Wireguard VPN (ROS 7.X) server-clients all OS

[Nikiforos]

οχι εμενα δεν ειναι μονο αυτα που λες εχει παρα πολλα παραπανω σε ολα τα μηχανηματα και στο hap θελει κανονες γιατι εκει ειναι το ιντερνετ ενω το wireguard ειναι στο 109.
Μιλαω για την μονιμη συνδεση να αντικαταστησω τα OVPN TCP για τις φορητες συσκευες ειναι οκ παιζουν.

[jkarabas]

ΟΚ λογικό εξαρτάται το setup που έχει ο καθένας.
Εγώ έχω απλά πράγματα πλέον και από τότε που τα ξήλωσα(awmn) ησύχασα.

[Nikiforos]

Σε μερικους κανονες δεν εχω μετρησεις μαλλον ειναι περιττοι θελει ψαξιμο το πραμα και πολλες δοκιμες.

- - - Updated - - -

Αναλογα τι θελει να κανει ο καθενας και τι του χρειαζεται. Θα κατσω μετα να τα φτιαξω να τελειωνω καμια μερα!!!

[jkoukos]

site to site δεν ξερω τι θα πει.

Γενικά σε tunel VPN έχουμε 2 περιπτώσεις.
α. Μόνιμη σύνδεση μεταξύ 2 σταθερών σημείων, με το δικό τους LAN και σύνδεση στο διαδίκτυο το καθένα. Π.χ. Το σπίτι στην Αθήνα και το άλλο στο εξοχικό. Είναι γνωστά ως Site to Site.
β. Περιστασιακή χρήση μιας ή περισσότερων συσκευών, με σκοπό την σύνδεση στο LAN του VPN server. Π.χ. σύνδεση στο σπίτι στην Αθήνα από οποιοδήποτε σημείο του πλανήτη. Είναι γνωστά ως Road Warriors.

[Nikiforos]

Δυστυχως ενω εχω περασει τα ιδια πραγματα οπως το OVPN TCP εννοω filter, nat, routes και στο 109, hap ac2 και 951 δεν δουλευει.
Εχω κλεισει τα OVPN για να κανω τις δοκιμες και στο 951 εχω ανοιξει την πορτα του winbox.
Απο τις 2 ακρες pingarw τις ip του wireguard και γινεται bw test αλλα δεν βλεπω τα εσωτερικα δικτυα και το 951 δεν εχει και awmn.
Αντε βγαλε ακρη τωρα!!!

[jkarabas]

Απο τις 2 ακρες pingarw τις ip του wireguard και γινεται bw test αλλα δεν βλεπω τα εσωτερικα δικτυα

Από τη στιγμή που δεν βλέπεις τα εσωτερικά δίκτυα κάπου κάτι με τα routes παίζει.

[Nikiforos]

μηπως ειναι μαπα οι ip? γιατι εχω 10.4.0.0/24 δλδ το 109 εχει το .1 και το αλλο το .2 αλλα και τα 2 ειναι στο ιδιο δικτυο και ετσι οτι παω να περασω σε κανονες τα κανει 10.4.0.0
Στο OVPN εχω κοψει subnets διαφορετικα στην καθε πλευρα ειναι μεσα στου awmn αλλα εκτος του εσωτερικου μου δικτυου.
Δεν βλεπω καποιο λαθος ή κατι διαφορετικο μονο αυτο μπορει να φταιει πιστευω.
Επισης και οι οδηγοι τετοιας συνδεσης mikrotik με mikrotik πουθενα δεν λενε οτι θα εχεις στην σειρα την ip μονο αν ειναι να συνδεεται πανω μια φορητη συσκευη.

- - - Updated - - -

Να και εδω που εχει εναν οδηγο τα εχει σε αλλα υποδικτυα https://help.mikrotik.com/docs/display/ROS/WireGuard

- - - Updated - - -

καλυτερα θα βαλω οτι λεει αυτος ο οδηγος που ειναι και ο επισημος να μην μπερδευομαι....

- - - Updated - - -

καλα τα νουμερα 10.255.255.1/30 και .2 που κολανε?????

[jkarabas]

Δες και αυτό θα σε βοηθήσει. Παίξε ακριβώς με τις ip που έχει για να μην μπερδεύεσαι.
Στο 13:10 πρέπει να κάνεις ping σε όλες τις ip και του wireguard και στις τοπικές. Αν όχι δεν προχωράς. Ξανακοιτάς τι δεν έκανες σωστά.

- - - Updated - - -

Να και εδω που εχει εναν οδηγο τα εχει σε αλλα υποδικτυα https://help.mikrotik.com/docs/display/ROS/WireGuard

Δεν χρησιμοποίησα κανέναν απο αυτούς τους κανόνες που έχει.

[Nikiforos]

Αλλαξα τις ips τιποτα δεν γινεται, δεν μπορω να καταλαβω τι φταιει.

[jkarabas]

Αλλαξα τις ips τιποτα δεν γινεται, δεν μπορω να καταλαβω τι φταιει.

Κοίταξέ τα όλα από την αρχή με την ησυχία σου. Δες το βίντεο. Γνώμη μου ξεκίνα από την αρχή βήμα-βήμα.
Address ορίζεις ότι λέει στο βίντεο /32.

[Nikiforos]

Δεν εχω /32 αυτο δεν το εχω καταλαβει γιατι /32? και μονο στο ενα ακρο?

- - - Updated - - -

Θεωρω οτι ολες οι κανονες που εχω και τα routes ειναι σωστα γιατι ειναι βαση των OVPN που παιζουν χρονια.
Το λαθος πρεπει να ειναι στα στις ips με τα subnets και δεν ρουταρουν.

- - - Updated - - -

Το βιντεο δειχνει πολυ καλο, θα τα κανω ετσι και θα δουμε, αν δεν προλαβω τωρα γιατι δεν εχω πολυ χρονο ισως αυριο γιατι θα λειπω κιολας και ενημερωνω.
ευχαριστω!

[BillyVan]

/32 βαζει ο σερβερ για να καταλαβει οτι προκειται μονο για σενα

Αν βαλεις /24 που θα βλεπει ο σερβερ ολο το subnet δεν ειναι σωστο.

Αντίθετα αν βαλεις στο δικο σου interface /24 θα μπορεις να βλεπεις με τα αντιστοιχα ρουτς και τους αλλους clients μεσω του σερβερ.

Επαναλαμβανω ειναι σημαντικο το /32 στην ip σου στον σερβερ αλλα και σε ολους τους clients.

[jkoukos]

Δεν εχω /32 αυτο δεν το εχω καταλαβει γιατι /32? και μονο στο ενα ακρο?

To εξηγούν αναλυτικά εδώ και περιληπτικά εδώ.
Σου έχουμε γράψει όλοι σε αρκετά μηνύματα ότι πρέπει να χρησιμοποιείς /32 στους clients

[Nikiforos]

Το εφτιαξα!!!!
Ηθελε τεσσερα πραγματα, δεν εφταιγαν οι ips για το /32 ναι μπορει το /32 αντι το /24 αλλα εννοω σαν νουμερα.

1. Μπερδεψα τις πορτες επειδη και στο 109 και στο 951 τρεχουν 2 interfaces, ενα για το αλλο mikrotik και ενα για συσκευες φορητες τα ειχα κανει αναποδα, ετσι η πορτα που αντιστοιχισα στα peers ηταν για την φορητη συσκευη στην καθε ακρη, δλδ το καθε μηχανημα ειχε διαφορετικη πορτα απο το αλλο! τωρα πως εδειχνε να δουλευει δεν ξερω!!!! τις εκανα σωστα τωρα.
2. Ελειπε το /32 οπως ειπαμε ειχα /24.
3. Στο βιντεο απο πανω δειχνει αυτος οτι πχ βαζουμε ip 172.28.20.1/32 στο Α μηχανημα και στο network γραφει 172.28.20.2, μετα στο Β μηχανημα δειχνει οτι βαζει ip την .2 αλλα network το .1 ! εγω που τα εκανα με /24 εβαζε αλλο network καμια σχεση.
4. Στα peers στις allowed adresses εκτος του απεναντι βαζουμε και ολο το subnet του απεναντι ετσι εχουν προσβαση και οι εσωτερικες ips, ΧΩΡΙΣ αυτο και ΠΑΛΙ ΔΕΝ βλεπω τα εσωτερικα subnets! οποτε ειναι ΠΟΛΥ σημαντικο αλλιως δεν κανουμε τιποτα ουτε με routes, ουτε με filters και nat.
Ολοι οι κανονες ip-route, ip-firewall-filter και ip-firewall-nat τα εχω οπως στα OVPN και τωρα τα βλεπω ολα! η διαφορα ταχυτητας ειναι αρκετα αισθητη παντως.

- - - Updated - - -

μαλιστα τωρα εφτιαξα και τα routes και βγαινω με wireguard αλλα αν πεσει παει μεσω ovpn tcp.

[jkoukos]

Πέρα από τα λάθη που είναι ανθρώπινα και συμβαίνουν συχνά σε όλους μας, μου δίνεις την εντύπωση ότι αρκετές φορές δεν διαβάζεις ή προσερνάς χωρίς δεύτερη σκέψη ότι σου γράφουν κάποιοι.
Ήδη στην πρώτη σελίδα σε 4-5 μηνύματα σου έχει αναφερθεί γιατί πρέπει να βάζεις /24 (ή το /0) στο allowed addresses.