Einführung
Eine Möglichkeit, einige interne (Heim-) Dienste aus dem Internet verfügbar zu machen, ist ein VPN. Sie können natürlich einzelne Ports über ssh veröffentlichen, aber für eine vollständigere Kommunikation ist es besser, andere Lösungen zu verwenden. Ich habe bereits über ZeroTier und OpenVPN geschrieben und Vorwürfe erhalten, die ich zu Unrecht über Wireguard vergessen habe ...
Auf die eine oder andere Weise vermisste ich den VPN-Client (einschließlich Wireguard) auf einem eigenständigen Server. Ich musste das gesamte Heimnetzwerk mit mehreren Ressourcen verbinden (in diesem Fall mit vNet in Azure, obwohl dies nicht unbedingt erforderlich ist). Und ich entschied, dass es Zeit war, dies über den Router zu tun, um eine vollwertige Site-to-Site zu erreichen.
Obwohl Keenetic gelernt hat, Wireguard bei neuer Firmware zu unterstützen, habe ich keine für die alte Ultra gefunden. Es hat auch nicht mit OpenWRT funktioniert (für Ultra II gibt es das, aber mein Modell ist zu alt). Also entschied ich, dass es Zeit für ein Upgrade war. Und da Mikrotik RouterOS die Beta-Version 7 mit Wireguard herausbrachte, entschied ich, dass es Zeit war, dieses Wunder zu studieren.
Die Realität stellte sich als etwas komplizierter heraus als ich erwartet hatte, aber alles hat geklappt. Und jetzt werde ich die Hauptpunkte beschreiben, die ich nirgendwo finden konnte und die ich selbst erreichen musste.
Höhepunkte
Ich habe MikroTik hAP ac2 genommen. Das Modell ist alt, ohne Schnickschnack, aber es macht alles, was es braucht.
Obwohl ich mich noch nie mit Mikrotik befasst hatte, startete ich es schnell genug. Es gab einige Schwierigkeiten mit der Tatsache, dass es beim Einrichten des DHCP-Servers nicht ausreichte, das Netzwerk so einzustellen, dass IP-Adressen von diesem Netzwerk verteilt werden. Es stellte sich heraus, dass es auch einen separaten IP-Pool gibt. Aber das sind Kleinigkeiten. So schnell begann ich Wireguard zu konfigurieren.
Natürlich hat nichts funktioniert. Außerdem habe ich "auf der anderen Seite" nicht einmal eingehende Pakete gesehen.
Dann habe ich festgestellt, dass im Feld Endpunkt nur die IP-Adresse angegeben ist, aber kein Port vorhanden ist. Ich habe versucht, es explizit anzugeben, aber es ist abgebrochen. Das Feld wird rot und die Validierung schlägt fehl.
. , RouterOS, , , . -, , . , , . .. /interface wireguard peers . add . interface, public-key allowed-address. , :
add allowed-address=192.168.66.128/25,10.10.0.0/16 endpoint=66.166.166.42:51820 \
interface=wg0 persistent-keepalive=30 public-key="=".. . , .
, wg0 web-. WinBox, . , -, . , Linux IP . . :
/ip address
add address=192.168.66.253/24 interface=wg0 network=192.168.66.0Das ist alles. Im Internet finden Sie Anweisungen zur Installation von Wireguard auf Mikrotik mit OpenWRT. Aber für mich ist das eine Perversion. Sie können es jedoch in wenigen Minuten in Ihrem nativen RouterOS auslösen. Wenn du schon weißt wie. Funktioniert super, überhaupt keine Beschwerden.
PS Natürlich habe ich die Adressen geändert. Aber allowed-address=192.168.66.128/25auch add address=192.168.66.253/24kein Fehler. Ich habe nur eine Verbindung zu zwei Servern. Die Hälfte des Klasse-C-Netzwerks auf einem Server, die Hälfte auf dem anderen.
PPS Warum Wireguard und nicht OpenVPN? Zum Beispiel Leistung:
https://blog.entrostat.com/openvpn-vs-wireguard-network-performance-tests/
Und auch die einfache Einrichtung und ein bisschen Trivia.