Как поднять WireGuard на Mikrotik с топологией звезда?
День добрый. Есть три микротика, один из них имеет белый ip адрес. Как построить между ними сеть WireGuard.
В мануале на оф сайте написано про соединение двух офисов. А если этих офисов 3 или 5. Как создавать на каждое подключение свой интерфейс WireGuard с пиром? В общем если есть у кого живые примеру с WireGuard на микротах то поделитесь конфигами.
UPD. 05.05.2023 маршрутизацию настроить по WG между двумя офисами не получилось сделать. Она не работает так как это работает в сетях с OVPN и других VPNах
Wireguard в общем и целом не предназначен для соединения офисов, ибо point-to-point. Маршрутизацией вы как планируете управлять ?
Не знаю, что в реализации Микротик есть, но зачем?
Просто строишь туннель от каждого офиса на тот внешний и в нём пусть будет роутинг между ними. Если у того офиса плохо с каналом и его нельзя так забивать - арендуем сервак/vps у любого хостера и строим звезду через него.
Alexey Dmitriev, site-to-site - это когда между вашим офисом и удаленной площадкой есть VPN, но вы свободно ходите на хосты, на удаленной площадке, этого не замечая. Потому, что есть маршрут. НО! VPN, который между вашим офисом и удаленной площадкой, именно point-to-point.
2. У wireguard в конфиге "AllowedIPs" - это сети или отдельные хосты (как кому нравится, так и пишет), к которым будет маршрут через этот самый wireguard, после поднятия wireguard на этом устройстве. Со стороны wireguard сервера, управление маршрутизацией происходит так же, как и с любыми другими маршрутами. Нет разницы. Вообще.
Делал так уже. Создал два пира. На обратных двух концах создал WGинтерфейс и по одному пиру. Маршрутизацию настроил но она не работает. С офиса 1 нельзя пропинговтаь локальную сеть офиса 2.
Gregory, Фаервол не блокирует так как делал все на тестовом стенде без единого правила. Маскарадинга нет потому что все работает на чистой маршрутизации. Прописал маршруты везде.
Drno, на сколько я понял в WG не важно кто инициирует первый соединения и получается то что нет белого IP у двух узлов это не помеха иметь связь со всеми этими участниками.
Drno, хз че будет . если проводить аналогию с ipip или eoip где не важно кто инициирует соединение там нужно что бы соединение инициировалось с обоих сторон и что бы эти стороны были только с маршрутизируемыми адерсами т.е. с белыми. В WG тут достаточно только одной стороны белым IP но если один отваливает то я думаю просто линка не будет и все. Особо практики большой нет в WG поэтому и спрашиваю тут про именно соединение точка-многоточка.
Я на демо стенде в Eva построил то что я описал выше но что то как то работает криво и раз через раз. Ладно подождем еще знатоков может кто прям в плотную работает с WG
У wireguard в routeros interface создаётся динамически все что нужно сделать добавить peer и прописать какие сети он должен видеть и машрутизировать в разделе allowed addresses ну и маршруты прописать например сеть офиса 2 доступна через сервер wg 192.168.10.0/24 gw ip addres wireguard server
Ps и в обратную сторону тоже машруты должны быть прописаны
Интерфейсы создаются автомтически? Что то тут в мануале они создаются в ручную .
А какая адресация интерфейсов WG должна быть? Допустим у тебя 3 удаленных сети, соответсвено 3 пира WG или ты будешь создавать 3 интерфейса WG и к ним привязывать пиры?
Средний
