Wireguard и проброс портов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
hulitolku
Сообщения: 34
Зарегистрирован: 07 окт 2018, 11:59

Изображение


Роутер 1 получает интернет от провайдера со статическим белым IP, допустим 91.92.93.94. На первом роутере сделан проброс порта 1111 на второй роутер. Wireguard планируется поднимать на втором роутере, адреса у сервера будут: 10.14.0.1 у клиента: 10.14.0.2.
Как в таком случае клиент будет подключаться к серверу? Какой внешний IP и порт необходимо прописывать в конфиге wireguard?
Последний раз редактировалось hulitolku 26 авг 2020, 12:25, всего редактировалось 1 раз.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Роутер провайдера нельзя выбросить?
Или это ONT?
DMZ сделать на нем???

Не знаю, как в микротике, но на Ubuntu порт для Wireguard можно менять в настройках.
В микротике - пока не пробовал ROS7.
IP, естественно, прописывать внешний. Порт - какой хотите, и потом пробросить его на 1 роутере. Ну или DMZ, что еще проще.

Не совсем понятно, вы поднимаете сервер Wireguard? IP прописывать на сервере или на клиенте? Про какие IP вообще речь?
Может быть я чего и не понял? Но для подключения, в любом случае, IP вешний, как по другому-то?


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

пробросить на второй роутер не один порт 1111, а весь адрес 91.92.93.94.
А доступ к первому из интернета (если нужен) сделать через лан.
Чтобы с редиректами не разбираться, кусок лана между роутерами 1 и 2 выделить в отдельную IP сеть.
DHCP перенести на роутер 2.

Стесняюсь спросить. А что мешает порты, нужные для Wireguard также прокинуть на роутер2, как и порт 1111?


Аватара пользователя
hulitolku
Сообщения: 34
Зарегистрирован: 07 окт 2018, 11:59

Первый роутер (Dlink 300) находится в одном доме, выбросить нельзя, второй роутер (mikrotik либо openwrt)- в соседнем доме.
Вот я и хотел выяснить, возможно ли настроить WG сервер с помощью проброса портов?
Как например, это получилось с соксами, который я могу поднять на роутере 2 с помощью ssh -D 192.168.1.1:8888 root@192.168.10.12, а со второго сделать проброс c 5555 на 8888 порт второго роутера и получить рабочий socks5 прокси 91.92.93.94:5555
Стесняюсь спросить. А что мешает порты, нужные для Wireguard также прокинуть на роутер2, как и порт 1111?
Ничего не мешает. Вопрос в том, как конфигурировать WG в таком случае?
пробросить на второй роутер не один порт 1111, а весь адрес 91.92.93.94.
А это как?


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

hulitolku писал(а): 26 авг 2020, 14:14
Стесняюсь спросить. А что мешает порты, нужные для Wireguard также прокинуть на роутер2, как и порт 1111?
Ничего не мешает. Вопрос в том, как конфигурировать WG в таком случае?
Так же, как конфигурируете WG на граничном роутере. Он с внешнего интерфейса по порту или диапазону портов принимает соединения. Вот этот порт или диапазон портов пробросьте на второй роутер с первого.
hulitolku писал(а): 26 авг 2020, 14:14
пробросить на второй роутер не один порт 1111, а весь адрес 91.92.93.94.
А это как?
нетмап, например. Если роутер 1 - микротик.
У меня дома такая конфигурация. 1 роутер - GPON желеска от МГТС. Там эта настройка делается назначением микротика (роутер2) DMZ-хостом. После чего весь входящий трафик автоматом летит на микротик.
На каких то желазках для этого есть режим моста.
Вы не указываете модель вашего железа. Так что ХЗ. Но варианты точно есть всегда.


Аватара пользователя
hulitolku
Сообщения: 34
Зарегистрирован: 07 окт 2018, 11:59

Erik_U писал(а): 26 авг 2020, 16:02 Так же, как конфигурируете WG на граничном роутере. Он с внешнего интерфейса по порту или диапазону портов принимает соединения. Вот этот порт или диапазон портов пробросьте на второй роутер с первого.
Пробовал, не выходит. Клиент на смартфоне (11 андроид) выдает следующее:

Код: Выделить всё

Ошибка при запуске туннеля: Не удалось настроить туннель (wg_quick вернул 64)
Пробовал подключаться как через LTE, указывая в настройках внешний 91.92.93.94:2222 (это проброс с первого роутера порта 2222 на на порт 192.168.10.12:51820 второго роутера) ,
так и через локалку, подключившись через вайфай роутера 2 и указав 192.168.1.1:51820
В обоих случаях - фиаско.
А вот клиент под виндоуз на компьютере, который подключен к лану второго роутера, через адрес 192.168.1.1:51820 , а также через а также через 192.168.10.12:51280 замечательно подсоединяется и функционирует. И интернет и сеть wg.

Все настройки делал по аналогии этой инструкции: https://rxlab.org/text/?id=42
Роутер 1 - Dlink dir 300
Роутер 2 - микротик с openwrt
Клиент WG из гугл плея, смартфон pixel 3a.


Аватара пользователя
hulitolku
Сообщения: 34
Зарегистрирован: 07 окт 2018, 11:59

Проблема решилась выключением модуля ядра в клиенте андройда.


Ответить