επεξεργασία από το μέλος jkoukos : 27-12-21 στις 00:58.
-
27-12-21, 10:59 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #19CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
27-12-21, 13:48 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #20
Επειδη θα το βρειτε μπροστα σας αν αλλάξει public ip ο σερβερ
Βαλτε το παρακατω σκριπτ στους clients.
(ειναι μαλλον bug του wireguard ΟΧΙ μονο στο Μικροτικ)
System / scripts
παταμε το +
:foreach Peer in=[ /interface/wireguard/peers/find ] do={ /interface/wireguard/peers/set $Peer endpoint-address=[ get $Peer endpoint-address ]; }
Στη συνεχεια απ το Scheduler το καλειτε να τρεχει ανα πχ 2-3 λεπτα.
/system script run (οτι ονομα δωσατε στο σκριπτ)
-
27-12-21, 14:31 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #21CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
27-12-21, 16:12 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #22
Εχουν αναφερει οτι δεν κανει resolve συντομα...
Με το σκριπτακι παιζει 100%
-
27-12-21, 16:21 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #23
Στο endpoint-address μέσα στα peers του mikrotik δεν έχω κάτι δηλωμένο.
Είναι όμως δηλωμένο στους clients.
Το αναφέρω σχετικά με το script αν θα δουλέψει.CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
27-12-21, 17:05 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #24
καλησπερα, γιατι αμα εχουμε noip ή mikrotik ip cloud δεν κανει δουλεια δλδ?
Δεν ισχυει οτι ειναι bug του wireguard, εχω πολυ καιρο και δεν εγινε ποτε με noip που ετρεχε ο client επανω στο raspi και μερικες φορες στον nas server.
Βεβαια η ip της inalan εκανε και ποσους μηνες καθε φορα να αλλαξει αλλα μερικες αλλαγες τις πετυχα.
- - - Updated - - -
Αυτο ομως το script ειναι ΜΟΝΟ για mikrotik client, δεν αφορα το προβλημα αλλα λειτουργικα σαν clients?
Στο raspi που ανεφερα εχω δοκιμασει μονο με πελατη android κινητο.
-
27-12-21, 17:22 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #25
Χρειάζεται μόνο σε site to site VPN όπου η σύνδεση είναι μόνιμη. Δεν χρειάζεται στην περίπτωση του client που συνδέεται περιστασιακά και όχι μόνιμα, αφού μόνο αυτός θα ξεκινά την επικοινωνία.
Η τιμή στο πεδίο αφορά δευτερόλεπτα. Οπότε βάζεις π.χ. 25 ή 120 ή ότι άλλο ανάλογα τον χρόνο που θέλεις.
- - - Updated - - -
Σωστά, το είχα ξεχάσει. Σε OpenWrt έχουμε το wireguard_watchdog script.
Το wireguard κάνει έλεγχο των hostnames μόνον κατά την εκκίνησή του και δημιουργεί τα κατάλληλα routes. Όταν ο "server" έχει σταθερή ΙΡ και την ορίζουμε στον "client", δεν υπάρχει θέμα.
Αυτό αλλάζει όμως στην περίπτωση χρήσης DDNS υπηρεσίας. Όταν ξεκινήσει το wireguard, όλα θα είναι ΟΚ. Αν όμως στο ενδιάμεσο αλλάξει η δημόσια ΙΡ, ναι μεν θα ενημερωθεί η DDNS υπηρεσία αλλά όχι το wireguard, καθώς δεν κάνει έλεγχο αυτόματα, παραμένοντας με τα προηγούμενα routes, οπότε δεν θα δουλεύει το tunnel.
Δεν υπάρχει ουσιαστικό θέμα σε "client" που περιστασιακά συνδέεται, διότι κάθε φορά στην εκκίνηση θα γίνεται αυτός ο έλεγχος. Θέμα υπάρχει με μόνιμες συνδέσεις ή/και σε περιστασιακή χρήση, μόνον όταν αλλάξει η δημόσια ΙΡ στο ενδιάμεσο.
-
27-12-21, 20:21 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #26
Εφτιαξα και το wireguard στο 951 το πηρα το καλαι! jkarabas εσωσα τον οδηγο σου και μου εχει λυσει τα χερια!
τωρα θελω να συνδεσω τα 2 mikrotik μεταξυ τους! το 109 + 951 δλδ ελπιζω να μην τα κανω μανταρα...
Αν εχω καταλαβει σωστα κανω ΜΟΝΟ peer στο καθενα και ip συνεχιζουμε ενα ενα νουμερο παραπανω σωστα?
πχ εχω την 10.5.0.2/32 στο κινητο, στο 951 θα ειναι η 10.5.0.3/32 ετσι δεν ειναι?
-
27-12-21, 20:30 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #27
Σε τηλέφωνα δεν θα υπάρξει σοβαρό πρόβλημα μια και με ενα κλείσιμο / ανοιγμα του VPN όλα θα ειναι και πάλι ΟΚ.
Το πρόβλημα θα εμφανιστεί αν χρειάζεται 24/24 ωρο η σύνδεση και δεν είναι κανείς απέναντι να κανει το κλεισε / ανοιξε.
Το σκριπτακι παίζει απροβλημάτιστα.
Μπορειτε να το βάλετε κι ετσι
:foreach Peer in=[ /interface/wireguard/peers/find ] do={ /interface/wireguard/peers/set $Peer endpoint-port=[ get $Peer endpoint-port ]; }
αντι να κοιταζει το endpoint-address να κοιταζει την πορτα.
Και τα 2 ειναι απο μια ομαδα στο TelegramΚώδικας:https://t.me/routeros_scripts
Παίζει και με τους 2 τρόπους παντως.
-
27-12-21, 21:48 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #28
Αμα καταφερω να κανω τα mikrotikia να παιξουν μεταξυ τους θα το δοκιμασω.
- - - Updated - - -
Πρεπει να κανω server σε αλλη πορτα για το mikrotik τωρα? δεν βλεπω να γινεται μονο με peer. Με OVPN TCP ο καθε server δινει και σε φορητες συσκευες και σε mikrotik.
Βασικα το προβλημα ειναι οτι χωρις δευτερο wireguard interface πως θα δωσω ip ? απο κινητο γινεται, απο mikrotik σκετο peer δεν γινεται. Μου διαφευγει κατι?
- - - Updated - - -
Ενταξει εκανα νεα interface, τα εφτιαξα τωρα κανω ping απο την μια ip στου απεναντι. Αυριο παλι. Καλο βραδυ!
-
27-12-21, 22:04 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #29
Έλειπα τώρα επέστρεψα. Ωραία χαίρομαι Νικηφόρε που πήρες φόρα. Είδες είναι πολύ απλό τελικά. Καλό βράδυ.
- - - Updated - - -
Οκ τώρα είναι ξεκάθαρο. Εγώ πάντως παίζω με το άνοιγμα κλείσιμο προς το παρόν.
Πάντως το έβαλα και το script για να το έχω στο μέλλον.
- - - Updated - - -
Τώρα το κατάλαβα που το ανέφερες.
- - - Updated - - -
Τώρα το κατάλαβα που το ανέφερες.Ήσουνα κατατοπιστικότατος ευχαριστώ.CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
27-12-21, 22:21 Απάντηση: Wireguard VPN (ROS 7.X) server-clients all OS #30
Ποιο απλο ειναι το στησιμο απο το ovpn, αλλα τωρα για να φτιαξω οτι εχω με το ovpn tcp μεταξυ του 109 και 951 πρεπει να μου βγει το λαδι.
απειροι κανονες στα filter, route και nat. Περναει το awmn μεσω αυτου και γινονται ωραια κολπα οπως αυτο με την πριζα wifi που ανεφερα καπου.
Mε το ovpn ειχα στο καθενα και server και client και το απεναντι εχει συνδεση και με τα 2 και σαν server και σαν client.
Δεν ξερω τωρα αν θα κανει τις ιδιες δουλειες το wireguard, θελει πολλες δοκιμες.
Και με προβληματιζει και αυτο που ειπαμε παραπανω με την public ip, οκ με την ιναλαν εχω βαλει πλεον static, αλλα η αλλη ακρη παιζει με noip και mikrotik ip cloud, εβαλα πλεον και ενα script επανω στο 951 για το noip.
Ποσα χρονια εχω το ovpn tcp ειναι σκυλι, περναω και voip δλδ δινω το σταθερο απο εδω εκει, και απο εκει εδω και εσωτερικα νουμερα, ο server asterisk ειναι εδω. Xρειαζεται 100% αξιοπιστια λοιπον.
Επισης μεσω των awmn ips βλεπω ολα τα μηχανηματα σαν να ειμαι τοπικα γιατι ετσι κι αλλιως βλεπονται τα subnets τους, ανηκουν ολα στο 10.0.0.0/8 (αυτο ειναι ολο το AWMN).
Kαι εκανα και πατατα πριν, βαση ενως οδηγου https://rickfreyconsulting.com/wireguard/ εβαλα 10.0.0.1 κτλ και αυτα ανηκουν στο awmn και εγινε μπαχαλεισον, εφαγα ωρα να καταλαβω τι εγινε, μαλλον αντι 10αρες επρεπε να εβαζα κατι αλλο.
- - - Updated - - -
Υ.Γ παντως στην σελιδα του awmn υπαρχει διευθυνσιοδοτηση και τσεκαρεις τα subnets αμα δεν το δειχνει δεν ειναι δικο τους.Τελευταία επεξεργασία από το μέλος Nikiforos : 27-12-21 στις 22:20. Αιτία: Συμπληρώματα
Bookmarks