Как дать доступ в локальную сеть из тоннеля в mikrotik?

Question

[piboho4857]

Экспериментирую с wireguard тоннелями на RouterOS 7. В сети уже есть информация по поднятию раз и два. Но в обоих случаях настраивают тоннель между двумя микромирами с белыми адресами. В моей ситуации с одной стороны микроток за натом провайдера, с другой VDS на centos/debian и с белым IP.
Поднять тоннель проблем не составило, оба пира пингуются. (С сервера 10.7.0.1 пинг проходит на микротик 10.7.0.2. Как и в обратном направлении)

--> wg-quick up wg0
  ip link add wg0 type wireguard
  wg setconf wg0 /dev/fd/63
  ip -4 address add 10.7.0.1/24 dev wg0
  ip link set mtu 1420 up dev wg0
  ip -4 route add 192.168.88.0/24 dev wg0

--> wg show
interface: wg0
  public key: eBdhB6J2pXPTZqwiuEDKNbK9swZTETGnrjF111D0axNB8=
  private key: (hidden)
  listening port: 51820

peer: nXpsVv4yTtOsB1/qcvzGnOIeeY+/jrUu0w00HsNp9vg=
  preshared key: (hidden)
  endpoint: Серый_IP_Провайдера:54467
  allowed ips: 10.7.0.2/32, 192.168.88.0/24
  latest handshake: 38 seconds ago
  transfer: 5.23 KiB received, 2.22 KiB sent

--> iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.7.0.0/24 -j ACCEPT

Пинг на 192.168.88.1 не проходит. Как получить доступ к локальной сети 192.168.88.0/24 за микротиком? (Для упрощения настройки все правила фаерволла на mikrotik отключил)
Спасибо за ответы

Comments

[Valentin Barbolin]

Снимите dump с VPN интерфеса, и посмотрите какой IP подставляет Linux при исходящем пакете на mikrot.
И правила firewall на микроте проверте.

[piboho4857]

Andrey Barbolin, при пинге на 10.7.0.2 микротик видит Src.Addr: 10.7.0.1 и Dst.Addr. 10.0.7.2. Когда пингую 192.168.88.1, вне зависимости какой -S или -I параметр в пинге, Src.Addr: белый адрес сервера и Dst.Addr. 192.168.88.1

[piboho4857]

Похоже, неверно настроен роутинг на VDS.

--> ip route add 192.168.88.0/24 via 10.7.0.1
RTNETLINK answers: File exists

--> ip route
default via 172.31.1.1 dev eth0 proto dhcp metric 100 
10.7.0.0/24 dev wg0 proto kernel scope link src 10.7.0.1 
172.31.1.1 dev eth0 proto dhcp scope link metric 100 
192.168.88.0/24 dev wg0 scope link

[piboho4857]

Andrey Barbolin, кстати, такое поведение на интерфейсе wireguard. Посмотрел ether1 (WAN)
При пинге на 10.7.0.2 ether1 видит
Src.Addr: статику сервера
Dst.Addr: 192.168.1.130 (адрес микротика на DHCP провайдера)

При пинге на 192.168.88.1 ether показал
Src.Addr: статику сервера
Dst.Addr: 192.168.88.1 !!!

[Valentin Barbolin]

piboho4857, Интересно, похоже, что-то ты что-то не так делаешь.
> Dst.Addr: 192.168.1.130 (адрес микротика на DHCP провайдера)
Это адрес сети класса С, он не маршрутизируется в интернете.

DUMP надо снимать с wg0, ты должен увидеть src 10.7.0.1 и dst 192.168.88.1.
DUMP с eth0 долже видить, белые адреса src и dst = сервера и микрота.

покажи
ip ad
ip ro

[piboho4857]

Andrey Barbolin,
на сервере

--> ip ad
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 96:00:00:71:32:9a brd ff:ff:ff:ff:ff:ff
    inet 168.xxx.xxx.6/32 scope global dynamic noprefixroute eth0  # публичный ipv4 сервера
       valid_lft 76035sec preferred_lft 76035sec
    inet6 2a01:xxx:xxx:xxx::1/64 scope global noprefixroute 
       valid_lft forever preferred_lft forever
    inet6 fe80::xxxx:xx:xxxx:329a/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.7.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever
--> ip ro
default via 172.31.1.1 dev eth0 proto dhcp metric 100 
10.7.0.0/24 dev wg0 proto kernel scope link src 10.7.0.1 
172.31.1.1 dev eth0 proto dhcp scope link metric 100 
192.168.88.0/24 dev wg0 scope link

на микротике так

[admin@MikroTik] /ip/route> print
Flags: D - DYNAMIC; A - ACTIVE; C - CONNECT, d - DHCP, m - MODEM
Columns: DST-ADDRESS, GATEWAY, DISTANCE
       DST-ADDRESS     GATEWAY        D
  DAd  0.0.0.0/0       192.168.1.1    1
  DAC  10.7.0.0/24     wireguard-1    0
  DAC  192.168.1.0/24  ether1         0
[admin@MikroTik] /ip/address> print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
  #     ADDRESS           NETWORK       INTERFACE    
;;; defconf
  0     192.168.88.1/24   192.168.88.0  bridge       
  1  D  192.168.1.130/24  192.168.1.0   ether1       
  2     10.7.0.2/24       10.7.0.0      wireguard-1

[piboho4857]

Вот точно то, что нужно, но не могу понять как перенести на микротик https://iliasa.eu/wireguard-how-to-access-a-peers-...

Answer 1

[Nird]

Нашел в своих заметках с тегом решения. Не оно?

VPN маршруты во внутреннюю сеть proxy-arp
По быстрому и по простому. Для одноранговой сети.
1. Создать профиль для VPN. ppp - profile.
2. В профиле в Remote Address указать пул внутренней сети.
3. В интерфейсе bridge в ARP указать - proxy-arp
4. done

Comments

[Станислав Валсинатс]

Работать будет, но решение не отвечает безопасности. А в общем да.

[Егор]

+ в пользу самого простого решения
иначе только маршруты прописать на конечной точке и на роутере
ну и если извратиться с IPSEC то всю эту свистопляску можно обернуть в policy
Это не тривиально нужно чуток матчасть изучить

Answer 2

[АртемЪ]

На обоих микротиках прописать маршруты.
Указываем сеть 192.168.88.0/24 и в качестве шлюза адрес противоположного микротика 10.7.0.2 за которым и находится эта сеть.
По два маршрута на обоих микротиках.

Comments

[piboho4857]

На второй стороне не микротик. Доступ нужен только с ВДС в локальную сеть микротика, микротику видеть локалку сервера не нужно

[АртемЪ]

piboho4857,

Доступ нужен только с ВДС в локальную сеть микротика, микротику видеть локалку сервера не нужно

Связь вообще не нужна? - в сеть за микротиком запросы будут идти, а в сеть за VDS ответы возвращаться не будут. Пинги ходить не будут.
Так?
В общем или маршруты в обе стороны, либо маршруты и NAT на VDS.

[piboho4857]

АртемЪ, Хм, вообще логично... спасибо! Но можно подробнее по настройке? Как в таком случае настроить обратный маршрут, при том, что провайдер дает серый адрес?

[АртемЪ]

Вам с сетью за VDS вообще не надо общаться, только с самим VDS?