Wireguard po IPv6 na Mikrotiku

[pkoci]

Ahoj,

můžete mi prosím trochu blbuvzdorně poradit, jak nastavit na mikrotiku hap ax3 Wireguard, abych se připojil do vlastní sítě přes IPv6? Změnil jsem ISP, od kterého mám prefix /56, ale IPv6 moc neovládám. Jedná se mi především o nastavení firewallu. Podotýkám, že Wireguard mám již funkční přes IPv4.

IPv6 firewall má výchozí konfiguraci. RouterOS je ve verzi 7.13.4.

Bohužel návody často IPv6 úplně ignorují.

Díky za rady

[Reklama]

[Don.J]

Snad jsem tě pochopil dobře
Čili potřebuješ na WAN rozhraní routeru nastavit IPv6 z přiděleného rozsahu a to staticky a na firewallu IPv6ky povolit port.
Budu předpokládat, že máš IPv6 na routeru dobře nastavený
Tedy jdi do IPv6 -> Addresses -> + (Přidat) => do address si dej ::1/64,  From pool vyber pool který máš od ISP, Interface dej ten, na kterém máš přípojku (bývá typicky ether1), EUI64, Advertise i No DAD nesmí být zaškrtlé a dej uložit. Zkopíruj si přidělenou IP.
Tím sis přidělil IP adresu na WAN rozhraní, dál běž do IPv6 -> Firewall -> Filter Rules -> + (Přidat)
Chain: input, Dst. address - vlož IP kterou máš na WAN, protocol UDP, Dst. port 13231 (výchozí u wireguardu na MKT, případně dej správný podle nastavení wireguarda), Action accept => uložit.

Takto by ti to mělo začít fungovat na IP, kterou sis přiřadit na WAN.

[pkoci]

Funkční IPv6 v síti mám.

Zkoušel jsem přidat do firewall doporučené pravidlo, ale tunel přes IPv6 stále nefunguje. Pokud je spojení přes IPv4, tak vše funguje a zařízení dostane i funkční IPv6.

IPv6 jsem na routeru zprovoznil dle tohoto návodu.
https://www.root.cz/clanky/zaklady-nasazeni-ipv6-od-ziskani-adres-az-po-sit-pro-hosty/

Můžu případně nasdílet IPv6 nastavení.

[Don.J]

Ještě to chce zkontrolovat nastavení v klienta... Zda "povolené IP", které mají jít přes Wireguarda, odpovídají prefixu na bridgi, resp. cílové adrese kam se chcete dostat.
Případně by se hodila konfigurace Ipv6 v routeru a Wireguarda i klienta (bez klíčů)

[pkoci]

Sdílím konfirguraci

klient

Kód: [Vybrat]

[Interface]
PrivateKey = xxx
Address = 10.88.88.3/32, 2a03:xxxx:xxxx:501::3/128
DNS = 192.168.88.254, 192.168.88.244, 2a03:xxxx:xxxx:500:42:c0df:faa2:58fe, 2a03:xxxx:xxxx:500:d35d:30ba:1c27:8a8

[Peer]
PublicKey = xxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = ddns:13231
PersistentKeepalive = 25

Kód: [Vybrat]

/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface wireguard peers
add allowed-address=10.88.88.2/32,2a03:xxxx:xxxx:501::2/128 interface=\
    wireguard1 public-key="skfjskdflkj"
add allowed-address=10.88.88.3/32,2a03:xxxx:xxxx:501::3/128 client-keepalive=\
    25s interface=wireguard1 private-key=\
    "ddddd="
public-key=\
    "ddddd"
add allowed-address=10.88.88.4/32 interface=wireguard1 public-key=\
    "ddddd

[Reklama]

[pkoci]

Tak WireGuard zřejmě preferuje IPv4, i když je nastaven přes oba protokoly. To jsem si samozřejmě uvědomil až v okamžiku, kdy jsem jako endpoint nastavil WAN IPv6 adresu router respektive doménu s pouze AAAA.

[czechsys]

Bohužel návody často IPv6 úplně ignorují.

Ipv6 se nastavuje uplne stejne, jako ipv4. Akorat pri pouziti GUA lze vyhodit veskere NAT apod. blbiny. Tak sem dej wg, fw, route table konfigurace (vse staci pro ipv6) a my se na to muzeme podivat.

[pkoci]

Jak jsem zmiňoval v posledním příspěvku, tak Wireguard preferuje spojení přes IPv4 mezi WG serverem a klientem, i když je IPv6 s GUA na obou stranách správně nastavena. Preferovaná komunikace do internetu je již přes IPv6. Já předpokládal, že WG bude preferovat tunel mezi serverem a klientem po IPv6. To jsem si uvědomil až v okamžiku, kdy jsem jako endpoint klienta napevno nastavil IPv6 mikrotiku, resp. doménu s AAAA only.