DOMANDA Cavo Eterneth,collegamenti e installazione linea

  • Autore discussione Autore discussione BuSte
  • Data d'inizio Data d'inizio
Pubblicità
La RB4011 è su chipset ARM quindi supporta Zerotier.
Se non la strighi con Wireguard (ti ho dato la guida, non è difficile) puoi andare con Zerotier che è semplice e banale, c'è l'app per smartphone, ecc
 
r3dl4nce ha detto:
Poi ci sono le guide e gli esempi già fatti, il tuo caso è quello del "RoadWarrior"

WireGuard - RouterOS - MikroTik Documentation

help.mikrotik.com help.mikrotik.com
Clicca per espandere...
r3dl4nce ha detto:
La RB4011 è su chipset ARM quindi supporta Zerotier.
Se non la strighi con Wireguard (ti ho dato la guida, non è difficile) puoi andare con Zerotier che è semplice e banale, c'è l'app per smartphone, ecc
Clicca per espandere...
ora con la guida handshake è ok e da windows riesco a pingare il mikrotik ma non il contrario mancano sicuramente delle regole, pero non capisco come fare quando sono sull'app windows e attivo wireguard , non si connette internet, tra le tante cose che ho visto mi sembrava di aver visto che c'è una impostazione di wireguard che permette di navigare all'esterno del tunnel . comunque ora se non altro sono un passo avanti ...
PippoGold ha detto:
Segui i concetti di questo video e adattali al Mikrotik:
Clicca per espandere...
devo ancora vederlo finire ma credo che tutti i video guida dicano la stessa cosa ... il problema è che poi sono io a fare qualcosa di sbagliato :)
 
BuSte ha detto:
ora con la guida handshake è ok e da windows riesco a pingare il mikrotik ma non il contrario
Clicca per espandere...
Eh scusa, ma la configurazione RoadWarrior prevede proprio questo, un client remoto che accede ai servizi interni a una rete. Mica devi raggiungere il client remoto da dentro la rete LAN...


BuSte ha detto:
mancano sicuramente delle regole, pero non capisco come fare quando sono sull'app windows e attivo wireguard , non si connette internet,
Clicca per espandere...

Nel client, nella configurazione di Wireguard, nella sezione [Peer] devi impostare la voce AllowedIPs in modo restrittivo, non mettere 0.0.0.0/0 ma devi mettere gli IP del tunnel wireguard e gli IP della subnet della rete LAN a cui vuoi accedere
Altra guida dove spiega la configurazione RoadWarrion con Wireguard
 
r3dl4nce ha detto:
Eh scusa, ma la configurazione RoadWarrior prevede proprio questo, un client remoto che accede ai servizi interni a una rete. Mica devi raggiungere il client remoto da dentro la rete LAN...
Clicca per espandere...
ok sono riuscito a fare handshake e riesco a pingare il router mikrotik da esterno e con winbox riesco anche ad accedere alle impostazioni , ma se cerco di accedere a qualsiasi altro ip della LAN di casa non lo vede, non ho aggiunto qualche regola di firewall o NAT?
r3dl4nce ha detto:
Nel client, nella configurazione di Wireguard, nella sezione [Peer] devi impostare la voce AllowedIPs in modo restrittivo, non mettere 0.0.0.0/0 ma devi mettere gli IP del tunnel wireguard e gli IP della subnet della rete LAN a cui vuoi accedere
Clicca per espandere...
ok cosi ho fatto inserito sia nel client che nel server gli ip del tunnel e delle due LAN e sono nella sitiazione descritta prima
 
BuSte ha detto:
ok sono riuscito a fare handshake e riesco a pingare il router mikrotik da esterno e con winbox riesco anche ad accedere alle impostazioni , ma se cerco di accedere a qualsiasi altro ip della LAN di casa non lo vede, non ho aggiunto qualche regola di firewall o NAT?
Clicca per espandere...

Crea una interface list per le interfacce wireguard
aggiungi alla interface list la tua attuale interfaccia wireguard
da ip firewall imposta un regola di accept chain forward dalla interface list wireguard alla interface list lan. Se vuoi farla più precisa, crei anche una address list con la subnet della lan e metti come dst address list quella, così almeno puoi anche gestire in modo granulare l'accesso a più subnet nella lan
chiaramente hai una regola di firewall chain forward con accept dei pacchetti established, related vero?


per capirsi:
Codice: 
/interface bridge
add comment="BRIDGE LAN" name=brLAN port-cost-mode=short

/interface wireguard
add listen-port=13231 mtu=1420 name=wgPippo

/interface list
add name=WG_CLIENTS
add name=LAN



/interface list member
add interface=wgPippo list=WG_CLIENTS
add interface=brLAN list=LAN


/ip firewall address-list
add address=192.168.1.0/24 list=NetLan
/ip firewall filter
add action=accept chain=forward comment="FWD - ACCEPT established, related" connection-state=established,related
add action=accept chain=forward comment="FWD - ACCEPT - WIREGUARD --> LAN" dst-address-list=NetLan in-interface-list=WG_CLIENTS out-interface-list=LAN

chiaramente la regola di accept established,related va messa come seconda regola nell'elenco delle regole del firewall, la prima regola generalmente è la regola di fasttrack

Manual:IP/Fasttrack - MikroTik Wiki

wiki.mikrotik.com wiki.mikrotik.com
 
Ultima modifica:
r3dl4nce ha detto:
chiaramente hai una regola di firewall chain forward con accept dei pacchetti established, related vero?
Clicca per espandere...
si ho qusta regola.
r3dl4nce ha detto:
da ip firewall imposta un regola di accept chain forward dalla interface list wireguard alla interface list lan. Se vuoi farla più precisa, crei anche una address list con la subnet della lan e metti come dst address list quella, così almeno puoi anche gestire in modo granulare l'accesso a più subnet nella lan
Clicca per espandere...
questa regola in che posizione va messa?? se la metto come prima regola funziona ma come ultima ovviamente no

1720192580995.webp
questa regola è giusta ?
NetLan è la lista subnet della lan
Wg1 è la lista con l'interfaccia wireguard
1720192749807.webp

in posizione 12 come in foto sembra funzionare !!!!

come al solito grazie
 
Correttamente andrebbe messa tra la 16 e la 17, per dare anche un ordine "sensato"
Io almeno faccio così, le prime regole sono per fasttrack e vanno sempre messe per prime, così da saltare tutte le regole successive se sono state già valutate (pacchetti established e related), poi metto tutte le regole di input, poi tutte le forward, le regole di drop chiaramente in fondo a meno di gestioni particolari (esempio drop da wifi ospiti a lan standard, ecc)

Quindi visto che questa è una regola di forward (ovviamente, dato che deve passare pacchetti dal mikrotik verso altri apparati) la metterei insieme alle altre regole di forward, dopo le due regole per la LAN e la WIFI OSPITI, ci metti la regola per wireguard, per cui appunto, posizione tra 16 e 17.
Inoltre manca l'interface list per l'interfaccia di destinazione, guarda il mio esempio, io non mi baserei solo sugli ip ma anche e soprattutto sulle interfacce (quindi L2)

Non vedo però una regola di INPUT per accettare pacchetti sulla porta di wireguard al mikrotik, visto che è lui server wireguard....
 
r3dl4nce ha detto:
per capirsi:
Codice: 
/interface bridge
add comment="BRIDGE LAN" name=brLAN port-cost-mode=short

/interface wireguard
add listen-port=13231 mtu=1420 name=wgPippo

/interface list
add name=WG_CLIENTS
add name=LAN



/interface list member
add interface=wgPippo list=WG_CLIENTS
add interface=brLAN list=LAN


/ip firewall address-list
add address=192.168.1.0/24 list=NetLan
/ip firewall filter
add action=accept chain=forward comment="FWD - ACCEPT established, related" connection-state=established,related
add action=accept chain=forward comment="FWD - ACCEPT - WIREGUARD --> LAN" dst-address-list=NetLan in-interface-list=WG_CLIENTS out-interface-list=LAN

chiaramente la regola di accept established,related va messa come seconda regola nell'elenco delle regole del firewall, la prima regola generalmente è la regola di fasttrack

Clicca per espandere...
Non avevo visto che avevi modificato ... ora controllo se quello che ho fatto corrisponde a quello che hai scritto[/url]
 
Ultima modifica:
Quella devi averla, altrimenti il firewall non consente connessioni sulla porta di wireguard.
Con la regola di forward ti funziona tutto?
 
r3dl4nce ha detto:
Quella devi averla, altrimenti il firewall non consente connessioni sulla porta di wireguard.
Con la regola di forward ti funziona tutto?
Clicca per espandere...
Ok ora l'ho lasciata,
Comunque sembra funzionare , cioè da esterno riesco ad accedere alla rete LAN dove c'è il mikrotik ma non il contrario .. probabilmente perché non ho accesso alle regole lato 2 di wireguard .. comunque va bene così...
 
r3dl4nce ha detto:
Non capisco questo, cosa intendi?
Clicca per espandere...
Con tunnel acceso non riesco ad accedere da casa al pc con app windows con rdp. Magari è normale...

poi ho provato da esterno a collegarmi al nas di casa e fare un trasferimento di dati e viaggia alla velocità di 1 MB/s anche questo magari è normale anche se mi sembra un po' pochino...

per quanto riguarda il tunnel dovrebbe essere ok perche riesco ad accedere a tutta la lan
 
BuSte ha detto:
Con tunnel acceso non riesco ad accedere da casa al pc con app windows con rdp. Magari è normale...
Clicca per espandere...
Certo che sì, la configurazione fatta è la cosidetta "Road Warrior" ovvero da esterno accedi a una rete interna, non il contrario.
Per fare il contrario ci sono considerazioni da fare che non credo siano facilmente risolvibili, esempio come ti colleghi a internet dal pc esterno? Perché wireguard necessita degli IP da far passare, ma se la rete del PC esterno è sempre diversa (esempio una volta hotspot cellulare, una volta wifi hotel, ecc) non è possibile impostarla, inoltre nel mikrotik andrebbe impostata una route dedicata e una regola di forward, ma anche lì il problema sorge dato che non si può sapere la rete da cui ti colleghi.
Se invece la rete remota da cui ti colleghi è sempre la stessa si può fare una configurazione Punto Punto e allora hai accesso in entrambe le direzioni


BuSte ha detto:
poi ho provato da esterno a collegarmi al nas di casa e fare un trasferimento di dati e viaggia alla velocità di 1 MB/s anche questo magari è normale anche se mi sembra un po' pochino...
Clicca per espandere...

Che banda in upload hai a casa? Perché mentre quando scarichi a casa usi la banda in download (generalmente alta), per inviare dati da casa verso l'esterno usa la banda un upload, che generalmente è ben minore di quella in upload.


BuSte ha detto:
per quanto riguarda il tunnel dovrebbe essere ok perche riesco ad accedere a tutta la lan
Clicca per espandere...
Eh sì con le configurazioni che ti ho fatto fare sei a posto nella configurazione "Road Warrior"
 
Pubblicità
Pubblicità
Indietro
Top