Avaleht
uus teema   vasta Hinnavaatlus »  Andmeside ja kõnelevi »  Mikrotik Wireguard server. märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
rabzer
HV kasutaja
rabzer

liitunud: 17.07.2009



Autoriseeritud ID-kaardiga
sõnum 28.06.2023 21:57:47 Mikrotik Wireguard server. vasta tsitaadiga
Tere, proovin siin juba 3 päeva serverit püsti panna wireguard mikrotik ruuteri peale. Ei suuda kuidagi pingida 192.168.1.0/24 võrku. Pingida client poolt saan 192.168.1.9 ja 192.168.5.1. Näiteks 192.168.1.1 ei saa. Miku poolt ei saa ka pingida 192.168.5.3. Muidu ühendab ilusti. Testitud telefoniga hotspotiga ja mikuse logida saan ilusti üle wireguard vpn. Kus teen viga ?

Räägin võrgust veits. GW 192.168.1.1 (Telia ED500) > 192.168.1.9 Mikrotik ruuter mis täidab wireguard vpn serveri osa. Ei suuda kuidagi pingida 192.168.1.0/24 võrku.

Mikrotikus address list all: 192.168.1.9/24 Bridge ja 192.168.5.1/24 wireguard.

Routes all: # DST-ADDRESS GATEWAY DISTANCE
0 As 0.0.0.0/0 192.168.1.1 1
DAc 192.168.1.0/24 bridge1 0
DAc 192.168.5.0/24 wireguard1 0

Wireguard peers all: Allowed IPs: 0.0.0.0/0

Client windowsi peal seadistus: [Interface]
PrivateKey = kood=
Address = 192.168.5.3/24
DNS = 192.168.1.2

[Peer]
PublicKey = kood=
AllowedIPs = 0.0.0.0/0
Endpoint = xxx.xxxx.xxxx.xxxx:13231
PersistentKeepalive = 10
_________________
Kommentaarid: 67 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 62
tagasi üles
vaata kasutaja infot saada privaatsõnum
karu
HV kasutaja

liitunud: 08.08.2002
sõnum 29.06.2023 00:34:23 vasta tsitaadiga
Kui ping mikrotik-klient, ja klient-mikrotik töötab, siis on Sinul vaja mikrotikus wireguardi pealt tulev liiklus NAT'i alla panna, et see mikrotiku 192.168.1.9 aadressiga sisevõrgule nähtav oleks.
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
rabzer
HV kasutaja
rabzer

liitunud: 17.07.2009



Autoriseeritud ID-kaardiga
sõnum 29.06.2023 07:31:47 vasta tsitaadiga
karu kirjutas:
Kui ping mikrotik-klient, ja klient-mikrotik töötab, siis on Sinul vaja mikrotikus wireguardi pealt tulev liiklus NAT'i alla panna, et see mikrotiku 192.168.1.9 aadressiga sisevõrgule nähtav oleks.


Mikrotik klient ei tööta ju. Miks peaks nati alla panema kui mikrotikul täidab ainult switchi rolli ? Nat, firewall jne väljas.
_________________
Kommentaarid: 67 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 62
tagasi üles
vaata kasutaja infot saada privaatsõnum
karu
HV kasutaja

liitunud: 08.08.2002
sõnum 29.06.2023 08:44:17 vasta tsitaadiga
rabzer kirjutas:
karu kirjutas:
Kui ping mikrotik-klient, ja klient-mikrotik töötab, siis on Sinul vaja mikrotikus wireguardi pealt tulev liiklus NAT'i alla panna, et see mikrotiku 192.168.1.9 aadressiga sisevõrgule nähtav oleks.


Mikrotik klient ei tööta ju. Miks peaks nati alla panema kui mikrotikul täidab ainult switchi rolli ? Nat, firewall jne väljas.


Kuna mikrotik ei ole default gateway 192.168.1.1/24 võrgus, siis teised seadmed ei tea, et 192.168.5.1/24 peab mikrotiku kaudu liikuma, 192.168.1.1 ei oska nende pakettidega midagi teha, seega rakenda NAT kõigile 5.1/24 võrgust tulevale liiklusele.

Kui klient-mikrotik ping töötab, peaks mikrotik-klient ping ka töötama (klient == peer wireguard konfis).
Kui ainult mikrotik-klient ping ei tööta, klienti tulemüür blokeerib? Võta wireshark ja vaata mis liiklus klienti poolel wireguard liidese peal on kui pingida üritad, võibolla näitab midagi.

rabzer kirjutas:
Wireguard peers all: Allowed IPs: 0.0.0.0/0

Kui see on mikrotiku (serveri) poolel [Peer] all, siis seal peab olema ainult kliendi ip mis kliendi poolel [Interface] all on. Kui kliendi taga on mitu seadet (klient on ruuter), siis pead kliendi lan ip vahemiku sinna ka panema.
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
rabzer
HV kasutaja
rabzer

liitunud: 17.07.2009



Autoriseeritud ID-kaardiga
sõnum 29.06.2023 10:04:52 vasta tsitaadiga
Pandud Wireguard peers all: Allowed IPs: 192.168.5.3/32. Sain pingima ka 192.168.5.3. Mingi windows tulemüüri probleem jah on. Kui maha võtta siis pingib. Kuigi wireguard pandud allow privat ja public.

Kus ma peaks rakendama NAT ? Telia ruuteris ? Mis ma peaks täpsemalt panema seal. Praegu siis mure ikka 192.168.1.0/24 võrgu pingimine client poolt.
_________________
Kommentaarid: 67 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 62
tagasi üles
vaata kasutaja infot saada privaatsõnum
karu
HV kasutaja

liitunud: 08.08.2002
sõnum 29.06.2023 10:29:35 vasta tsitaadiga
rabzer kirjutas:
Kus ma peaks rakendama NAT ? Telia ruuteris ? Mis ma peaks täpsemalt panema seal. Praegu siis mure ikka 192.168.1.0/24 võrgu pingimine client poolt.

Mikrotikus (wireguard server) poolel pead tegema NAT'i selliselt, et kõik mis tuleb wireguard (peer) ip vahemikust ja lähevad välja lan liidesest.
Kuidas täpselt see mikrotikus saavutada ei oska kahjuks öelda.

Kui NAT on tehtud, siis klient peaks saama 192.168.1.1 (telia) pingida ning pingida ka 8.8.8.8 (google).

Windowsi tulemüüri võid esialgu jätta nagu ta on (enabled), kuna klient-mikrotik ping oli lubatud, siis peaks ülejäänud kliendi poolt algatatud liiklus ka lubatud olema.
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
lullerhaus
HV vaatleja
lullerhaus

liitunud: 14.03.2010



Autoriseeritud ID-kaardiga
sõnum 29.06.2023 18:34:27 vasta tsitaadiga
Põhimõtteliselt on sul kaks võimalust, kas teha vastav route telia ruuterist või tiku peal kõik vpn võrgust tulev liiklus source nat reegliga ümber kirjutada.
Kuna telia teenusruuteri softiga sa selliseid asju näppida ei saa ilmselt siis ainuke võimalus on source nat reegel teha.

Võiks välja näha midagi sellist
/ip firewall nat add action=src-nat chain=srcnat out-interface=bridge1 src-address=192.168.5.0/24 to-addresses=192.168.1.9
Kommentaarid: 8 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 8
tagasi üles
vaata kasutaja infot saada privaatsõnum
rabzer
HV kasutaja
rabzer

liitunud: 17.07.2009



Autoriseeritud ID-kaardiga
sõnum 29.06.2023 21:38:52 vasta tsitaadiga
lullerhaus kirjutas:
Põhimõtteliselt on sul kaks võimalust, kas teha vastav route telia ruuterist või tiku peal kõik vpn võrgust tulev liiklus source nat reegliga ümber kirjutada.
Kuna telia teenusruuteri softiga sa selliseid asju näppida ei saa ilmselt siis ainuke võimalus on source nat reegel teha.

Võiks välja näha midagi sellist
/ip firewall nat add action=src-nat chain=srcnat out-interface=bridge1 src-address=192.168.5.0/24 to-addresses=192.168.1.9


Lisatud sinu pakutud ja hakkas tööle icon_smile.gif Suured tänud !

Mure lahendatud!
_________________
Kommentaarid: 67 loe/lisa Kasutajad arvavad:  :: 1 :: 0 :: 62
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Hinnavaatlus »  Andmeside ja kõnelevi »  Mikrotik Wireguard server.
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.