22T28 WireGuard Site to Site VPN [Konfiguracja MikroTik]

MikroTik Site to Site VPN WireGuard

Link do artykułu.

0:00 Wprowadzenie

0:28 Wygląd Sieci

1:54 Włączenie pozostałych urządzeń

4:32 Konfiguracja WireGuard

9:43 Konfiguracja Routingu

11:48 Konfiguracja Firewalla

15:21 Podsumowanie

Transkrypcja

Cześć, chcesz dowiedzieć się jak skonfigurować WireGuard na routerze MikroTik? Jeśli tak, to dobrze trafiłeś. W tym odcinku pokażę jak zestawić połączenie typu Site to Site między routerami MikroTik. Zapraszam.

Zanim skonfiguruję tunel WireGuard typu Site to Site najpierw pokaże, jak będzie wyglądała sieć. Do interfejsu fizycznego mamy wpięte dwa routery MikroTik, do każdego z routerów po dwa testowe urządzenia. Znajdują się one w oddzielnych sieciach. Zanim zacznę konfigurację, najpierw nadam odpowiednie nazwy tym urządzeniom. Tzw. tożsamości. W tym celu najpierw włączę jeden z routerów. Połączę się z nim. Korzystając z programu WinBox i łączę się wykorzystując MacAdress. Jak już jestem zalogowany to przechodzę do menu System –> Identity. Tutaj modyfikuję nazwę tego routera na taką bardziej przyjazną. Np MikroTik1. Domyślnie każdy z routerów ma nazwę MikroTik. Jak jeden router jest nazwany mogę bezpiecznie uruchomić drugi router i zestawić dodatkowe połączenie z WinBoxem. Narazie jest widoczny ten wcześniejszy router. Tu już widać jego identity Mikrotik1. Jest drugi MikroTik Tutaj również przechodzę do System –> Identity i zmieniam mu nazwę na MikroTik2.

Jak już urządzenia są nazwane to możemy wygodnie operować. Można teraz włączyć pozostałe urządzenia i otworzyć ich okna w terminalu. Więc mamy pc1. Tutaj umieścimy pc1-2…. pc2-1 i pc2-2. Pierwsza cyfra oznacza numer routera a druga cyfra numer urządzenia podłączonego do tego konkretnego routera. Sieć jest skonfigurowana w następujący sposób: router MikroTik1 posiada sieć 10.010.1 z maską 24 bitową a router MikroTik2… 10.021 z maską 24 bitową. Wracając do sieci z routera pierwszego mamy konfigurację serwera DHCP dzierżawy. Router MikroTik1 przydzielił konfigurację dla dwóch urządzeń. To samo zrobił router MikroTik2. Poleceniem ping pokażę jak aktualnie działa sieć. Zapinguję urządzenie podłączone do tego samego routera i pong przechodzi. Jak spróbuję zapingować urządzenie podłączone do drugiego router i otrzymuję time off. Zapinguję jeszcze Facebook. Więc jest potwierdzenie, że maskarada działa poprawnie.

To, co chcę teraz zrobić to skonfigurować WireGuard w taki sposób, aby urządzenie mogło się skomunikować wykorzystując ten router. Połączenie mogło przejść przez internet, połączyć się z drugim routerem i zostać przekierowane do routera z drugiej sieci. A to urządzenie mogło odpowiedzieć pongiem przez internet a dokładnie tunelem WireGuard do routera MikroTik1 i zostać z powrotem przekierowane do VPC1.1. więc to co teraz chcę zrobić to skonfigurować interfejs WireGuard na routerach. Przechodzę do routera MikroTik1. Z menu po lewej wybieram WireGuard, naciskam przycisk Add i wpisuję nazwę dla interfejsu WireGuard. Na MikroTiku jest to domyślnie WireGuard1, można skrócić np do WG1. Port domyślny może zostać. Oczywiście to jest przypadek testowy, w praktyce dla bezpieczeństwa można zmienić na jakieś inne. Jeśli mamy już jakiś klucz prywatny i publiczny to możemy go zdefiniować. Jeśli tego pola nie wypełnimy zostanie klucz wygenerowany automatycznie. Naciskam Apply. Klucz został wygenerowany.

Przechodzę teraz do ustawień routera MikroTik2 i wykonuję tą samą czynność. Przechodzę do ustawienia WIreGuard. Naciskam Add. Nazwę najlepiej stosować tą samą dla konkretnego połączenia i naciskam Apply. Klucze zostały wygenerowane. Teraz należy skonfigurować tzw. Peera. W tym celu przechodzę do WireGuard –> Peers. Może zacznę od routera1 i naciskam Add. Z listy interfejsów można wybierać tylko interfejsy dotyczące WireGuard’a. Należy tutaj wkleić klucz publiczny routera, który jest po drugiej stronie. Czyli jak tutaj jesteśmy na routerze MikroTik1, przechodzimy do konfiguracji routera MikroTik2. Naciskamy prawym przyciskiem myszy na klucz publiczny. Naciskamy Copy All i całość została skopiowana. Następnie wracamy do routera MikroTik1 i wklejamy do pola klucz publiczny. Pozostając w ustawieniach na routerze MikroTik1 w polu Endpoint należy wpisać publiczny adres IP routera2. Można tą informacje znaleźć w IP Adresses. W naszym przypadku jest to adres stale przypisany z lokalnego DHCP 10.253.253.106. Należy go wpisać w tym miejscu. Endpoint Port jest to port WireGuarda. Jest on dokładnie taki sam jak w konfiguracji tutaj. Nasłuchiwania. 13231. Dozwolone adresy IP są to adresy w sieci lokalnej routera po drugiej stronie. Tutaj przycisk sugeruje, że wartości mogą wskazywać na różne adresy lub różne zakresy. Dlatego można zdefiniować cały zakres adresów z tej sieci. Będzie to 10.0.20.0 i zezwalamy dla całej podsieci, czyli wskazujemy maskę 24 bitową. Klucza współdzielonego nie definiowaliśmy. Naciskamy Apply i OK.

Konfigurację mamy zrobioną częściowo więc można zobaczyć jak to aktualnie wygląda. Spróbujemy zapingować urządzenie z sieci z routera2. Nadal mamy Timeout. A w przypadku urządzenia z sieci z routera1 również mamy TimeOut. Teraz taką samą konfigurację trzeba przeprowadzić na routerze MikroTik2. Przechodzimy do Peers. Mamy interfejs wg1. Wklejam klucz publiczny routera MikroTik1. Jako Endpoint wskazuje adres 10.253.253.103. Port Endpoint’a 13231, dozwolony zakres adresów 10.0.10.0/24 i OK. Dozwolony zakres adresów dotyczył urządzeń po drugiej stronie. Dlatego tutaj mamy 20.

Teraz należy skonfigurować routing aby pakiety mogły przejść na drugą stronę. Bo aktualnie jak wykonam ping to nadal będę otrzymywał Timeout’y. A więc tak: przechodzę na routerze MikroTik1 do IP –> Addresses i dodaje tutaj interfejs dla WireGuard’a. Będzie to interfejs komunikacyjny między sieciami. Wpisuję adres np. 10.255.255.1/30 i przypisuję mu interfejs wg1 WireGuarda. Odrazu dodaję trasę: IP Routes Add. Jako adres docelowy wpisuję 10.0.20.0/24. Jako brama wpisuję wg1. Naciskam Apply. Trasa została dodana.

Analogicznie postępuję na routerze MikroTik2. Przechodzę do IP Adresses i dodaję adres 10.255.255.2/30 Interfejs wskazuję wg1. Naciskam Apply i OK. Adres został dodany. Jeszcze pozostaje dodać routing. IP –> Routes. Naciskam Add I wpisuję adres sieci lokalnej z pierwszego routera. Będzie to 10.0.10.0/24. Jako brama wpisuję wg1. Naciskam Apply i OK. Kolejnym etapem będzie konfiguracja Firewalla ale najpierw sprawdźmy jak wygląda odpowiedź na pingi. Odpowiedzi przychodzą w dwie strony.

Przechodzimy do IP –> Firewall. Najpierw przeprowadzę konfigurację na routerze MikroTik1. Przechodzę do IP –> Firewall. Wstępnie w Filter Rules i dodaję regułę. Będzie to łańcuch: input, będzie do tego wykorzystywany protokół udp. Na porcie docelowym 13231. Jako adres źródłowy wskazuję adres publiczny routera2. Czyli w tym przypadku będzie to 10.253.253.106 i akcja jaka ma być wykonana to Accept. Naciskamy Apply i OK. Podobnie robimy na routerze MikroTik2. IP –> Firewall. Zakładka Filter Rules. Dodajemy nową regułę. Na łańcuchu input, adres źródłowy 10.253.23.106. Komunikacja będzie odbywać się protokołem udp. Na porcie docelowym 13231 i chcemy zezwolić na taki ruch. Tabelka powinna być praktycznie identyczna. Nie ma żadnej różnicy praktycznie. No poza adresami IP. Jeszcze należy dodać reguły przekazywania ruchu. Zaczniemy od routera MikroTik1. W ustawieniach firewalla na zakładce Filter Rules dodajemy nową regułę. Akcja docelowa ma zezwalać na tego typu ruch. Łańcuch Foreward. Adres docelowy ma być siecią lokalną tego routera 10.0.10.0/24 a adres źródłowy 10.0.20.0/24. Możemy skopiować tą regułę bo będzie tworzona druga, prawie identyczna. Jedyne co się zmieni to kolejność pola źródłowego i docelowego. Dlatego tutaj zmieniamy na 1, tutaj na 2. I Apply. OK. Analogiczne wpisy dodajemy jeszcze na routerze MikroTik2. Ruch ma być dozwolony. Łańcuch forward. Adres źródłowy 10.0.10.0/24. A docelowy 10.0.20.0/24. Kopiujemy regułę wcześniej ją zapisując i też zmieniamy tylko kolejność wpisów. Czyli będzie 10.0.20.0 źródłowy i 10.0.10 docelowy i OK… Ruch nadal przechodzi. Więc tak: teraz odpytałem PC2. Jeszcze kontrolnie mogę odpytać PC1 zmieniając końcówkę na 254. Jeszcze sprawdzę czy sieć się komunikuje z drugiej strony. 253 odpowiada i 254 odpowiada.

Jak mogłeś zauważyć przed skonfigurowaniem Firewalla połączenie VPN poprawnie się zestawiało. Było to spowodowane tym, że brakowało reguły, która blokuje zainicjowany ruch przychodzący. Mimo tego postanowiłem skonfigurować dodatkowe reguły na Firewallu. Z tego względu, że Twój scenariusz może początkowo blokować ruch zainicjowany. A komunikacja typu Site to Site między różnymi sieciami wygląda w taki sposób, że połączenie jest inicjowane i z jednej i z drugiej strony. Każdy router jest i serwerem i klientem VPN. Do następnego razu.