venerdì , Marzo 31 2023
Ultime Notizie
Home / Wireless & Networking / Mikrotik / Mikrotik Site to Site Wireguard VPN

Mikrotik Site to Site Wireguard VPN

Ciao Ragazzi,

a volte ritornano!

Dopo diverso tempo che non posto nulla (per motivi lavorativi!) sono finalmente riuscito a trovare il tempo di provare la versione 7 di RouterOS, ma soprattutto la funzionalità aggiuntiva che volevo testare ovvero la VPN con Wireguard.

Sicuramente il vantaggio, rispetto ad IPSec è la facilità di configurazione: è praticamente istantanea.

Se proprio devo trovare un difetto, sicuramente il fatto che sia UDP (che è uno dei motivi che la rende anche una vpn con latenza molto bassa) non mi fa entusiasmare: io rimango della vecchia scuola e amo il 3-way-handshake del TCP.

Torniamo a noi, come scenario utilizzerò questo:

Passiamo alla configurazione (vi faccio vedere prima la parte testuale e poi gli screen di Winbox)

Office1

/interface/wireguard
add listen-port=13231 name=wireguard_office1

Office2

/interface/wireguard
add listen-port=13231 name=wireguard_office2

Una volta configurati i peer sui singoli Office, si configurano i rispettivi peer:

Office1

/interface/wireguard/peers
add allowed-address=10.1.101.0/24 endpoint-address=192.168.80.1 endpoint-port=13231 interface=wireguard_office1 \
public-key=”PUBLIC_KEY_OFFICE2″

Office2

/interface/wireguard/peers
add allowed-address=10.1.102.0/24 endpoint-address=192.168.90.1 endpoint-port=13231 interface=wireguard_office2 \
public-key=”PUBLIC_KEY_OFFICE1″

Infine si aggiungono gli indirizzi IP sulle interfacce di Wireguard e le rotte statiche per raggiungere gli endpoint.

Office1

/ip/address add address=10.255.255.1/30 interface=wireguard_office1

/ip/route add dst-address=10.1.101.0/24 gateway=wireguard_office1

Office2

/ip/address add address=10.255.255.2/30 interface=wireguard_office2

/ip/route add dst-address=10.1.202.0/24 gateway=wireguard_office2

Infine le regole firewall per permettere la connessione solo dai rispettivi endpoint pubblici:

Office1

/ip/firewall/filter
add action=accept chain=input dst-port=13231 protocol=udp src-address=192.168.80.1

Office2

/ip/firewall/filter
add action=accept chain=input dst-port=13231 protocol=udp src-address=192.168.90.1

I siti adesso sono collegati.

Di seguito le schermate di Winbox:

Schermata di aggiunta della interfaccia Wireguard
Schermata di aggiunta dei Peers
Aggiunta di classi ip che possono comunicare con il tunnel Wireguard

Enjoy!

P.

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi...) ma non disprezzo altri linguaggi all'occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Juniper Router – introduzione

Ciao Ragazzi, è un po’ che non scrivo,ma oggi voglio iniziare una nuova sezione del …

2 Commenti

  1. Massimiliano

    Credo che per funzionare correttamente in entrambi i peer vada aggiunta anche 10.255.255.0/30 tra gli allowed addresses

    • Paolo Daniele

      Ciao Massimiliano, grazie della precisazione, in effetti nella foto si vede 🙂
      P.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *