DOMANDA Cavo Eterneth,collegamenti e installazione linea

[r3dl4nce]

ora con la guida handshake è ok e da windows riesco a pingare il mikrotik ma non il contrario

Eh scusa, ma la configurazione RoadWarrior prevede proprio questo, un client remoto che accede ai servizi interni a una rete. Mica devi raggiungere il client remoto da dentro la rete LAN...

mancano sicuramente delle regole, pero non capisco come fare quando sono sull'app windows e attivo wireguard , non si connette internet,

Nel client, nella configurazione di Wireguard, nella sezione [Peer] devi impostare la voce AllowedIPs in modo restrittivo, non mettere 0.0.0.0/0 ma devi mettere gli IP del tunnel wireguard e gli IP della subnet della rete LAN a cui vuoi accedere
Altra guida dove spiega la configurazione RoadWarrion con Wireguard

WireGuard VPN Road Warrior Setup – EmanuelDuss.ch

 

[BuSte]

Eh scusa, ma la configurazione RoadWarrior prevede proprio questo, un client remoto che accede ai servizi interni a una rete. Mica devi raggiungere il client remoto da dentro la rete LAN...

ok sono riuscito a fare handshake e riesco a pingare il router mikrotik da esterno e con winbox riesco anche ad accedere alle impostazioni , ma se cerco di accedere a qualsiasi altro ip della LAN di casa non lo vede, non ho aggiunto qualche regola di firewall o NAT?

Nel client, nella configurazione di Wireguard, nella sezione [Peer] devi impostare la voce AllowedIPs in modo restrittivo, non mettere 0.0.0.0/0 ma devi mettere gli IP del tunnel wireguard e gli IP della subnet della rete LAN a cui vuoi accedere

ok cosi ho fatto inserito sia nel client che nel server gli ip del tunnel e delle due LAN e sono nella sitiazione descritta prima

 

[r3dl4nce]

ok sono riuscito a fare handshake e riesco a pingare il router mikrotik da esterno e con winbox riesco anche ad accedere alle impostazioni , ma se cerco di accedere a qualsiasi altro ip della LAN di casa non lo vede, non ho aggiunto qualche regola di firewall o NAT?

Crea una interface list per le interfacce wireguard
aggiungi alla interface list la tua attuale interfaccia wireguard
da ip firewall imposta un regola di accept chain forward dalla interface list wireguard alla interface list lan. Se vuoi farla più precisa, crei anche una address list con la subnet della lan e metti come dst address list quella, così almeno puoi anche gestire in modo granulare l'accesso a più subnet nella lan
chiaramente hai una regola di firewall chain forward con accept dei pacchetti established, related vero?


per capirsi:

/interface bridge
add comment="BRIDGE LAN" name=brLAN port-cost-mode=short

/interface wireguard
add listen-port=13231 mtu=1420 name=wgPippo

/interface list
add name=WG_CLIENTS
add name=LAN



/interface list member
add interface=wgPippo list=WG_CLIENTS
add interface=brLAN list=LAN


/ip firewall address-list
add address=192.168.1.0/24 list=NetLan
/ip firewall filter
add action=accept chain=forward comment="FWD - ACCEPT established, related" connection-state=established,related
add action=accept chain=forward comment="FWD - ACCEPT - WIREGUARD --> LAN" dst-address-list=NetLan in-interface-list=WG_CLIENTS out-interface-list=LAN

chiaramente la regola di accept established,related va messa come seconda regola nell'elenco delle regole del firewall, la prima regola generalmente è la regola di fasttrack

Manual:IP/Fasttrack - MikroTik Wiki

wiki.mikrotik.com

 

[BuSte]

chiaramente hai una regola di firewall chain forward con accept dei pacchetti established, related vero?

si ho qusta regola.

da ip firewall imposta un regola di accept chain forward dalla interface list wireguard alla interface list lan. Se vuoi farla più precisa, crei anche una address list con la subnet della lan e metti come dst address list quella, così almeno puoi anche gestire in modo granulare l'accesso a più subnet nella lan

questa regola in che posizione va messa?? se la metto come prima regola funziona ma come ultima ovviamente no


questa regola è giusta ?
NetLan è la lista subnet della lan
Wg1 è la lista con l'interfaccia wireguard


in posizione 12 come in foto sembra funzionare !!!!

come al solito grazie

 

[r3dl4nce]

Correttamente andrebbe messa tra la 16 e la 17, per dare anche un ordine "sensato"
Io almeno faccio così, le prime regole sono per fasttrack e vanno sempre messe per prime, così da saltare tutte le regole successive se sono state già valutate (pacchetti established e related), poi metto tutte le regole di input, poi tutte le forward, le regole di drop chiaramente in fondo a meno di gestioni particolari (esempio drop da wifi ospiti a lan standard, ecc)

Quindi visto che questa è una regola di forward (ovviamente, dato che deve passare pacchetti dal mikrotik verso altri apparati) la metterei insieme alle altre regole di forward, dopo le due regole per la LAN e la WIFI OSPITI, ci metti la regola per wireguard, per cui appunto, posizione tra 16 e 17.
Inoltre manca l'interface list per l'interfaccia di destinazione, guarda il mio esempio, io non mi baserei solo sugli ip ma anche e soprattutto sulle interfacce (quindi L2)

Non vedo però una regola di INPUT per accettare pacchetti sulla porta di wireguard al mikrotik, visto che è lui server wireguard....

 

[BuSte]

per capirsi:

/interface bridge
add comment="BRIDGE LAN" name=brLAN port-cost-mode=short

/interface wireguard
add listen-port=13231 mtu=1420 name=wgPippo

/interface list
add name=WG_CLIENTS
add name=LAN



/interface list member
add interface=wgPippo list=WG_CLIENTS
add interface=brLAN list=LAN


/ip firewall address-list
add address=192.168.1.0/24 list=NetLan
/ip firewall filter
add action=accept chain=forward comment="FWD - ACCEPT established, related" connection-state=established,related
add action=accept chain=forward comment="FWD - ACCEPT - WIREGUARD --> LAN" dst-address-list=NetLan in-interface-list=WG_CLIENTS out-interface-list=LAN

chiaramente la regola di accept established,related va messa come seconda regola nell'elenco delle regole del firewall, la prima regola generalmente è la regola di fasttrack

https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack[/URLURL

Non avevo visto che avevi modificato ... ora controllo se quello che ho fatto corrisponde a quello che hai scritto[/url]

out-interface-list=LAN

non avevo messo questa regola ma per il resto ho fatto come hai scritto nell'esempio

Non vedo però una regola di INPUT per accettare pacchetti sulla porta di wireguard al mikrotik, visto che è lui server wireguard....

se intendi questa la avevo e l'ho cancellata per sbaglio

 

[r3dl4nce]

Quella devi averla, altrimenti il firewall non consente connessioni sulla porta di wireguard.
Con la regola di forward ti funziona tutto?

 

[BuSte]

Quella devi averla, altrimenti il firewall non consente connessioni sulla porta di wireguard.
Con la regola di forward ti funziona tutto?

Ok ora l'ho lasciata,
Comunque sembra funzionare , cioè da esterno riesco ad accedere alla rete LAN dove c'è il mikrotik ma non il contrario .. probabilmente perché non ho accesso alle regole lato 2 di wireguard .. comunque va bene così...

 

[r3dl4nce]

ma non il contrario ..

Non capisco questo, cosa intendi?

 

[BuSte]

Non capisco questo, cosa intendi?

Con tunnel acceso non riesco ad accedere da casa al pc con app windows con rdp. Magari è normale...

poi ho provato da esterno a collegarmi al nas di casa e fare un trasferimento di dati e viaggia alla velocità di 1 MB/s anche questo magari è normale anche se mi sembra un po' pochino...

per quanto riguarda il tunnel dovrebbe essere ok perche riesco ad accedere a tutta la lan

 

[r3dl4nce]

Con tunnel acceso non riesco ad accedere da casa al pc con app windows con rdp. Magari è normale...

Certo che sì, la configurazione fatta è la cosidetta "Road Warrior" ovvero da esterno accedi a una rete interna, non il contrario.
Per fare il contrario ci sono considerazioni da fare che non credo siano facilmente risolvibili, esempio come ti colleghi a internet dal pc esterno? Perché wireguard necessita degli IP da far passare, ma se la rete del PC esterno è sempre diversa (esempio una volta hotspot cellulare, una volta wifi hotel, ecc) non è possibile impostarla, inoltre nel mikrotik andrebbe impostata una route dedicata e una regola di forward, ma anche lì il problema sorge dato che non si può sapere la rete da cui ti colleghi.
Se invece la rete remota da cui ti colleghi è sempre la stessa si può fare una configurazione Punto Punto e allora hai accesso in entrambe le direzioni

poi ho provato da esterno a collegarmi al nas di casa e fare un trasferimento di dati e viaggia alla velocità di 1 MB/s anche questo magari è normale anche se mi sembra un po' pochino...

Che banda in upload hai a casa? Perché mentre quando scarichi a casa usi la banda in download (generalmente alta), per inviare dati da casa verso l'esterno usa la banda un upload, che generalmente è ben minore di quella in upload.

per quanto riguarda il tunnel dovrebbe essere ok perche riesco ad accedere a tutta la lan

Eh sì con le configurazioni che ti ho fatto fare sei a posto nella configurazione "Road Warrior"

 

[BuSte]

Se invece la rete remota da cui ti colleghi è sempre la stessa si può fare una configurazione Punto Punto e allora hai accesso in entrambe le direzioni

Al momento quello che vorrei fare è poter accedere a rdp dell'ufficio da casa, utilizzando questo tunnel con server mikrotik casa ma considerando che non ho accesso a router ufficio ma solo ad un pc con su installato wireguard e non so se si puo fare, so che la connessione internet aziendale ha ip Statico e il computer ha anchesso ip fisso LAN.
la richiesta iniziale era si poter accedere dall'esterno alla rete di casa e questo è il primo passo.. credevo che lo scambio fosse reciproco ma poi andando a fondo ho capito che non è così.

Che banda in upload hai a casa? Perché mentre quando scarichi a casa usi la banda in download (generalmente alta), per inviare dati da casa verso l'esterno usa la banda un upload, che generalmente è ben minore di quella in upload.

in UP a casa ho generalmente 60 Mbps però facendo bene i calcoli è possibile che vada solo a quella velocità..

 

[r3dl4nce]

60 Mbps up? E che linea è?

Comunque il tunnel wireguard si può anche usare in modo bidirezionale, altrimenti non sarebbe possibile lo scambio di pacchetti.
L'IP con il client wireguard ha un IP di lan statico? Impostiamo sul mikrotik una route a quello

 

[BuSte]

60 Mbps up? E che linea è?

è poco ?? è una FWA vodafone, nella mia zona è già tanto che arrivi quella perche fibra non se ne parla per ora :)

Comunque il tunnel wireguard si può anche usare in modo bidirezionale, altrimenti non sarebbe possibile lo scambio di pacchetti.
L'IP con il client wireguard ha un IP di lan statico? Impostiamo sul mikrotik una route a quello

Si l'ip con client wireguard ha Ip di lan statico..
ora però anche con il tunnel attivo da winbox e nemmeno da browser non riesco ad accedere al router da esterno.. non ricordo di aver cambiato nessuna impostazione ma si vede che ho fatto qualche pasticcio..
--- i due messaggi sono stati uniti ---

ora però anche con il tunnel attivo da winbox e nemmeno da browser non riesco ad accedere al router da esterno.. non ricordo di aver cambiato nessuna impostazione ma si vede che ho fatto qualche pasticcio..

riesco ad accedere all'ap ma non al router, devo sicuramente aver toccato qualcosa

 

[r3dl4nce]

è poco ?? è una FWA vodafone, nella mia zona è già tanto che arrivi quella perche fibra non se ne parla per ora :)

Ok, non ti aspettare grandi velocità in trasferimento file, in RDP invece dovresti andare bene

Si l'ip con client wireguard ha Ip di lan statico..

In tal caso si può fare
Postami la config del client wireguard, cancellando ovviamente IP remoto e le voci Public/Private Key

ora però anche con il tunnel attivo da winbox e nemmeno da browser non riesco ad accedere al router da esterno.. non ricordo di aver cambiato nessuna impostazione ma si vede che ho fatto qualche pasticcio..

Se vuoi accedere alla configurazione del mikrotik che fa da server wiregurad tramite il tunnel wireguard, devi impostare nel firewall una regola nella chain input action accept con in-interface-list= la lista creata per l'interfaccia wireguard, chiaramente prima dell'eventuale regola di drop della chain input