Wireguard Mikrotik Pfsense

Pubblicato il di
Wireguard site-to-site Mikrotik Pfsense
Views: 289
0
(0)

Vediamo come configurare una VPN site-to-site usando Wireguard tra Mikrotik e Pfsense.

Nello scenario che andremo a vedere entrambe le sedi, che chiameremo SEDE A e SEDE B, hanno IP Pubblico dinamico.

Premessa

  • Sul router Mikrotik deve esserci un servizio DDNS configurato e funzionante(scopri come fare by foisfabio.it)
  • Sul firewall Pfsense deve esserci un servizio DDNS configurato e funzionante(leggi questo articolo per configurarlo)
  • Il router Mikrotik deve avere RouterOS versione 7

Dispositivi utilizzati

  • Mikrotik CHR
  • Pfsense

Diagramma di rete Wireguard site-to-site Mikrotik Pfsense

Sede A – Configurazione Wireguard Mikrotik

Creazione interfaccia

  1. Entriamo nel nostro Mikrotik tramite Winbox e rechiamoci nella sezione Wireguard
  2. Clicchiamo su +(Add) per aggiungere una nuova interfaccia Wireguard
  3. Configuriamo l’interfaccia:
    • Name – wg-pfsense
    • Listen Port – 42323
    • Clicchiamo su Apply e salviamoci la Public Key che verrà generata, ci servirà nella configurazione del Pfsense
    • Clicchiamo su OK
wireguard menu mikrotik
1. Menù Wireguard
aggiunta interfaccia wireguard mikrotik
2. Aggiungiamo interfaccia Wireguard
configurazione interfaccia wireguard mikrotik
3. Configuriamo l’interfaccia Wireguard

Assegnazione indirizzo IP interfaccia Wireguard

  1. Andiamo nel menù IP –> Addresses
  2. Clicchiamo su +(Add)
  3. Configuriamo l’indirizzo IP dell’interfaccia:
    • Address – 172.16.16.1/30
    • Interface – wg-pfsense
    • Clicchiamo su Apply e poi su OK
addresses menù mikrotik
1. Menù IP –> Addresses
aggiunta indirizzo ip mikrotik
2. Aggiungiamo un nuovo indirizzo
Assegniamo l'indirizzo IP all'interfaccia wireguard mikrotik
3. Assegniamo l’indirizzo IP all’interfaccia

Sede B- Configurazione Wireguard Pfsense

Installazione package

Se sul Pfsense non hai già installato il package Wireguard, puoi seguire la parte iniziale di questo articolo.

Creazione tunnel

Andiamo nel menù VPN e clicchiamo su WireGuard

menù VPN wireguard pfsense
VPN –> Wireguard

Ci troveremo nella pagina dei tunnel Wireguard e procediamo a creare un nuovo tunnel cliccando sulla voce +Add Tunnel.

aggiunta tunnel wireguard pfsense
Aggiunta tunnel Wireguard

Procediamo alla configurazione del tunnel:

  1. Abilita – Verifichiamo che il tunnel sia abilitato
  2. Descrizione – Inseriamo una descrizione, es. wg-mikrotik
  3. Listen port – Inseriamo una porta sulla quale sarà di ascolto il tunnel, es. 42323
  4. Clicchiamo su Generate per generare una coppia di chiavi pubblica/privata. Annotiamoci la chiave pubblica da qualche parte, ci servirà successivamente.
  5. Interface Addresses – Assegniamo un indirizzo all’interfaccia di Wireguard, es. 172.16.16.2/30
  6. Clicchiamo su Save Tunnel
dettagli tunnel wireguard pfsense
Dettagli tunnel Wireguard

Abilitazione servizio

Andiamo sulla voce Impostazioni e procediamo con:

  • Abilitare il servizio Wireguard
  • Interface Group Membership – Only unassigned Tunnels
  • Deseleziona le voci Hide Secrets e Hide Peers
  • Clicchiamo su Salva
  • Clicchiamo su Applica le modifiche
Abilitazione servizio Wireguard pfsense
Abilitazione servizio Wireguard

Assegnazione interfaccia Pfsense

Andiamo nel menù Interfacce –> Assegnazioni

Assegnazione interfacce Pfsense
Assegnazione interfacce Pfsense

Ci troveremo nelle porte di rete disponibili una situazione simile con un’interfaccia da assegnare. Nel mio caso viene chiamata tun_wg0

Clicchiamo su +Aggiungi

Assegnazione interfacce Pfsense
Assegnazione interfacce Pfsense

Una volta aggiunta clicchiamo sul nome dell’interfaccia che nel mio caso si chiama OPT1 e procediamo a configurarla come da esempio sotto.

Abilitiamo l’interfaccia ed assegniamo lo stesso indirizzo IP che abbiamo dichiarato prima nella creazione del Tunnel Wireguard

Rinominiamo anche l’interfaccia OPT1 con un nome che ci permette di identificarla più facilmente

Infine clicchiamo su Salva e poi su Applica le modifiche

Configurazione interfaccia Wireguard pfsense
Configurazione interfaccia Wireguard

Sede A – Aggiunta peer Mikrotik

Aggiungiamo ora il peer(client) sul Mikrotik andando nella sezione Wireguard –> Peers

aggiunta peer wireguard mikrotik
Aggiunta peer Mikrotik

Clicchiamo su +(Add) e procediamo alla configurazione del peer:

  1. Interface – scegliamo l’interfaccia creata prima wg-pfsense
  2. Public key – inseriamo la public key che abbiamo salvato prima, relativa all’interfaccia Wireguard di Pfsense
  3. Endpoint – inseriamo il DDNS della SEDE B, pfsense.duckdns.org
  4. Endpoint port – inseriamo la porta di ascolto che abbiamo impostato su Pfsense, 42323
  5. Allowed Address – inseriamo l’IP dell’interfaccia remota del tunnel Wireguard 172.16.16.2 ed inseriamo la network della LAN remota che si trova dietro Pfsense, 192.168.140.0/24
  6. Preshared Key – impostiamo su Auto
  7. Persistent Keepalive – impostiamo 25sec, 00:00:25
  8. Clicchiamo su Apply
  9. Dopo aver cliccato su Apply, nel campo Preshared Key verrà generata le chiave pre-condivisa. Salviamoci da qualche parte la preshared key perchè ci servirà quando configureremo il peer su Pfsense
  10. Clicchiamo su OK
Configurazione peer Wireguard mikrotik
Configurazione peer Wireguard
preshared key mikrotik wireguard
Preshared key generata automaticamente

Sede B – Aggiunta peer Pfsense

Rechiamoci su Pfsense nella sezione VPN –> Wireguard ed poi clicchiamo su Peers

Sezione Wreguard peers Pfsense
Sezione Wreguard peers Pfsense

Clicchiamo su +Add Peer e configuriamolo come segue:

  1. Abilita – Spuntiamo la casella Enable Peer
  2. Tunnel – selezioniamo il tunnel creato precedentemente, tun_wg0 (wg-mikrotik)
  3. Dynamic Endpoint – Deselezioniamo la checkbox
  4. Endpoint – inseriamo il DDNS della SEDE A, mikrotik.duckdns.org e la porta di ascolto 42323
  5. Keep Alive – impostiamolo a 25 secondi
  6. Public Key – inseriamo la public key che abbiamo salvato prima, relativa all’interfaccia Wireguard del Mikrotik
  7. Pre-shared Key – inseriamo la preshared key che abbiamo generato precedentemente sul Mikrotik
  8. Allowed IPs – inseriamo l’IP dell’interfaccia remota del tunnel Wireguard 172.16.16.1
  9. Clicchiamo su +Add Allowed IP
  10. Aggiungiamo la network della LAN remota che si trova dietro il Mikrotik, 192.168.150.0/24
  11. Clicchiamo su Save Peer
  12. Clicchiamo su Applica le modifiche
Creazione peer Wireguard Pfsense
Creazione peer Wireguard Pfsense

Regole Firewall Mikrotik

Configuriamo ora la regola firewall per accettare le connessioni in ingresso per il tunnel Wireguard.

  1. Andiamo in IP –> Firewall
  2. Filter Rules
  3. Clicchiamo su + (Add)
  4. Configuriamo una rule nella chain di input che accetti il traffico in ingresso proveniente dall’interfaccia WAN(nell’esempio sotto è la pppoe-out1):
    • Chain – input
    • Protocol – UDP
    • Dst. port – 42323
    • In.interface – pppoe-out1
    • Action – Accept
  5. Inseriamo un commento per una più facile identificazione della regola cliccando su Comment ed inseriamo un commento tipo: Accetta connessioni Wireguard
  6. Cliccare su OK
  7. Cliccare su Apply e poi su OK
Firewall rules Mikrotik
Firewall rules Mikrotik
New Firewall rule mikrotik
New Firewall rule
Action Accept mikrotik
Action Accept

Una volta creata la regola assicuriamoci che non sia preceduta da un eventuale regola di DROP come nell’esempio sotto

drop all mikrotik
Regola di DROP ALL

Selezioniamo la nostra regola di Accept e trasciniamola sopra a quella di DOP

accept wireguard connection mikrotik
Regola di accept spostata sopra il DROP ALL

Regole Firewall Pfsense

Andiamo in Firewall –> Regole e selezioniamo l’interfaccia del tunnel Wireguard WG_MIKROTIK

Regole Firewall pfsense
Regole Firewall

Clicchiamo su Aggiungi(freccia verso l’alto) e creiamo una regola come sotto:

  • Azione – Consenti
  • Interfaccia – WG_MIKROTIK
  • Protocollo – Qualsiasi
  • Origine – Qualsiasi
  • Destinazione – Qualsiasi

Clicchiamo su Salva e poi su Applica le modifiche

Regola firewall tunnel wireguard
Regola firewall per permettere il traffico sull’interfaccia Wireguard

Aggiunta Gateway Pfsense

Per permettere alla LAN 192.168.140.0/24 di raggiungere la network remota 192.168.150.0/24 dobbiamo creare un Gateway per l’interfaccia Wireguard e successivamente creare una rotta statica

Andiamo in Sistema –> Routing –> Gateways e clicchiamo su Aggiungi

Gateways Pfsense
Gateways Pfsense

Configuriamo il nuovo gateway in questo modo:

  • Disabilitato – Eliminiamo eventuale spunta
  • Interfaccia – WG_MIKROTIK
  • Nome – WG_Gateway
  • Gateway – 172.16.16.1
  • Clicchiamo su Salva e poi su Applica le modifiche
Gateway per interfaccia Wireguard
Gateway per interfaccia Wireguard

Aggiunta Rotta statica Pfsense

Sistema –> Routing –> Percorsi statici e clicchiamo su Aggiungi

Configuriamo la rotta statica come segue:

  • Rete di destinazione – 192.168.150.0/24
  • Gateway – WG_Gateway – 172.16.16.1
  • Clicchiamo su Salva e poi su Applica le modifiche
Aggiunta rotta statica pfsense
Aggiunta rotta statica

Aggiunta Rotta statica Mikrotik

Nel Mikrotik andiamo in IP –> Routes e clicchiamo su +(Add)

Configuriamo la rotta statica così:

  • Dst. Address – 192.168.140.0/24
  • Gateway – 172.16.16.2
  • Clicchiamo su Apply e poi su OK
Aggiunta rotta statica Mikrotik
Aggiunta rotta statica Mikrotik
Configurazione rotta statica mikrotik
Configurazione rotta statica

Test di raggiungibilità tra le due sedi

Verifichiamo ora la raggiungibilità dal Mikrotik verso la SEDE B

Dal terminale del Mikrotik eseguiamo i comandi come da immagini sotto:

ping from mikrotik to pfsense tunnel
1. Da Mikrotik vs Pfsense
ping from mikrotik to remote host tunnel
2. Da Mikrotik vs host 192.168.140.2
ping da Mikrotik con sorgente LAN to Pfsense
3. Da Mikrotik con sorgente LAN vs Pfsense
ping from mikrotik lan to remote host tunnel
4. Da Mikrotik con sorgente LAN vs host 192.168.140.2

Verifichiamo ora la raggiungibilità dal Pfsense verso la SEDE A

Sul Pfsense andiamo in Diagnostica –> Ping ed eseguiamo i comandi come da immagini sotto:

ping from pfsense to mikrotik tunnel
1. Da Pfsense a Mikrotik
ping from pfsense to remote host tunnel
2. Da Pfsense vs host 192.168.150.2
ping da pfsense con sorgente LAN to mikrotik
3. Da Pfsense con sorgente LAN vs Pfsense
ping from pfsense lan to remote host tunnel
4. Da Pfsense con sorgente LAN vs host 192.168.150.2

Per ultimo verifichiamo la raggiungibilità tra due host delle due sedi:

ping site-to-site pfsense mikrotik
Ping tra host della SEDE A 192.168.150.2 e host della SEDE B 192.168.140.2

Se l’articolo è stato di tuo gradimento esprimi il tuo voto

Per non perderti i nuovi post entra nel canale Telegram e WhatsApp

Se riscontri errori nell’articolo segnalalo tramite il modulo Contatti

Ti è stato utile questo post?

Clicca sulla stella per votare!

Voto medio 0 / 5. Numero voti: 0

Nessun voto finora! Sii il primo a valutare questo post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Potrebbe interessarti:

mikrotik road-warrior wireguard cgnatCGNAT Mikrotik Wireguard road-warrior debian wg serverDebian Wireguard Server – Mikrotik Full-Tunnel immagine in evidenzaIPsec site to site Pfsense-Mikrotik ipsec ikev2 mikrotik omadaIPsec Omada Mikrotik

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *