Názory k článku Návod: VPN WireGuard na routerech MikroTik a telefonech s Androidem

Dal by se nějaký Mikrotik zapůjčit na vyzkoušení ?

Děkuji.

T.

K zapůjčení ho asi nikdo nenabízí, ale dají se koupit starší za pár stovek. Zrovna teď tu někdo na fóru prodává dva MikroTiky. Ten systém je na všech stejný a podpora je velmi dlouhá.

Doporucuji koupit neco jako toto, ideal na vyzkouseni a pak se muze hodit jako maly cestovni router:
https://mikrotik.com/product/RBmAPL-2nD
https://mikrotik.com/product/RBmAP2nD

P.S.: je treba pocitat s malym vykonem, ale mAP lite mi daval ~10Mbit pres IPSec (bez akcelerace), takze Wireguard bude lepsi

RBmAPL-2nD se Mikrotiku nepovedl, protože toto zařízení rušilo samo sebe. Nefungoval mně tam nikdy pořádně ethernetový port. Na fórech doporučovali odstranit permanentní magnet, který je uvnitř krabičky, ale ani to u mého nepomohlo. Nevím, jestli ho už nestáhli z prodeje.

Na osahani systemu je nejlepsi CHR (RouterOS jako VM), je tam i zdarma verze, ktera ma omezenou rychlost na 1Mbit, ale jinak umi uplne vsechno krome wifi.

Pravda, na to je CHR super. Jinak lze mit jakoukoliv (i neomezenou licenci), ale s platnosti 2 mesice. Do 2 mesicu je treba priradit licenci, aby se dalo dale pokracovat, jinak system uz neni mozne dale aktualizovat (ale stale bude fungovat dale).

Edit: license info - https://wiki.mikrotik.com/wiki/Manual:CHR#CHR_Licensing

26. 1. 2022, 11:43 editováno autorem komentáře

Ono se to dá virtuálně zkoušet i bez registrace. Licenci je třeba zadat do 24 hodin od spuštění, ale počítá se čistý čas. Takže když to člověk zkouší, ale nemá to nasazené v reálu, tak to stačí. A zároveň není problém provést po vyčerpání 24 hodin novou virtuální instalaci a znovu si ji nakonfigurovat.

Casovy limit ma puvodni x86 verze urcena k instalaci na fyzicky HW. Pro virtualizaci optimalizovany CHR (ma treba ovladac na vmxnet3, atd) funguje ve zdarma verzi bud zcela bez casovyho omezeni a s moznosti upgradu, nebo jako vecny trial bez rychlostniho omezeni, ale bez moznosti upgradu. Takze zalezi na tom, co chce clovek testovat. Na ruzny experimenty s nastavenim ta pomala verze bohate staci.

Ja bych jen doplnil, ze aplikaci WireGuard pro Android je mozne instalovat i z alternativnich portalu (treba F-Droid)...

Je to tak, do článku jsem doplnil. Díky

Kdyz se v bode 3 da adrese spravna maska (coz tam je), je cely bod 4 zbytecny.

On si MK vytvoří takto sám dynamickou routu?

Je to tak, vyzkoušeno, routa se přidá sama. Z článku jsem odstranil, díky.

Jakožto naivka se ptám, tím, že se klient připojí do VPN z venku, vidí automaticky i jiná zařízení, připojená do stejného (fyzického) segmentu (a VLAN) i když ony mají jinou IP masku?
Abych to vysvětlil - Zentyal OpenVPN server sice přidělí IP ze svého rozsahu, ale zařízení vidí i IP rozsah za rozhraním VPN serveru.
Nejspíš jen routing, ale raději se ptám :-)

Jj, ide o spravne nastavene routovanie

Tohle vlastně s VPN vůbec nesouvisí, záleží na směrování v těch okolních sítích. VPN jen vytvoří spojení mezi dvěma zařízeními a tím to vlastně končí. Jestli se tím směrem budou ze sítě posílat nějaká data, jestli je zařízena zpětná routa pro odpovědi, to už VPN neřeší.

V článku je odstavec o tom, že když se povolí protistraně (MikroTiku) další rozsahy, tak ten je tam pak může posílat. Takhle lze zajistit, že zmíněný Android uvidí do celé sítě. Ale závisí to ještě na dalších zmíněných faktorech.

Bývá to největší kámen úrazu při nasazování VPN, proto se tomu třeba dost věnuji na školeních. Nasazením VPN to nekončí, ale naopak začíná. Většina síťových problémů souvisejících s nasazováním VPN totiž vůbec s VPN nesouvisí. Obvykle je to tak, že správce umí se síťovou krabičkou takové to klasické: zapojím kabel do WAN, nabere mi to adresu a funguje to.

Jenže právě VPN do toho přidá přímý propoj mezi různými sítěmi a tam už znalosti většiny lidí končí, protože netuší, jak to celé funguje a jak to zařídit, aby to dělalo, co má. Fóra jsou pak plná dotazů typu: na protistranu mi to pingá, ale nedostanu se do té sítě za tím.

Kvůli WireGuard jsem upgradoval svůj starší Mikrotik na ROS7 a pak jsem strávil půl dne tím, abych tam vrátil zpátky ROS6. Stejnou zkušenost mám z bety před rokem. Vůbec to nefungovalo, většinu času se nedalo do zařízení ani připojit, natož pak něco nastavovat, nedej bože to k něčemu používat.

Ja zatim vubec zadny problem nepozoroval. A to mam polo-komplexní nastaveni site i firewallu. Ale je pravda ze jsem se odhodlal k upgradu na 7.1.1 az nedavno, kdyz ho prohlasili za stable.

Já zkoušel před rokem betu a před týdnem "stable". Dopadlo to stejně.

Já přišel na to, čím to je. Při upgradu nedochází ke správnému přiřazení interfaces do interface listů. Když se všechno naskládá do WAN listu, firewall Vás nepustí dovnitř.
Upgradoval jsem (i) z ROS5, který ještě interface listy nakonfigurované z výroby nemá a vše v pořádku.

Dnes som nahodil 7.1.1 a teraz uz hodinu bojujem s downgrade na 6.4. Procesor na 100%, neda sa s tym robit.

Stáhnout jejich netinstall, firmware a celý to přeflashovat. Mám už své zkušenosti... Já dopadl několikrát stejně. Nevím jestli to bylo vytížením CPU, ale rovněž to bylo nepoužitelné.

O jaký model se jedná?

Este by to chcelo dalsi navod ale tento krat to rozbehat aj na pripojenie zvonku, fw rules a vsetko co je k tomu potreba :) ale diky za tento.

Pokud máte zvenčí zakázaný přístup na porty MikroTiku, pak bude stačit jediné pravidlo do řetězce input, které otevře správný UDP port ze správného rozhraní. Pokud chcete předávat provoz mezi sítěmi, stačí druhé pravidlo do forwardu. Tady už ale záleží hodně na tom, jak máte udělanou síť a firewall.

Do forwardu treba dve pravidla, jedno pre src-address wg siete, druhe pre dst-address. Teda pokial chceme, aby traffic isiel oboma smermi neobmedzene, nielen established,re­lated.

Alebo pridat rozhranie wg do interface listu LAN.

A proc byste chtel pripojovat k routeru zvonek??

Třeba protože to je jediný počítač který mu běží 24/7 a má výhodnou fyzickou polohu, aby se k němu zvonek připojil?

Nevím teda co si představit pod zvonkem, za mě to bylo tlačítko, které zatahalo za GPIO nebo poslalo něco po sériáku/USB. A tam má s RouterOS nejspíš smůlu, protože to je sice Linux, ale zakázali mu tam spouštět vlastní programy - přemapovat třeba LEDky na GPIO vstupy tak nesmí, a sériák nebo USB se může pokusit naskriptovat v tom jejich skriptovacím jazyce, ale bude mít omezené možnosti co s tím pak dál udělat (třeba IRC klienta který by zazvonění oznámil tam nespustí, webové API možná triggerne přes /tool fetch. A nebo si tam dá OpenWRT a bude mít po problémech :-).

Obaja sa mylite. Povodna sprava bola pisana slovensky a myslelo sa v nej pripojenie sa z vonkajsej siete a nie pripojenie zvonceka. Nabuduce to chce poriadne citat.

Oni tomu rozumeli velmi dobre, len tebe uslo, ze si robia prdel.

Tak to má být asi mezi "z" a "vonku" mezera, ne? Nebo slováci mezery nepíšou?

Ale tak zvonek je taky venku...

Ahoj,
používám to na relativně silných boxech. Oproti openvpn je výkon ohromující.
Marně ale řeším na Win problém, kdy po změně nebo přidání jednoho klienta to uřízne druhého. Klient se normálně připojí, ale pakety se pak ztrácejí v černé díře. Pomůže např. změna ip v konfiguraci klienta (a serveru), ale tím se zase uřízne ten druhý... Nesetkal jste se s tím někdo? A ještě jedna věc, u direktivy DNS to na Win vypadá, že nefunguje search domain:

[Interface]
PrivateKey = key
Address = x.x.x.x/xx
DNS = x.x.x.x search.domain - nefunguje
DNS = x.x.x.x - funguje

Pokial viem kazdy peer musi mat svoj vlastny konfig a byt unikatny. Toto vyzera ze pouzivate jedneho peera na viac PC co nieje samozrejme mozne.

bohužel, to není můj případ, unikátní klíče, PSK, ip s maskou 32, a stejně to dělá tohle :(.

Je potreba si dat pozor na allowed IPs. Na zadnem stroji by nemel byt presah.
interface adress dejte masku cele site
allowed ips dejte jednotlivym peerum /32 odpovidajici jejich interface address.

to by melo fungovat.

26. 1. 2022, 11:43 editováno autorem komentáře

Tedy samozrejme s vyjimkou centralniho bodu. Tento peer by mel mit zas v allowed masku cele site.

interface adress dávám unikátní IP s maskou /32 a naopak, allowedIPS dávám pouze adresu cílové sítě s maskou /24. Píšete to přesně obráceně, jste si jistý? Navíc sem vůbec nedávám adresu toho tunelu, jen cílovou síť.
Přesah tam přeci být musí, když chci povolit komunikaci do cílové sítě.
Ale vyzkouším to zkombinovat, tedy /24 na interface a na allow /32 tunel if + /24 cílové sítě.

== Server ma konfiguraci:
interface adresa/24
peer klient1 allowed adresa/32
peer klient2 allowed adresa/32

== Klient 1 ma konfiguraci:
interface adresa/24
peer server allowed sit/24
#peer klient2 allowed adresa/32
#na klienta 2 se dostanete i pres /24 routu pres server, je tedy zakomentovany/nepovinny

Ano, přesně takhle to v principu mám, ale stále mi to dělá totéž, klient funguje, přidám druhého, a ve chvíli kdy dám ok ve winboxu, provoz ustane. I když tunel se tváří up, a jde zastavit sestavit, tak žádný provoz neprojde, dokud nezměním něco v konfigu prvního klienta. Pak začne fungovat, a druhý přestane. A tak stále dokola :(. Děkuji za všechny dosavadní rady, znovu vše projdu a hlavně vyzkouším mimo produkci :).

Bohužel, žádné kombo nikam nevede. Vracím to do původního stavu. Ve chvíli kdy přidám na mikrotiku nového klienta, původní je v tu chvíli utržen, tunel se tváří up, routy, adresy, vše ok, ale prostě přestane jít provoz. Otevřu na to tiket :).

ta allowed adresa blokuje podle odesilatele jen prichozi packety. ne odchozi.
a zaroven vytvari routu na uvedeny rozsah pres daneho peera.

takze pokud mate VPN topologii hvezdice, tak centralni uzel prijima od jednotlivych peeru jen provoz od jejich konkretni adresy. zaroven na ne routuje jen packety pro jejich konkretni adresy.

klient naopak provoz pro celou sit /24 posila na centralni bod (server). zaroven libovolnou adresu z teto site prijima jen od tohoto centralniho bodu.

26. 1. 2022, 13:46 editováno autorem komentáře

CHA. Moc díky za pomoc. Vyřešeno. Na straně mikrotiku jsem dal do konfigurace peera do pole Allowed Address místo 0.0.0.0/0 adresu cílové sítě/24 a jako druhou položku adresu peera (stejnou jako v poli endpoint)/32 a od té doby vše běhá jak má.

Kdyz uz sme na technickem webu, co tam pridat jeste CLI guide?

> /interface/wireguard/add name=wireguard1 mtu=1420 listen-port=13231
> /interface/wireguard/peers/add interface=wireguard1 allowed-address=10.200.0.2/32 persistent-keepalive=30s comment="telefon s androidem" public-key="<REPLACE ME>"
> /ip/address/add interface=wireguard1 address=10.200.0.1/24

Dobrý nápad, díky. Přidáno.

Možná hloupý dotaz. Ale na staré v6 verzi Mikrotiku mám zapnutou VPN a připojuji se vzdáleně. V čem je tahle VPN lepší, co mi to přinese?

mezi vpn jsou zasadni rozdily. nerekl jste jakou na mikrotiku vpn pouzivate. mikrotik jich umi vic.

pripadne napiste co vam na stavajici vpn vadi a uvidime jestli to wireguard vyresi nebo ne. jestli vam nevadi nic, tak je pravdepodobne, ze vam ani nic subjektivne neprinese.

Nevím, mám prostě nějakou vpn co jsem nastavil podle nějakého návodu a především už pár let má Mikrotik ten "BFU" wizard kde prostě zaškrtnu VPN a zadám heslo a to je vše.

Mě tedy nechybí nic. A proto zkusím proti-otázku - co mi má jako chybět? VPN se spojí a funguje. Co víc si přát? Masáž zdarma? Právě bych v tomto článku čekal nějakou informaci "a budeš to mít 100x rychlejší, budeš to mít 100x bezpečnější, bude ti to fungovat na neveřejné IP adrese, ..". Ale NIC takového jsem se nedozvěděl tak vlastně nevím, proč tady naklikávat nějakou šílenost když ve starém v6 fw šlo zaškrtnout JEDINÝ checkbox a bylo. To byl celý smysl mého původního dotazu. Scházel mi prostě nějaký odstaveček s výhodami..

Takhle uplne z hlavy: V Linuxu je podpora Wireguard v jadre.

> A proto zkusím proti-otázku - co mi má jako chybět? VPN se spojí a funguje. Co víc si přát?

Tak třeba na OpenVPN je nutné si přát rychlost, protože je to jednovláknové v userspace a na těch slabých embedded procesorech je to tak poooomalééé. Například na Mikrotiku hEX dá OpenVPN asi 20 Mb/s, zatímco Wireguard dokáže saturovat stomegabit. Pokud používáte Router"OS", tak je tam tento problém ještě palčivější, protože (minimálně donedávna) tam byla jejich vlastní implementace OpenVPN (protože proč ne), která uměla přenos jen přes TCP, a tunelovat TCP skrz TCP se seká http://sites.inka.de/~bigred/devel/tcp-tcp.html

Pokud je to IPSec, tak z toho jsem měl strašnou vyrážku to nastavit (třeba na různých klientech), a občas se to náhodně rozbije přes blbé NATy a „firewally“ protože to není obyč UDP ale „speciální pakety“.

Pokud je to PPTP s MSCHAPv2, tak to je děravé https://www.root.cz/clanky/rozdel-a-panuj-hrubou-silou-na-ms-chapv2-klice/

Atd.

> Router"OS"
:))))

No a právě u ROS 7 příchází s OpenVPN na UDP. I když s tím evidentně budou mít ještě nějaké problémy viz post na mikrotik fórum :

"I did a lot of tests on openvpn (udp)
The results are definite.
openvpn udp protocol: (It has many bugs)
max connect time per client ( 1 hours or 01:01:00)
os client: windows , android , ios
all client (ovpn udp) They are disconnect after 61 minutes
After 1 hour and 1 minute openvpn disconnected.
I emphasize that the problems are only in udp protocol."

Před pár týdny jsem na Mikrotiku WireGuard rozchodil. Musím říci, že jsem hledal návod, který by fungoval a žádný takový jsem nenašel. Nakonec jsem musel některé návody nakombinovat. Myslím, že stejný problém je to s tímto návodem.

Pokud u Mikrotiku použijete Quick Setup, vygenerují se vám i pravidla pro Firewall. Takže je potřeba ve Firewallu povolit port pro Wireguard (před pravidlo Drop all not comming from LAN)

Dále pak je potřeba přidat Wireguard jako Interface lokální sítě, aby se šlo připojovat lokální zařízení v síti.

Ono je casto nejlepsi se kouknout primo k Mikrotiku do dokumentace a nehledat navody kdovi kde. To co popisujete (nastaveni wireguard + firewall) je primo uvedeno v "Application examples":
https://help.mikrotik.com/docs/display/ROS/WireGuard#WireGuard-Applicationexamples

To je sice pěkné, ale návod na webu Mikrotiku obsahuje úplně jinou situaci -- propojení dvou sítí. Článek na Root popisuje propojení s Androidem, kde se musí specificky nastavit IP adresa (IP/32) což není na první pohled pochopitelné.

Ostatně proto tento článek vznikl, že? Jinak mohl autor do těla vložit jen odkaz na dokumentaci.

Jinak pro ostatní, kteří tedy návody čtou, já se inspiroval na fóru Mikrotiku: https://forum.mikrotik.com/viewtopic.php?t=180479#p903598

Prijde mi jako zajimava moznost vyuzit geneve tunel pro vytvoreni L2 spojeni mezi wireguard peery.

PostUp = ip link add gnv0 type geneve id 1234 remote 1.2.3.4
PostUp = ip link set gnv0 up
PreDown = ip link delete gnv0


Geneve je L2 tunnel co bezi po UDP. Je to modernejsi nahrada GRE, GRETAP, VXLAN, EoIP a podobnych technologii.

Takovemu tunelu pak muzete nastavit adresu, nasmerovat na nej routu, dat ho do bridge nebo na nem treba pustit dhcp... To vse pomoci dalsich PostUp prikazu.
Mikrotik ani Android zatim geneve nativne nepodporuji.
Dalsi nevyhodou je, ze takovy tunel je jen p2p, takze kdybych chtel pres celou wireguard VPN mit jeste L2 overlay sit, tak musim tech tunelu nakonfigurovat spoustu a nejak je bridgovat. Na jednoduche propojeni dvou linuxu to ale staci.

Pod poslednym obrazkom sa pise, ze sa nastavenia ulozia ikonkou disketky vpravo hore. Na obrazku je ale ikonka kosa, to asi urobi inu akciu :-)

Ty dva obrázky jsou ve skutečnosti dvě části jedné obrazovky na mobilu. Takže úplně nahoře je skutečně disketka pro uložení.

Zde: https://www.jordanwhited.com/posts/wireguard-endpoint-discovery-nat-traversal/
rozebírají způsob jak propojit dva peery, které jsou za natem mezi sebou. Je ale nutné použít třetího peera s veřejnou IP adresou, ale pouze pro zprostředkování komunikace.
Zkoušel jsem tento přístup, ale ruční konfigurací jenom jako PoC a úspěšně se mi podařilo propojit dva peery za natem mezi sebou bez toho aby následná komunikace probíhala přes třetího peera.
Možná se bude někomu hodit :-)

Zdravím a co takhle wireguard a duck dns bez veřejky? Zkoušel jsem a bohužel marně, jako návody jsou ale mě by zajímala spíš omáčka okolo, třeba jak by to mělo fungovat a kde by co mělo být aby to fungovalo atd... :)

Neviem co presne chcete riesit s duck dns, ale to, ze ste za NAT-om riesi presne prispevok nad vami.

Jenze ten vyzaduje mit aspon jeden ze stroju na verejce.
DuckDNS je sluzba na verejce, diky ktery to odpadne, protoze si pres ni obe strany nakonfiguruji endpointy bez nutnosti provozovat treti wg server.

Clanok vyssie riesi presne dany problem: 2 strany bez verejky a bez tretieho wg serveru. Riesia tam, ako robit udp hole punching a dat vediet druhej strane, aku ip/port pouzit pomocou SRV zaznamov v DNS. Tak tam by DuckDNS islo vyuzit, predpokladam, ze ma nejake API.

Jak je to s položkou endpoint a její povinností, co značí když je ne/vyplněná? Musí být aspoň jeden peer mít uvedený endpoint?

Endpoint říká, kam se má WireGuard připojit, kde je protistrana. Není to povinná položka, ale pokud ji nevyplní ani jedna strana, nedojde ke spojení. Obě strany budou čekat na první kontakt a ten nikdy nenastane.

V klasickém schématu klient za NATem a server na veřejné se to dělá tak, že klient má vyplněný endpont a server ne. Server ho zjistí tak, že ho z nějaké IP adresy klient kontaktuje.