WireGuard Site to Site VPN [konfiguracja MikroTik]

Schemat połączeniowy VPN typu Site to Site

W tym artykule pokażę, jak skonfigurować połączenie VPN między dwoma routerami MikroTik. Przedstawione połączenie Site to Site spotykane jest w sieciach VPN łączących różne oddziały firmy.

Konfigurację w formie video obejrzysz TUTAJ 🙂

Jak działają sieci Site to Site

Ogólnym założeniem sieci VPN Site to Site jest łączenie odległych lokalizacji w bezpieczną sieć. Sposób działania można porównać do sieci Peer to Peer (P2P). Aby zestawić takie połączenie, router musi nasłuchiwać na porcie udostępniającym usługę VPN i sam też łączyć się z odległą lokalizacją. Co ważne, w konfiguracji Peerów musi posiadać informacje o budowie sieci, z którą się łączy, mam tutaj na myśli wskazanie zakresów adresów IP, którym pozwalamy na komunikację przez tunel.

Sieci Site to Site mają tą zaletę, że do działania nie potrzebują dodatkowego serwera VPN, który łączy ze sobą te sieci. Ta zaleta jest jednocześnie ich wadą, bo skoro nie ma centralnego serwera VPN, to jeśli w przyszłości będziemy chcieli dodać kolejny oddział firmy do sieci, to będziemy musieli dodać wszystkie istniejące Peery na routerze nowego oddziału i we wszystkich istniejących routerach pododawać informację o nowym oddziale. Rozwiązaniem tego problemu może być oskryptowanie takiej konfiguracji lub zainstalowanie gdzieś w chmurze centralnego serwera pośredniczącego, dzięki temu prędkość Internetu podczas komunikacji między routerami nie będzie ograniczana przez najsłabsze ogniwo, czyli serwer VPN przetwarzający ten ruch.

Konfiguracja

Ustawianie tożsamości routera

Pierwszą czynnością jaką warto wykonać to zmiana nazwy routerów, dzięki temu nie tylko adres MAC będzie identyfikatorem, który jednoznacznie określa router w WinBox, ale też ta nazwa. Aby ustawić taki identyfikator należy:

  1. Zalogować się programem WinBox do pierwszego routera. O ile to możliwe można wyłączyć drugi router, aby mieć pewność, że zestawiamy połączenie z właściwym routerem.
  2. Przejdź do menu System > Identity.
  3. W wyświetlonym oknie wpisz nową nazwę urządzenia i kliknij OK.
  4. Punkty 0-2 powtórz na innych routerach.

Po nadaniu nazw routerom, ich tożsamość jest widoczna w kolumnie Identity w oknie połączenia. Pozwala to jednoznacznie zidentyfikować router.

Tworzenie interfejsu WireGuard

  1. Połącz się z routerami MikroTik wykorzystując WinBox. W miarę możliwości zestaw 2 oddzielne sesje konfiguracyjne, po jednej na router.
  2. Na obu routerach utwórz konfigurację interfejsu WireGuard wybierając z menu bocznego WireGuard.
  3. W wyświetlonym oknie pozostając na karcie WireGuard naciśnij znak Ikona MikroTik Add.
  4. W razie potrzeby zmień nazwę dla interfejsu i port nasłuchiwania.
  5. Naciśnij OK.
  6. Powtórz czynności na drugim routerze.

Konfiguracja Peera

  1. Przejdź do zakładki Peers i naciśnij ikonę Ikona MikroTik Add
  2. W wyświetlonym oknie wskaż:
    – interfejs WireGuard
    – klucz publiczny drugiego routera (znajdziesz go w szczegółach interfejsu WireGuard)
    – Endpoint (publiczny adres IP drugiego routera)
    – Endpoint Port (port na którym nasłuchuje interfejs na drugim routerze)
    – dozwolone adresy (zakresy adresów urządzeń, które mogą się komunikować z urządzeniami w sieci tego routera, muszą być to adresy wewnętrzne drugiego routera)
  3. Naciśnij OK.
  4. Powtórz czynność na drugim routerze pamiętając o zmianach adresów IP i kluczu publicznym.
Przykładowy sposób na skopiowanie klucza publicznego.
Konfiguracja Peera na MikroTik1
Konfiguracja Peera na MikroTik2

Konfiguracja adresu IP i routingu

  1. Przejdź do menu IP > Addresses.
  2. Naciśnij ikonę Ikona MikroTik Add.
  3. Wypełnij formularz według wzoru.
  4. Przejdź do menu IP > Routes.
  5. Powtórz czynność na drugim routerze zmieniając adres IP.
  6. Naciśnij przycisk Ikona MikroTik Add.
  7. Wpisz adres docelowy podając zakres sieci z drugiego routera i jako bramę podaj nazwę interfejsu WireGuarda.
  8. Naciśnij OK.
  9. Powtórz czynności na drugim routerze. Poniżej zrzuty ekranu z analogicznej konfiguracji drugiego routera.
Konfiguracja adresu IP na MikroTik2
Konfiguracja trasy na MikroTik2

Konfiguracja firewalla

Może się zdarzyć, że router będzie odrzucał połączenie przychodzące i uniemożliwi zestawienie połączenia VPN. Warto dodać do konfiguracji kilka reguł.

  1. Przejdź do IP > Firewall i do zakładki Filter Rules.
  2. Naciśnij ikonę Ikona MikroTik Add.
  3. Dodaj reguły na Firewallu zgodnie z poniższym zrzutem ekranu (zwróć uwagę na dwie karty ustawień).
  4. Naciśnij OK.
  5. Analogiczną regułę z adresem IP pierwszego routera dodaj na drugim routerze.
  6. Na obu routerach utwórz jeszcze identyczne reguły w łańcuchu forward z akcją accept.

Test konfiguracji

Po przeprowadzeniu konfiguracji, komunikacja między sieciami odbywa się bez problemów.