paolodaniele.it – linux & networking
Ciao Ragazzi,
a volte ritornano!
Dopo diverso tempo che non posto nulla (per motivi lavorativi!) sono finalmente riuscito a trovare il tempo di provare la versione 7 di RouterOS, ma soprattutto la funzionalità aggiuntiva che volevo testare ovvero la VPN con Wireguard.
Sicuramente il vantaggio, rispetto ad IPSec è la facilità di configurazione: è praticamente istantanea.
Se proprio devo trovare un difetto, sicuramente il fatto che sia UDP (che è uno dei motivi che la rende anche una vpn con latenza molto bassa) non mi fa entusiasmare: io rimango della vecchia scuola e amo il 3-way-handshake del TCP.
Torniamo a noi, come scenario utilizzerò questo:
Passiamo alla configurazione (vi faccio vedere prima la parte testuale e poi gli screen di Winbox)
Office1
/interface/wireguard
add listen-port=13231 name=wireguard_office1
Office2
/interface/wireguard
add listen-port=13231 name=wireguard_office2
Una volta configurati i peer sui singoli Office, si configurano i rispettivi peer:
Office1
/interface/wireguard/peers
add allowed-address=10.1.101.0/24 endpoint-address=192.168.80.1 endpoint-port=13231 interface=wireguard_office1 \
public-key=”PUBLIC_KEY_OFFICE2″
Office2
/interface/wireguard/peers
add allowed-address=10.1.102.0/24 endpoint-address=192.168.90.1 endpoint-port=13231 interface=wireguard_office2 \
public-key=”PUBLIC_KEY_OFFICE1″
Infine si aggiungono gli indirizzi IP sulle interfacce di Wireguard e le rotte statiche per raggiungere gli endpoint.
Office1
/ip/address add address=10.255.255.1/30 interface=wireguard_office1
/ip/route add dst-address=10.1.101.0/24 gateway=wireguard_office1
Office2
/ip/address add address=10.255.255.2/30 interface=wireguard_office2
/ip/route add dst-address=10.1.202.0/24 gateway=wireguard_office2
Infine le regole firewall per permettere la connessione solo dai rispettivi endpoint pubblici:
Office1
/ip/firewall/filter
add action=accept chain=input dst-port=13231 protocol=udp src-address=192.168.80.1
Office2
/ip/firewall/filter
add action=accept chain=input dst-port=13231 protocol=udp src-address=192.168.90.1
I siti adesso sono collegati.
Di seguito le schermate di Winbox:
Enjoy!
P.
Credo che per funzionare correttamente in entrambi i peer vada aggiunta anche 10.255.255.0/30 tra gli allowed addresses
Ciao Massimiliano, grazie della precisazione, in effetti nella foto si vede 🙂
P.
Molto interessante il tuo articolo. Vorrei realizzare la stessa cosa e cioè poter vedere i disposiivi del mio ufficio da casa e quelli di casa dall’ufficio. Il mio problema è che i router mikrotik dovrebbero stare dietro ai router dei miei ISP, dove uno mi consente di fare port forwarding e l’altro port forwarding e anche routing. Quali modifiche dovrei apportare alla configurazione che hai pubblicato?
Grazie.
Ciao, se ti fanno fare port forwarding devi semplicemente fare il forward delle porte di Wireguard verso gli ip delle rispettive mikrotik. Non serve nient’altro.