24T24 Konfiguracja WireGuard – Połączenie Mikrotik Linux [Praktyczny Poradnik]

Link do artykułu.

0:00 Wprowadzenie

0:30 Konfiguracja Linuxa

1:41 Instalacja WireGuarda

2:57 Konfiguracja Linuxa z Mikrotikiem

4:52 Konfiguracja Peer’a

7:10 Instalacja Kumy

9:03 Uruchomienie Firewalla

9:32 Podsumowanie

Transkrypcja

Cześć. W dzisiejszym odcinku pokażę ci jak skonfigurować WireGuarda a do tego celu wykorzystam Linuxa, który znajduje się w naszej firmie jest wystawiony na zewnątrz oraz mój domowy router Mikrotik. Jak zobaczysz cała konfiguracja jest bardzo prosta jeżeli interesuje Cię tego typu tematyka to koniecznie zobacz ten odcinek.

Dobra no to zaczynamy w 1. kolejności zaczniemy od skonfigurowania naszego Linuxa w moim wypadku będzie to Debian 12. Ja już sobie tutaj przygotowałem ale zrobię jeszcze sobie update i upgrade tak na wszelki wypadek. Dobrą praktyką jest na samym początku instalacja chociażby uproszczonego Firewalla. Wystarczy, że wpiszemy apt instal ufw zaraz po instalacji nasz uproszczony Firewall jest nieaktywny, nie aktywujcie go zaraz po instalacji bo jeżeli to zrobicie to najprawdopodobniej odetniecie się od połączenia z waszym Linuxem.

Więc zaraz po instalacji dodajemy reguły, które zagwarantują nam połączenie z naszym Linuxem. Jeżeli macie stały adres IP to warto dodać regułę która nas będzie wpuszczać biorąc pod uwagę port oraz adres IP. Od razu dodam sobie tutaj por na którym będę również konfigurować mojego WireGuarda. W moim wypadku będzie to port 5656

Ok. Jak już wstępnie skonfigurowaliśmy naszego Linuxa no to pora na instalację naszego WireGuarda. Instalacja jak widać jest bardzo prosta i nie ma tu jakiś specjalnych wymagań. Jak już nam się wszystko zainstaluje to możemy przejść do konfiguracji. W 1. kolejności będziemy musieli sobie wygenerować klucz prywatny oraz klucz publiczny dla naszego serwera oraz klienta. Robi się to jak widać w bardzo prosty sposób. Takie klucze w bardzo prosty sposób możemy również wygenerować na stronie wireguardconfig.com ale chcę na początku wam pokazać Jak takie klucze jednak wygenerować Linuxem? i o co tutaj tak naprawdę chodzi…

Na początku aby tutaj się nie pomylić a bardzo łatwo o pomyłkę to wszystkie klucze które wygenerowałem wkleję sobie do notatnika. Tak aby mieć wszystko ładnie uporządkowane. A jak już wszystko będziemy mieć uporządkowane to dużo łatwiej będzie nam konfigurować. Generator konfiguracji, który wcześniej widziałeś nie powstał bez powodu ponieważ bardzo łatwo tutaj o pomyłkę. Właśnie z wklejaniem kluczy w odpowiednie miejsce.

Musimy stworzyć teraz konfigurację która umożliwi nam że nasz serwer Linuxowy połączy się z naszym Mikrotikiem więc edytujemy sobie plik w etc wilguard/wg0.conf Ja tutaj wklejam sobie wzór konfiguracji którą już sobie przygotowałem razem z adresacją i teraz tak bierzemy klucz prywatny naszego serwera i wklejamy go w interfejsie w miejscu prywatny klucz.

Następnie bierzemy klucz publiczny naszego klienta w moim wypadku będzie to Mikrotik i wpisujemy go w miejscu klucz publiczny naszego peer’a i na koniec możemy ale nie musimy jeżeli tego nie zrobimy to również zadziała ale dla bezpieczeństwa wpisujemy jeszcze klucz, który jest takim zabezpieczeniem, hasłem na wypadek gdyby nasza konfiguracja jednak wyciekła. Wpisujemy wspomniany wcześniej port 5656 Gotowe. Zapisujemy. Sprawdźmy jeszcze czy aby na pewno wszystko jest ok. Jest ok. Możemy przejść do naszego Mikrotika.

Tutaj również wchodzimy w zakładkę WireGuard w wersji 7.15 jest ona fajnie bardzo widoczna i teraz podobnie jak na Linuxie musimy tutaj wpisać nasz prywatny klucz czyli bierzemy klucz prywatny naszego klient i tutaj jak damy ok to ten klucz, który sam się wygeneruje, ten klucz publiczny powinien być dokładnie taki sam jaki wygenerowaliśmy na Linuxie. Jeżeli tak jest no to wszystko jest ok.

Przechodzimy do naszego peer’a i konfigurujemy. Nazwę możemy wpisać netadminpro interfejs zostawiamy publiczny klucz ale naszego serwera tutaj wpisujemy adres IP naszego Linuxa no i wspomniany wcześniej port 5656 przepuszczamy całe połączenie i nasz klucz zabezpieczający również wklejamy tak jak wspominałem jeżeli tego nie zrobimy ale również w konfiguracji Linuxa też tego nie może być zrobionego to również by to zadziałało. Ale zachęcam jednak żeby stosować tą metodę zawsze to dodatkowe zabezpieczenie. Musimy sobie jeszcze w Mikrotiku dodać adres w moim wypadku będzie to 10.0.0.2 Interfejs nasz WireGuard.

Dobra, pora sprawdzić czy wszystko działa poprawnie. Wracamy do naszego Linuxa i pierwszą czynnością jaką musimy zrobić to przeładować nasz interfejs. Czyli wyłączamy a następnie wystarczy, że go uruchomimy ponownie. Jeżeli wszystko dobrze zrobiliśmy i dodatkowo pokusiliśmy się o zrobienie reguł routingu na naszym Mikrotiku to możemy doprowadzić do takiej sytuacji, że nasze urządzenia za Mikrotikiem będą widoczne dla naszego Linuxa. W domyślnej konfiguracji będziesz miał dostęp tylko do Mikrotika. No ale my chcemy również mieć dostęp do naszej sieci. Czemu? Powodów może być wiele. Możesz dodać kilka lokalizacji i chcesz aby wszystkie były widoczne jako 1 sieć a może chcesz tak jak ja zainstalować sobie na Linuxie darmowe oprogramowanie, które będzie sprawdzać czy aby na pewno wszystko działa. i mowa tutaj oczywiście o darmowej Kumie online.

Aby szybko zainstalować Kumę będziemy potrzebować Dockera, który będzie nam właśnie potrzebny aby uruchomić naszą Kumę. Ja teraz sobie zainstaluję Dockera oraz od razu naszą Kumę. Nasza Kuma jest już na Dockerze więc możemy się logować. Oczywiście pamiętamy cały czas, że mamy uproszczonego Firewalla. Więc musimy dodać port do reguł. Więc dodajemy nasz domyślny port 3001 i logujemy się na naszą Kumę. Dodajemy monitor, rodzaj monitora ping, przyjazna nazwa serwer – Net Admin Pro nazwa hosta wpisujemy tutaj adres IP naszego serwera. Częstotliwość bicia serca czyli tak naprawdę co ile sekund ma być wysyłany ping – dajemy 20s bo mniej i tak nie można. i teraz tak: zróbmy taki eksperyment zobaczmy co się stanie kiedy rozłączymy naszego peer’a… Jak widać serwer nie odpowiada. Ale dlaczego widzę Kumę?Ponieważ do Kumy podłączyłem się za pomocą zwykłego połączenia internetowego ale Kuma już nie ma połączenia z naszą siecią.

Bardzo fajnie to działa bo tak naprawdę nie muszę się podpinać do VPN-a, mogę sobie zobaczyć jakiś widok w Kumie i od razu sprawdzić czy urządzenia w mojej firmie są aktywne czy też nie. Ok. Na samym końcu jak już wszystko skonfigurowaliśmy, przetestowaliśmy pora uruchomić nasz uproszczony Firewall. Domyślnie jest on wyłączony. Aby sprawdzić czy mamy dodane porty możemy to zrobić bardzo prostym poleceniem. Jak widać moje porty są dodane więc pora uruchomić naszego Firewalla.

Pamiętaj zawsze wcześniej sprawdź czy aby na pewno się nie odetniesz. Bo jeżeli popełnisz tutaj błąd no to cała twoja konfiguracja może pójść na marne bo będziesz musiał jeszcze raz po prostu zainstalować Linuxa.

W tym odcinku to tyle dzięki za uwagę. Mam nadzieję, że podobał Ci się odcinek. Jeżeli masz jakieś pytania lub sugestie to daj znać w komentarzu. Jeżeli możesz to pochwal się również jakiego VPN’a Ty używasz. Do zobaczenia w następnym odcinku, hej!