dokładnie to miałem napisać. Przydałoby się trochę z Firewall'em popracować w kontekście Wireguarda.. Pozdrawiam :)

Korzystam od kilku lat. Nie dość że najszybszy to jeszcze konfiguruje się najprościej, a raczej konfiguracja jest najbardziej elegancka.

Taaa. Właściwie to jest on w wielu miejscach go pokazałem. Gdzie zauważyłem, to wyedytowałem. W praktyce nie powinno to nic zmienić, chyba że ktoś ma jakiegoś 0-day exploita na VPN w Mikrotiku, bo to jedyna opcja żeby dostać się na mój router ;)

Zrobię też o tym film. Nie mniej jednak ja jestem zwolennikiem rozwiązania jedno urządzenie-jeden tunel. Miałem problemy, jak próbowałem skonfigurować kilku klientów na jednym interfejsie.

@@TechGlobuz Mam na jednym interfejsie wg ustawionych 54 peerów i działa jak należy.

@@qbpm Jak to są zwykli klienci typu laptopy i smartfony, to spoko. Jak śmiga po tym OSPF, to nie widzę takiego rozwiązania.

@@TechGlobuz poradziłem już sobie z wg, wystarczyła podana przez ciebie strona :)

@@TechGlobuz tez mam ten problem. robiąc jedno urzadzenie - jeden tunel trzeba wydzielać osobne porty, a jesli chcemy serwer oraz kilku kientów bez publicznych ip to na 1 interfejsie chyba by miało sens

Nie było. Uwierz mi, że nie konfiguruję Mikrotika od wczoraj. Ten konkretny egzemplarz ma prawie domyślną konfigurację (w firewallu w 100% domyślną) i w 7.13 jak interfejs WG nie był dodany do listy LAN, to nie dało się po nim skomunikować. Testowane nie na jednym urządzeniu, bo mam u siebie wiele tuneli WG i zawsze warunkiem przerzucania ruchu przez interfejs WG (czy każdego innego tunelu VPN) było dodanie go do listy LAN. Zresztą na logikę tak to powinno działać. Mikrotik jak zwykle coś zmienił i pewnie sam nie jest tego świadomy, że zaczęło to działać inaczej niż wcześniej (nie pierwszy przypadek).

Zawsze wyrzucam całą domyślną konfiguracje. Nigdy nie tworzyłem listy interfejsów LAN. Dlatego sądzę że mogło to wynikać z innej konfiguracji. Najbliszy wydaje się być firewall.

@@TechGlobuz Uwierz że mam WG od którejś wcześniejszej wersji 7 i nigdy nie dodawałem interfejsu do LAN. Nie dodawałem, nie dodaje i działa :)

@@Harvey-DentU mnie nie działało. Zresztą widać, że miałem wszystkie interfejsy WG i SSTP dodane do LAN. Bez powodu i z nudów bym ich przecież tam nie dodawał. Inna sprawa, że jak na logikę przeanalizujesz działanie firewalla, to ruch od strony WAN do routera nie powinien przejść. No i właściwie teraz sam sobie odpowiedziałem na wątpliwości dlaczego mam to dodane do LAN. Bez dodania do LAN, jak będzie się łączyć od serwera do klienta, to firewall zdropuje ruch (a przynajmniej powinien). W drugą stronę pójdzie, bo klient inicjuje połączenie.

Globuz kolega ma racje. Ta interfaces robisz aby nie pisać reguł osobno na każdy interface.

Musisz statycznie dodać sąsiada OSPF i wtedy się zestawi

Niestety nie planuję. Nie korzystam z zewnętrznych VPN, nie wiem nawet po co coś takiego może się komuś przydać w polskich warunkach.

Co człowiek to inaczej wymawia. Jedni mają pretensje, że nie po polsku, drudzy, że nie po angielsku. Niektórzy mają pretensje, że PoE czytam jak skrót literowy, a nie jako jeden wyraz. Nie dogodzi się wszystkim, do tego ciężko jest dwujęzycznie mówić w jednym zdaniu.

Załatwić żeby dostawca przełączył router w bridge, ostatecznie ustawić DMZ lub przekierować port. Publiczne IP na sprzęcie dostawcy, to nie jest publiczne IP.

Koncept jest taki, żeby zrobić sobie podróżny router, który będzie w hotelu łączył się z wifi i robił tunel do domu dla urządzeń podłączonych do sieci generowanej przez ten podróżny router dla wszystkich podłączonych do niego urządzeń: telefonów, laptopów, chromecasta...

Będzie kiedyś przy okazji tematu OSPF, bo najłatwiej zrobić to na OSPF.

Firewall coś blokuje. Dodałeś interfejsy WG do listy LAN (o ile masz domyślną konfigurację z obu stron)?

Mam dokładnie ten samo problem. Udało Ci się go jakoś rozwiązać?

Jeśli faktycznie tak było, to trzeba zgłaszać bezpośrednio do Mikrotika, że nie działa tak jak powinno. Wbrew pozorom odpowiadają i próbują zrobić poprawki w następnych wersjach.

Niestety musi gdzieś być publiczne IP. Zostaje back to home albo zero tier.

@@TechGlobuz Co ciekawe po adresie IP mogę się zalogować do winboxa. Albo ja coś źle konfiguruje albo Vectra blokuje wireguarda. Back to home działa

@@boro977 Jak na mój gust, to coś musisz mieć źle skonfigurowane, skoro Winbox działa.

@@TechGlobuz spróbuję raz jeszcze według Twojego poradnika

Proponuję sprawdzić reguly firewalla. Miałem taki przypadek że wszystko działało. Można było logować na MT, ale nic więcej. Jak się później okazało firewall blokował ruch. Wystarczyło dodać jeden wpis, i jest ok.

Jest pokazane w odcinku o routingu.

@@TechGlobuz a widzisz. Szukałem wczoraj w nocy w odcinku o sieci wakacyjnej :) obejrzę ze zrozumieniem ponownie odcinek routingowy i wrócę pewnie z pytaniami ... :D

Kurka. Co może być nie tak, że router zestawia połączenie wireguard. Ma dostęp do sieci wewnętrznej na routerze docelowym, ale nie routuje tego ruchu dla klientów podpiętych do niego. Klient ma dostęp do internetu, ale nie do sieci lokalnej na routerze docelowym. Co mogę robić źle? Wczoraj wszystko działało, jedynie zmieniłem połączenie WAN z LTE na wifi klient

hmm miałem ustawiony interface wireguard na MT kliencie na int. list jako LAN, ustawiłem jako WAN i zaczęło routować poprawnie 🤩💪

Nie do końca rozumiem po co, ale da się bez problemów. Skrypty w Mikrotiku, to jest w ogóle osobny temat. Na pewno zbyt długi na jeden odcinek.

Po co? Przychodzę do domu wpinam laptop w gniazdo a wireguarda klient łączy się z mikrotikiem w mojej pracy. Wpięcie mojego laptopa (baza MAC) zestawia połączenie a na firewall ustala skrypt co do czego trafia. A dlaczego nie na laptopie - laptop służbowy I wszystko co w nim wolno do uruchomić www. Ciekawe?

Ilu ludzi, tyle opinii. Ja chcę i poniekąd muszę mieć osobny interfejs na każde połączenie, bo śmiga mi po tym OSPF. Generalnie dużo większy porządek jest, jak masz osobny interfejs na każde połączenie. Oczywiście problem może się pojawić, jak masz np. kilkudziesięciu pracowników, którzy łączą się po WG do routera w pracy, ale to już temat na inny film :)

Ja robię na głównym jeden, i działa, mam 54 peery do niego.

@@TechGlobuz A jak wycinają utp, to używasz sstp czy openvpn?

@@mkkr1096UDP, a nie UTP. UTP, to rodzaj kabla ;) Jak zwykle odpowiedź brzmi to zależy. Mam jedną lokalizację, gdzie administrator wycina wszystko oprócz SSTP i tam musi być SSTP.

@@TechGlobuz Tak, racja, oczywiście chodziło o udp. A openvpn idzie puścić na porcie 443? Bo jeżeli tak, to w czym sstp jest nad ovpn?

Tak.

dobra, nie tu miałem problem, ale i tak dla przyszłych pokoleń: firewall odblokowujemy (action accept) dla udp i portu wireguarda dla chain input i tyle, pamiętając oczywiście o przeniesieniu reguły możliwie wysoko na liście reguł.

Dodaj regułę input, protocol udp, dst port port podaj swój port WG, in interface podajesz port, który jest WAN, action ma być accept. No i reguła powinna być na początku, przed innymi.

Co konkretnie nie jest sensownie postawione? Domyślna konfiguracja Mikrotika jest wystarczająca dla 90% ludzi. Dużo ludzi pytało o konfigurację WireGuard. Biorąc pod uwagę zainteresowanie filmem, to wydaje się, że temat bardzo potrzebny. No i sam WireGuard jest bardzo prosty we wdrożeniu, ale (jak zwykle) diabeł tkwi w szczegółach. Dużo trudniej by było teraz wejść np. w omówienie Firewalla od podstaw (chociaż o tym będzie następna część, bo temat jest ważny).

@@TechGlobuz To tylko moje zdanie, ale na YT pytanie “czy chcecie”, “duzo ludzi” i zawsze znajdzie sie wielu zainteresowanych tym tematem. Temat ciekawy, potrzebny, ale wlasnie moze juz po firewall, QOS, filtrach rodzinnych, separacji pralki co sciaga 90GB czy chinskich zarowek , sieci dla gosci, itd. No masa podstaw. Jest pewnie duzo osob ktore potrzebuja tego juz dzis, ale tworzac spis tresci, taka liste konfiguracji sieci domowej od A do Z to ten V jest pod koniec :P

Żeby to tylko raz i żeby to tylko jeden. Co zauważyłem, to już wyedytowałem. Właściwie, to zagrożenie żadne, chyba że ktoś ma 0-daya na VPN-y w Mikrotiku, ale to wtedy może dopaść mnie (jak i każdego) zawsze skanując porty ;)