Wireguard VPN (ROS 7.X) server-clients all OS

**RyDeR** · 01-04-24, 19:44

Αρχικό μήνυμα από minas

Δεν αρκεί απλά να φτιάξεις ένα static route μεταξύ των δύο subnets;

Μα υπάρχει ήδη routing καθώς βλέπω συσκευές του δικτύου. Πιστεύω φταίει το ίδιο το Logo λόγω διαφορετικών subnets.

**LeoNaXe** · 12-04-24, 01:14

Καλησπέρα στην ομάδα.
Μετά απο μερικές εβδομάδες ερευνάς και δοκιμών πάνω σε Wireguard Peer που προσπαθώ να βάλω σε ένα Mikrotik hEX πλέον χρειάζομαι την βοήθειά σας.
Εχω Wireguard Κλειδί απο Windscribe και ένα απο Ελληνικό DataCenter, Με το Setup που κάνω στο Mikrotik ώς Client το Κλειδί του Windscribe λειτουργεί άψογα απο την άλλη όπως με ακριβώς τα ίδια το κλειδί του Datacenter μου κάνει νερά στο Upload, μπορεί να λειτουργίσει για 5 λεπτά μετά σταματάει, μετά απο λίγο ξανα λειτουργεί και πάει λέγοντας.

Αρχικά η εγκατάσταση που έκανα ήταν χωρίς τα def config και δεν είχε τα Firewall κλπ οπότε υπέθεσα πως μπορεί να φταίει αυτό μετά έκανα δοκιμές και με τα def config αλλα και πάλι τίποτα. Εκεί που λειτουργεί κανονικά το ίντερνετ κάνει τα περιεργα του και δεν στέλνει φωτο απο το Whatsapp ας πούμε ή στο speedtest δεν καταφέρνει να κάνει το upload.

Αν και έχω μιλήσει με την εταιρία δεν μπορεσαν να μου εξηγήσουν τη μπορεί να φταέινει ή αν είναι πρόβλημα απο αυτούς, το κλειδή λειτουργεί κανονικά πάνω σε ubiquiti, fritzbox, windows client, cudy κλπ. Μόνο στο Mikrotik τίποτα. Σας στέλνω 2 διαφορετικά config που έχω δοκιμάσει απο τις πολλές και μου κάνει το πρόβλημα, στο ubiquiti επειδή χρειάστηκε να κατεβάσω το mss στα 1372 (τα 8 που τρώει το pppoe) και λειτουργεί χωρίς πρόβλημα ακόμα και αυτό το δοκίμασα στο mangle αλλα μάταια.

DEFAULT CONFIG ME SINGLE WAN

# 2024-04-07 23:09:08 by RouterOS 7.14.2
# software id = M8KE-V5ID
#
# model = RB750Gr3
# serial number = HD********2AS
/interface bridge
add admin-mac=18:FD:74:8C:28:66 auto-mac=no comment=defconf name=bridge
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/routing table
add disabled=no fib name=via-WG1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=5.172.1**.95 endpoint-port=\
13231 interface=wireguard1 persistent-keepalive=25s public-key=\
"ySD/xFuT****************************S4xyT6wE="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=192.168.32.50 interface=wireguard1 network=192.168.32.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=1.1.1.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,192.168.32.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=\
wireguard1 passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=wireguard1
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=\
via-WG1 suppress-hw-offload=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/routing rule
add action=lookup disabled=no src-address=192.168.88.0/24 table=via-WG1
/system clock
set time-zone-name=Europe/Athens
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

CONFIG 2 ME DUAL WAN FAILOVER

# 2024-04-02 23:02:52 by RouterOS 7.14.2
# software id = M8KE-V5ID
#
# model = RB750Gr3
# serial number = HD2*****AS
/interface bridge
add name=Bridge-LAN
/interface ethernet
set [ find default-name=ether1 ] name=WAN1
set [ find default-name=ether2 ] name=WAN2
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.13.100-192.168.13.254
add name=dhcp_pool1 ranges=192.168.14.200-192.168.14.205
/ip dhcp-server
add address-pool=dhcp_pool0 interface=Bridge-LAN lease-time=1d name=dhcp1
add address-pool=dhcp_pool1 interface=ether5 lease-time=6d name=dhcp2
/routing table
add disabled=no fib name=via-WG1
/interface bridge port
add bridge=Bridge-LAN interface=ether3
add bridge=Bridge-LAN interface=ether4
/interface list member
add interface=WAN1 list=WAN
add interface=WAN2 list=WAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=5.172.1**.95 endpoint-port=\
13231 interface=wireguard1 persistent-keepalive=25s public-key=\
"ySD/xFuTQ0+********************S4xyT6wE="
/ip address
add address=192.168.13.1/24 interface=Bridge-LAN network=192.168.13.0
add address=192.168.1.99/24 interface=WAN1 network=192.168.1.0
add address=192.168.2.98/24 interface=WAN2 network=192.168.2.0
add address=192.168.32.50 interface=wireguard1 network=192.168.32.0
add address=192.168.14.1/24 interface=ether5 network=192.168.14.0
/ip dhcp-client
add disabled=yes interface=WAN1
add disabled=yes interface=WAN2
/ip dhcp-server network
add address=192.168.13.0/24 dns-server=192.168.13.1 gateway=192.168.13.1
add address=192.168.14.0/24 gateway=192.168.14.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,192.168.32.1
/ip firewall mangle
add action=change-mss chain=forward disabled=yes new-mss=clamp-to-pmtu \
out-interface=wireguard1 passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=wireguard1
/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
192.168.1.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=\
no target-scope=10
add disabled=no distance=5 dst-address=0.0.0.0/0 gateway=192.168.2.1 \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=\
via-WG1 suppress-hw-offload=no
/routing rule
add action=lookup-only-in-table disabled=yes src-address=192.168.13.0/24 \
table=main
add action=lookup disabled=no src-address=192.168.13.0/24 table=via-WG1
/system clock
set time-zone-name=Europe/Athens
/system note
set show-at-login=no

**BillyVan** · 12-04-24, 09:17

Σαν πρωτη συμβουλη ομως θα σου ελεγα να εβαζες αν μπορουσες την 7.12.1 στο Μικροτικ και

να δοκιμαζες παλι.

Εχω διαβασει οτι στην 7,14 το WG εχει προβληματα στα Μικροτικ.

Μπορει να εχεις πεσει στην περιπτωση.

Ειδα ομως οτι εχει βαλε ολο το Μικροτικ να βγαινει απο wg

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=via-WG1 suppress-hw-offload=no

Οποτε κανε disable το routing rule για το config με τη 1 wan

/routing rule
add action=lookup-only-in-table disabled=yes dst-address=0.0.0.0/0 src-address=192.168.88.0/24 table=via-WG1

Σε αλλη περίπτωση αν πχ εβγαινες κανονικα απο gateway του παροχου τοτε θα καρφωνες

/routing rule
add action=lookup-only-in-table disabled=no dst-address=0.0.0.0/0 src-address=192.168.88.11/32 table=via-WG1

Οπου 11 την ip που εχει το PC, laptop που εχεις ωστε μονο εκεινο να βγαινει απο WG

Οποτε δοκιμασα να ριξω ενα ολοκληρο subnet να βγαινει ετσι δεν μου επαιξε.

Εγω το εχω με ενα route για το Μικροτικ (main route απο παροχο) ωστε παντα να εχει ιντερνετ το Μικροτικ

Και για οποια αλλη ip θελω την βαζω να βγαινει απο τα gateway που εχω.

Κανε μια δοκιμη και πες μας.

Μπορεις να δοκιμασεις και με ολο το firewall disable για να σου φυγει η ιδεα αν και

δε νομιζω οτι ειναι απο κει το θεμα σου.

**Nikiforos** · 12-04-24, 22:05

καλησπερα, εχω θεμα με το wireguard με την συνδεση 2 rbs μεταξυ τους δλδ για το εξοχικο βασικα, ειχα παλιοτερη ROS μεσα οποτε δεν εγινε με αναβαθμιση, εχω θεμα μου ανεβαζει pings σαν να χανει πακετα και χανω το voip.
Εντωμεταξυ εχω ovpn αλλα δεν αλλαζει αυτοματα το routing ακομα και αν το κλεισω απο εδω περα και μπορει να το χασω τελειως αν το αλλαξω απο το εκει Rb.

Λεει αυτα στα logs και στα 2 μηχανηματα :

: Handshake for peer did not complete after 20 attempts, giving up

πολλα τετοια μυνηματα.
Παιζει αλλα αυξομειωνονται τα pings.

Eχει αλλαξει η στατικη ip μου απο ιναλαν αλλα για καιρο δεν ειχε θεμα οποτε δε νομιζω να εχει σχεση.

Εχει κανεις ιδεα τι μπορει να συμβαινει? thanks!

**Nikiforos** · 17-04-24, 06:38

καλημερα, δεν εχω βρει λυση αλλα φαινεται να δουλευει, δεν εχει τυχει σε κανεναν αλλον???

**BillyVan** · 17-04-24, 09:14

Εχει αναφερθει και ειναι bug.

https://www.adslgr.com/forum/threads...2-Back-to-home

https://www.adslgr.com/forum/threads...12#post7553312

Για να μη στο βγαζει πρεπει να πειραξεις το log.

Αλλιως μη δινεις σημασια.

**Nikiforos** · 17-04-24, 18:23

α σορρυ δεν τα ειχα δει! ευχαριστω! οποτε να γυρισω το vpn σε wireguard παλι!

**Mich_Mich** · 31-05-24, 11:04

Καλημέρα. Έχω ένα hAP ac2 (ROS v7.15) συνδεδεμένο πίσω από ένα modem/router του ΟΤΕ με σύνδεση Vodafone VDSL (pppoe passthrough). Το MT είναι σε DMZ όσον αφορά το ρούτερ του ΟΤΕ.

Προσπαθώ εδώ και μέρες να στήσω ένα wireguard ώστε να έχω πρόσβαση στο LAN μου (όχι internet), αλλά μάταια

Δεν είμαι πίσω από cgnat

Έχω κάνει όλα τα βήματα όπως περιγράφονται εδώ μέσα (αλλά κ σε διάφορα άλλα video).
Έχω ρυθμίσει τον server στο ΜΤ, έχω ρυθμίσει το client στο ΜΤ, έχω βάλει την κατάλληλη καταχώρηση στο addresses για το subnet του wireguard έχω βάλει κ το port. Στο firewall έβαλα τέρμα πάνω το rule accept input της πόρτας σε udp.

Παρόλα αυτά δεν μου συνδέεται. Όταν πατήσω connect, βλέπω το counter στο firewall rule να ανεβαίνει. Ωστόσο, στον client τα received δεδομένα παραμένουν 0 και στο log βγαίνει "Handshake for peer did not complete"

Εν τω μεταξύ δοκίμασα κ με το Back To Home και πάλι δεν δούλευε.
(Το ίδιο θέμα είχα κ με ROS 7.12)

Όποια βοήθεια δεκτή.

[Το config μου:]

Spoiler:

**deniSun** · 31-05-24, 13:17

Αρχικό μήνυμα από Mich_Mich

Καλημέρα. Έχω ένα hAP ac2 (ROS v7.15) συνδεδεμένο πίσω από ένα modem/router του ΟΤΕ με σύνδεση Vodafone VDSL (pppoe passthrough). Το MT είναι σε DMZ όσον αφορά το ρούτερ του ΟΤΕ.

Προσπαθώ εδώ και μέρες να στήσω ένα wireguard ώστε να έχω πρόσβαση στο LAN μου (όχι internet), αλλά μάταια

Δεν είμαι πίσω από cgnat

Έχω κάνει όλα τα βήματα όπως περιγράφονται εδώ μέσα (αλλά κ σε διάφορα άλλα video).
Έχω ρυθμίσει τον server στο ΜΤ, έχω ρυθμίσει το client στο ΜΤ, έχω βάλει την κατάλληλη καταχώρηση στο addresses για το subnet του wireguard έχω βάλει κ το port. Στο firewall έβαλα τέρμα πάνω το rule accept input της πόρτας σε udp.

Παρόλα αυτά δεν μου συνδέεται. Όταν πατήσω connect, βλέπω το counter στο firewall rule να ανεβαίνει. Ωστόσο, στον client τα received δεδομένα παραμένουν 0 και στο log βγαίνει "Handshake for peer did not complete"

Εν τω μεταξύ δοκίμασα κ με το Back To Home και πάλι δεν δούλευε.
(Το ίδιο θέμα είχα κ με ROS 7.12)

Όποια βοήθεια δεκτή.

[Το config μου:]

Spoiler:

Υπάρχει περίπτωση να είσαι σε ν6-only-mode;

**Mich_Mich** · 31-05-24, 13:24

Δεν νομίζω. Υπάρχει κάποιος τρόπος να το τσεκάρω?

**deniSun** · 31-05-24, 16:06

Αρχικό μήνυμα από Mich_Mich

Δεν νομίζω. Υπάρχει κάποιος τρόπος να το τσεκάρω?

Δώσε tracert -4 google.com
Αν μετά το δεύτερο hop βλέπεις * και μόνο στο τέλος την διεύθυνση του domain.

**x_undefined** · 31-05-24, 16:21

Δοκίμασε με μικρότερο MTU στο Wireguard.

- - - Updated - - -

Αρχικό μήνυμα από Mich_Mich

Δεν νομίζω. Υπάρχει κάποιος τρόπος να το τσεκάρω?

Αρχικό μήνυμα από deniSun

Δώσε tracert -4 google.com
Αν μετά το δεύτερο hop βλέπεις * και μόνο στο τέλος την διεύθυνση του domain.

Δεν νομίζω ότι σε Vodafone θα έχει απαραίτητα την ίδια συμπεριφορά που είχες παρατηρήσει στη γραμμή σου σε ΟΤΕ. Βασικά δεν νομίζω να δίνει καν v6-only η Vodafone. Σε κάθε περίπτωση, ο σωστός τρόπος να το επιβεβαιώσει είναι να τσεκάρει απλώς τι IP παίρνει ο PPPoE client.

**deniSun** · 31-05-24, 16:32

Αρχικό μήνυμα από x_undefined

Βασικά δεν νομίζω να δίνει καν v6-only η Vodafone.

Σε γραμμή voda το είχα δει για πρώτη φορά.

**x_undefined** · 31-05-24, 16:34

Α, ενδιαφέρον! Δεν το έχω πετύχει προσωπικά και θυμόμουν (ίσως λάθος) ότι το tracert σου με τα αστεράκια ήταν σε ΟΤΕ.

**Mich_Mich** · 31-05-24, 16:36

Αρχικό μήνυμα από deniSun

Δώσε tracert -4 google.com
Αν μετά το δεύτερο hop βλέπεις * και μόνο στο τέλος την διεύθυνση του domain.

Όχι δεν δίνει τέτοια εικόνα. Μου δίνει κανονικά ms.

Προς το παρόν λύθηκε το πρόβλημα. Έσβησα ότι είχε σχέση με wireguard (rules, addresses, peers etc). Έκανα ένα backup, έκανα ένα netinstall και μετά ένα restore. Δημιούργησα εκ νέου wireguard server και client και δούλεψε κανονικά (προς το παρόν τουλάχιστον). Τη λύση τη διάβασα εδώ

Θέμα: Wireguard VPN (ROS 7.X) server-clients all OS

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές