Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Help4you 08. 11. 2022, 15:57:47

Název: WireGuard Windows - Mikrotik
Přispěvatel: Help4you 08. 11. 2022, 15:57:47

Ahoj,
potřeboval bych poradit s routou na Mikrotiku ke kterému se připojuje Windows WireGuard klient.
Po připojení klienta směřuje veškerý provoz do VPN, ale nemá přístup k internetu kterým je připojený Mikrotik.

"Mikrotik"
/interface bridge
add name=Internet
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface bridge port
add bridge=Internet interface=ether1
add bridge=Internet interface=ether2
add bridge=Internet interface=ether3
/interface wireguard peers
add allowed-address=192.0.2.3/32 interface=wireguard1 public-key=\
    "xxx"
/ip address
add address=192.0.2.1/24 interface=wireguard1 network=192.0.2.0
/ip dhcp-client
add interface=Internet

"Windows"
[Interface]
PrivateKey = xxx
Address = 192.0.2.3/32
DNS = 8.8.8.8

[Peer]
PublicKey = xxx
AllowedIPs = 0.0.0.0/0
Endpoint = veřejka:13231
PersistentKeepalive = 1

Díky moc

Název: Re:WireGuard Windows - Mikrotik
Přispěvatel: ja. 08. 11. 2022, 17:06:15

Predpokladám, že zvyšok konfigurácie je defconf, vrátane firewallu a je tam aj:

Kód: [Vybrat]

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Potom aby interface wireguard1 sa správal ako LAN, t.j. mal správne routy a firewall pravidlá, stačí:

Kód: [Vybrat]

/interface list member
add interface=wireguard1 list=LAN

(inak nepochopil som, prečo je bridge pomenovaný "internet"?)

Název: Re:WireGuard Windows - Mikrotik
Přispěvatel: Help4you 15. 11. 2022, 17:01:05

Ahoj,
díky za nasměrování... měl jsem to testovací mikrotik bez firewallu, všechny porty v bridge Internet kde byl dhcp klient, abych měl IP kdekoli to připojím.

Nevím proč zrovna tímhle to začne fungovat, ale stačilo doplnit
/ip firewall nat
add action=masquerade chain=srcnat

Díky moc

Název: Re:WireGuard Windows - Mikrotik
Přispěvatel: mikesznovu 16. 11. 2022, 12:46:18

Nemám mikrotik, ale taky pokud chci z klientů chodit na internet, je potřeba na "koncentrátoru " (a.k.a. serveru ) dát iptables -t nat --I POSTROUTING -o vystupni_eth    -j MASQUERADE, jinak logicky provoz z vps bude mít SRC adresu tvé domácí sítě místo přidělené té vps)
)

(je to trochu jiná situace) - ale možná na tebe taky platí, tipuji, že na routeru nedochází k  NATování (z nějakého důvodu, když přece při browsení z LAN natuje) a na WAN vychází nenatované SRC adresy

Název: Re:WireGuard Windows - Mikrotik
Přispěvatel: Help4you 16. 11. 2022, 20:40:02

Já nepotřeboval překlad, měl jsem mikrotik za routerem jen jako "server" takže dle mého stačilo routovat IP síť WireGuard s lokální sítí, kterou dostal DHCP klient....

ale přidání
/ip firewall nat
add action=masquerade chain=srcnat
funguje