Vlákno názorů k článku Návod: VPN WireGuard na routerech MikroTik a telefonech s Androidem od lundys - Ahoj, používám to na relativně silných boxech. Oproti openvpn...

Ahoj,
používám to na relativně silných boxech. Oproti openvpn je výkon ohromující.
Marně ale řeším na Win problém, kdy po změně nebo přidání jednoho klienta to uřízne druhého. Klient se normálně připojí, ale pakety se pak ztrácejí v černé díře. Pomůže např. změna ip v konfiguraci klienta (a serveru), ale tím se zase uřízne ten druhý... Nesetkal jste se s tím někdo? A ještě jedna věc, u direktivy DNS to na Win vypadá, že nefunguje search domain:

[Interface]
PrivateKey = key
Address = x.x.x.x/xx
DNS = x.x.x.x search.domain - nefunguje
DNS = x.x.x.x - funguje

Pokial viem kazdy peer musi mat svoj vlastny konfig a byt unikatny. Toto vyzera ze pouzivate jedneho peera na viac PC co nieje samozrejme mozne.

bohužel, to není můj případ, unikátní klíče, PSK, ip s maskou 32, a stejně to dělá tohle :(.

Je potreba si dat pozor na allowed IPs. Na zadnem stroji by nemel byt presah.
interface adress dejte masku cele site
allowed ips dejte jednotlivym peerum /32 odpovidajici jejich interface address.

to by melo fungovat.

26. 1. 2022, 11:43 editováno autorem komentáře

Tedy samozrejme s vyjimkou centralniho bodu. Tento peer by mel mit zas v allowed masku cele site.

interface adress dávám unikátní IP s maskou /32 a naopak, allowedIPS dávám pouze adresu cílové sítě s maskou /24. Píšete to přesně obráceně, jste si jistý? Navíc sem vůbec nedávám adresu toho tunelu, jen cílovou síť.
Přesah tam přeci být musí, když chci povolit komunikaci do cílové sítě.
Ale vyzkouším to zkombinovat, tedy /24 na interface a na allow /32 tunel if + /24 cílové sítě.

== Server ma konfiguraci:
interface adresa/24
peer klient1 allowed adresa/32
peer klient2 allowed adresa/32

== Klient 1 ma konfiguraci:
interface adresa/24
peer server allowed sit/24
#peer klient2 allowed adresa/32
#na klienta 2 se dostanete i pres /24 routu pres server, je tedy zakomentovany/nepovinny

Ano, přesně takhle to v principu mám, ale stále mi to dělá totéž, klient funguje, přidám druhého, a ve chvíli kdy dám ok ve winboxu, provoz ustane. I když tunel se tváří up, a jde zastavit sestavit, tak žádný provoz neprojde, dokud nezměním něco v konfigu prvního klienta. Pak začne fungovat, a druhý přestane. A tak stále dokola :(. Děkuji za všechny dosavadní rady, znovu vše projdu a hlavně vyzkouším mimo produkci :).

Bohužel, žádné kombo nikam nevede. Vracím to do původního stavu. Ve chvíli kdy přidám na mikrotiku nového klienta, původní je v tu chvíli utržen, tunel se tváří up, routy, adresy, vše ok, ale prostě přestane jít provoz. Otevřu na to tiket :).

ta allowed adresa blokuje podle odesilatele jen prichozi packety. ne odchozi.
a zaroven vytvari routu na uvedeny rozsah pres daneho peera.

takze pokud mate VPN topologii hvezdice, tak centralni uzel prijima od jednotlivych peeru jen provoz od jejich konkretni adresy. zaroven na ne routuje jen packety pro jejich konkretni adresy.

klient naopak provoz pro celou sit /24 posila na centralni bod (server). zaroven libovolnou adresu z teto site prijima jen od tohoto centralniho bodu.

26. 1. 2022, 13:46 editováno autorem komentáře

CHA. Moc díky za pomoc. Vyřešeno. Na straně mikrotiku jsem dal do konfigurace peera do pole Allowed Address místo 0.0.0.0/0 adresu cílové sítě/24 a jako druhou položku adresu peera (stejnou jako v poli endpoint)/32 a od té doby vše běhá jak má.