CGNAT Mikrotik Wireguard road-warrior

Pubblicato il di
mikrotik road-warrior wireguard cgnat
Views: 180
5
(1)

Vediamo come configurare una VPN road warrior con Wireguard tra due router Mikrotik e dietro rete CGNAT.

Nello scenario che andremo a vedere la sede che chiameremo SEDE A utilizza una connettività con IP Pubblico dinamico ed il Mikrotik in questa sede farà da “concentratore” VPN

La sede che chiameremo SEDE B utilizza una connessione 4G e quindi si trova dietro CGNAT. Il Mikrotik di questa sede sarà il nostro client road warrior Wireguard

Premessa

  • Sul router Mikrotik della SEDE A deve esserci un servizio DDNS configurato e funzionante(scopri come fare by foisfabio.it)
  • Entrambi i router Mikrotik devono avere RouterOS versione 7

Dispositivi utilizzati

  • Mikrotik CHR – SEDE A
  • Mikrotik map 2nD con chiavetta LTE Vodafone K5161 – SEDE B

Diagramma di rete CGNAT e Mikrotik Wireguard road-warrior

Sede A – Configurazione Wireguard Mikrotik CHR

Creazione interfaccia Wireguard

  1. Entriamo nel nostro Mikrotik tramite Winbox e rechiamoci nella sezione Wireguard
  2. Clicchiamo su +(Add) per aggiungere una nuova interfaccia Wireguard
  3. Configuriamo l’interfaccia:
    • Name – wg-roadwarrior
    • Listen Port – 42323
    • Clicchiamo su Apply e salviamoci la Public Key che verrà generata, ci servirà nella creazione del peer sul Mikrotik map 2nDdella SEDE B
    • Clicchiamo su OK
wireguard menu mikrotik roard-warrior
1. Menù Wireguard
aggiunta interfaccia wireguard mikrotik road-warrior
2. Aggiungiamo interfaccia Wireguard
wireguard interface settings mikrotik
3. Configuriamo l’interfaccia Wireguard

Assegnazione indirizzo IP interfaccia Wireguard

  1. Andiamo nel menù IP –> Addresses
  2. Clicchiamo su +(Add)
  3. Configuriamo l’indirizzo IP dell’interfaccia:
    • Address – 172.16.16.1/30
    • Interface – wg-roadwarrior
    • Clicchiamo su Apply e poi su OK
addresses menù mikrotik
1. Menù IP –> Addresses
aggiunta indirizzo ip mikrotik
2. Aggiungiamo un nuovo indirizzo
ip address wireguard interface mikrotik
3. Assegniamo l’indirizzo IP all’interfaccia

Sede B – Configurazione Wireguard Mikrotik map 2nD

Creazione interfaccia Wireguard

  1. Entriamo nel nostro Mikrotik tramite Winbox e rechiamoci nella sezione Wireguard
  2. Clicchiamo su +(Add) per aggiungere una nuova interfaccia Wireguard
  3. Configuriamo l’interfaccia:
    • Name – wg-roadwarrior
    • Listen Port – 42323
    • Clicchiamo su Apply e salviamoci la Public Key che verrà generata, ci servirà nella creazione del peer sul Mikrotik CHR della SEDE A
    • Clicchiamo su OK
wireguard menu mikrotik cgnat
1. Menù Wireguard map 2nD
aggiunta interfaccia wireguard mikrotik cgnat
2. Aggiungiamo interfaccia Wireguard map 2nD
mikrotik wireguard interfa settings cgnat
3. Configuriamo l’interfaccia Wireguard map 2nD

Assegnazione indirizzo IP interfaccia Wireguard

  1. Andiamo nel menù IP –> Addresses
  2. Clicchiamo su +(Add)
  3. Configuriamo l’indirizzo IP dell’interfaccia:
    • Address – 172.16.16.2/30
    • Interface – wg-roadwarrior
    • Clicchiamo su Apply e poi su OK
addresses menù mikrotik
1. Menù IP –> Addresses
aggiunta indirizzo ip mikrotik
2. Aggiungiamo un nuovo indirizzo
ip address wireguard interface mikrotik
3. Assegniamo l’indirizzo IP all’interfaccia

Sede A – Aggiunta peer Wireguard Mikrotik CHR

Aggiungiamo ora il peer(client) sul Mikrotik andando nella sezione Wireguard –> Peers

aggiunta peer wireguard mikrotik roa-warrior
Aggiunta peer Mikrotik

Clicchiamo su +(Add) e procediamo alla configurazione del peer:

  1. Interface – scegliamo l’interfaccia creata prima wg-roadwarrior
  2. Public key – inseriamo la public key che abbiamo salvato prima, relativa all’interfaccia Wireguard del Mikrotik map 2nD
  3. Allowed Address – inseriamo l’IP dell’interfaccia remota del tunnel Wireguard 172.16.16.2 ed inseriamo la network della LAN remota che si trova dietro il Mikrotik map 2nD, 192.168.88.0/24
  4. Preshared Key – impostiamo su Auto
  5. Clicchiamo su Apply
  6. Dopo aver cliccato su Apply, nel campo Preshared Key verrà generata le chiave pre-condivisa. Salviamoci da qualche parte la preshared key perchè ci servirà quando configureremo il peer sul Mikrotik map 2nD della SEDE B
  7. Clicchiamo su OK
wireguard road-warrior peer configuration mikrotik
Configurazione peer Wireguard SEDE A
preshared key wireguard road-warrior mikrotik
Preshared key generata automaticamente dopo aver premuto Apply

Regole Firewall Mikrotik CHR

Configuriamo ora la regola firewall per accettare le connessioni in ingresso per il tunnel Wireguard.

  1. Andiamo in IP –> Firewall
  2. Filter Rules
  3. Clicchiamo su + (Add)
  4. Configuriamo una rule nella chain di input che accetti il traffico in ingresso proveniente dall’interfaccia WAN(nell’esempio sotto è la pppoe-out1):
    • Chain – input
    • Protocol – UDP
    • Dst. port – 42323
    • In.interface – pppoe-out1
    • Action – Accept
  5. Inseriamo un commento per una più facile identificazione della regola cliccando su Comment ed inseriamo un commento tipo: Accetta connessioni Wireguard
  6. Cliccare su OK
  7. Cliccare su Apply e poi su OK
Firewall rules Mikrotik wireguard
Firewall rules Mikrotik
New Firewall rule mikrotik wireguard
New Firewall rule
Action Accept mikrotik wireguard
Action Accept

Una volta creata la regola assicuriamoci che non sia preceduta da un eventuale regola di DROP come nell’esempio sotto

drop all mikrotik
Regola di DROP ALL

Selezioniamo la nostra regola di Accept e trasciniamola sopra a quella di DOP

accept wireguard tunnel connection mikrotik
Regola di accept spostata sopra il DROP ALL

Aggiunta Rotta statica Mikrotik CHR

Nel Mikrotik andiamo in IP –> Routes e clicchiamo su +(Add)

Configuriamo la rotta statica così:

  • Dst. Address – 192.168.88.0/24
  • Gateway – 172.16.16.2
  • Clicchiamo su Apply e poi su OK
Aggiunta rotta statica Mikrotik wireguard road-warrior
Aggiunta rotta statica Mikrotik
Configurazione rotta statica Mikrotik CHR road-warrior
Configurazione rotta statica Mikrotik CHR

Sede B – Aggiunta peer Wireguard Mikrotik map 2nD

Aggiungiamo ora il peer sul Mikrotik map 2nD della SEDE B andando nella sezione Wireguard –> Peers

aggiunta peer wireguard road-warrior mikrotik
Aggiunta peer Mikrotik

Clicchiamo su +(Add) e procediamo alla configurazione del peer:

  1. Interface – scegliamo l’interfaccia creata prima wg-roadwarrior
  2. Public key – inseriamo la public key che abbiamo salvato prima, relativa all’interfaccia Wireguard del Mikrotik CHR
  3. Endpoint – inseriamo il DDNS della SEDE A
  4. Endpoint port – inseriamo la porta di ascolto che abbiamo impostato sul Mikrotik CHR, 42323
  5. Allowed Address – inseriamo l’IP dell’interfaccia remota del tunnel Wireguard 172.16.16.1 ed inseriamo la network della LAN remota che si trova dietro il Mikrotik CHR, 192.168.150.0/24
  6. Preshared Key – inseriamo la preshared key che abbiamo generato precedentemente sul Mikrotik CHR durante la creazione del peer.
  7. Persistent Keepalive – impostiamo 25sec, 00:00:25
  8. Clicchiamo su Apply
  9. Clicchiamo su OK
peer wireguard CGNAT configurations
Configurazione peer SEDE B – Mikrotik map 2nD

Aggiunta Rotta statica Mikrotik map 2nD

Nel Mikrotik andiamo in IP –> Routes e clicchiamo su +(Add)

Configuriamo la rotta statica così:

  • Dst. Address – 192.168.150.0/24
  • Gateway – 172.16.16.1
  • Clicchiamo su Apply e poi su OK
rotta statica wireguard mikrotik
Aggiunta rotta statica Mikrotik map 2nD
Configurazione rotta statica Mikrotik map 2nD
Configurazione rotta statica Mikrotik map 2nD

CGNAT e Mikrotik Wireguard road-warrior

Test di raggiungibilità tra le due sedi

SEDE A vs SEDE B

Verifichiamo ora la raggiungibilità dal Mikrotik CHR (Sede A) verso il Mikrotik map 2nD (Sede B)

Dal terminale del Mikrotik eseguiamo i comandi come da immagini sotto:

ping from mikrotik a to mikrotik b wireguard
Da Mikrotik CHR vs Mikrotik map 2nD
ping from lan to lan mikrotik wireguard
Da LAN Sede A vs LAN Sede B

SEDE B vs SEDE A

Verifichiamo ora la raggiungibilità dal Mikrotik map 2nD (Sede B) verso il Mikrotik CHR (Sede A)

Dal terminale del Mikrotik eseguiamo i comandi come da immagini sotto:

ping from mikrotik to mikrotik wireguard
Da Mikrotik map 2nD vs Mikrotik CHR
ping from lan to lan mikrotik wireguard
Da LAN Sede B vs LAN Sede A

Per ultimo verifichiamo la raggiungibilità tra due host delle due sedi:

traceroute host wireguard tunnel
Traceroute tra 2 host delle due sedi

Se l’articolo CGNAT Mikrotik Wireguard road-warrior è stato di tuo gradimento esprimi il tuo voto

Per non perderti i nuovi post unisciti al canale Telegram e WhatsApp

Se riscontri errori nell’articolo segnalalo tramite il modulo Contatti

Ti è stato utile questo post?

Clicca sulla stella per votare!

Voto medio 5 / 5. Numero voti: 1

Nessun voto finora! Sii il primo a valutare questo post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Potrebbe interessarti:

Wireguard site-to-site Mikrotik PfsenseWireguard Mikrotik Pfsense ipsec ikev2 mikrotik omadaIPsec Omada Mikrotik Pfsense Wireguard Road Warrior VPNPfsense Wireguard Road Warrior

1 commento su “CGNAT Mikrotik Wireguard road-warrior

  1. luca Rispondi

    grandissimo andrea! ho provato questa mattina e ha funzionato tutto al primo colpo senza intoppi! guida eccellente!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *