Не цепляется Mikrotik по Wireguard к другому микроту. Клиенты на Windows или Android при этом работают. Есть опыт?
Всем привет! Имею дома белый адрес и hAP AC2. Поднял на нем несколько интерфейсов VPN, в том числе и Wireguard. IP адрес белый, порт, разумеется, наружу торчит. Для интерфейса wireguard задаю IP адрес (к примеру, 192.168.0.1). Настройки peers указываю по следующей схеме:
- на Mikrotik "сервере"
IP адрес и порт пустой, keepalive timeout тоже, Allowed IP - IP адрес клиента из подсети 192.168.0.хх/32.
-Клиенты:
Для интерфейса задаю IP адрес из подсети 192.168.0.хх. остальное пустое. Для peer - IP адрес и порт сервера, keepalive timeout 30 секунд, Allowed IP - 192.168.0.1/32.
Для WG интерфейса на сервере постепенно создавались свои пиры для удаленных устройств, и все клиенты (компы-ноутбуки на Windows, смартфоны и т.п.) с установленными приложениями Wireguard работают безупречно.
А с микротиками-клиентами Wireguard постоянные проблемы. В общем, на удаленной точке установил микротик, берет интернет он от местной WiFi сети (подключен как DHCP клиент) и далее раздает его в свою сеть за NAT по проводу и по вайфаю. Создал интерфейс, дал ему адрес 192.168.0.10, в peer указал привычные настройки, но траффик не идет никак. При этом рядом беру смартфон с аналогичными настройками, подключаюсь к той же WiFi сети, что и микротик (либо к самому микроту) - все работает. А микрот нивкакую. Счетчик исходящих пакетов растет, входящих стоит на нуле. Включаю лог для WG интерфейса - постоянно прилетает "Handshake for peer did not complete after 5 second". Причем проблема наблюдается на других микротах и в этой сетке, и на любой другой точке. И даже создавал CHR на стороннем VPS с белым IP, подымал там Wireguard интерфейс, ровно та же проблема) Клиенты с телефонов-компов работают нормально, пусть хоть сколь угодно NAT будет их отделять, а микроты друг с другом никак не работают. И проблема была что на ранних RouterOS 7 версии, что сейчас на свежих. Не пойму, это такой дикий косяк реализации у микротика?
конкретно тут не подскажу(но явно надо смотреть настройки шифрования, если они там есть вообще)
но с учетом тенденций к блокировкам ВПН протоколов, советую перейти на SSTP
Drno, ну да, на SSTP я давно перешел - обычно конечные микроты и подключаю к центральному)) Но для конечных клиентов, том же смартфоне, часто использую и WG, он удобен в настройке на чистых устройтсвах) Насчет шифрования - тоже есть ощущение, что где-то затык то ли с генерацией закрытого ключа, то ли что - не пойму. Но эти настройки недоступны. Хотя обновил недавно микроты до 7.13.5 - теперь функционал настроек WG части подрасширили, добавили в разделе peer настройки клиентов) Пока еще не разобрался с этим.
Gregory, да, я по такой схеме настройки и задаю. Но вот не подключается клиент, и все тут(( Хотя рядом лежит смартфон, подключенный к интернету через ту же сеть, что и капризный микрот, и нормально подключается) Дичь, короче. я в итоге подключил по SSTP, но сам факт проблемы напрягает, хотелось бы ее таки решить)
Valentin Barbolin, да, открыт. Менял порты - бестолку. Менял даже публичные ключи на интерфейсе. Вот не подключается никак. При этом рядом лежит смартфон, подключенный к интернету через тот же вайфай, что и микротик, который не цепляется - и нормально подключается.
Belkogoth, Сорян за тупые вопросы. Микротик не конфигурится автоматически, соответственно надо так же прописать IP на клиенте для WG, так же в allow address на микротике можно писать 0.0.0.0/0 и уже в ip/routes прописывать нужные маршруты, т.к. они тоже автоматом не добавляются.
Valentin Barbolin, да, айпишники в адресах я накидываю, в зависимости от указанного префикса в /ip/route появляется соотвтетствующий маршрут. 0.0.0.0/0 я обычно прописываю если интернет через этот впн нужен, а если просто доступ в подсеть за wg - не пишу. Но что-то все равно не фурычит. А вот по sstp отлично подрубается
Простой
Сложный
