Добрый день, коллеги!
Есть рабочая сетка с белым IP, локалка (172.16.1.0/24) есть домашняя сетка с Динамическим белым IP и локалкой (192.168.0.0/24 ) с домашнего роутера mikrotik RB950-2n поднял WireGuard и имею доступ к рабочей сетке из дома, фаервол маскарадит. Сервер WG (10.8.100.1) и мой домашний микротик (10.8.100.5) все как бы работает как хотелось. Но хочу иметь доступ со своего рабочего компа, до своей домашней сети, ранее с OpenVPN у меня так и работало, но не было маскарада. Помогите на понятийном уровне хотя бы, что надо и где прописать в фаерволе микротика, чтоб обращаясь с 172.16.1.70 я бы мог поиметь доступ к сетке 192.16.0.0/24, правило какое то сложное для моего мозга, а посмотреть и проанализировать на самом интерфейсе, что откуда и куда, не представляется возможным, микротик не голый линукс.
Гугление не к чему не привело, даже не представляю как вопрос то поставить
Фаервол микротика WireGuard.
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Вы схему нарисуйте, можно даже от руки и фотку сюда.
И вы уверены, что вопрос вас именно о фаерволле, а не о маршрутах?
Или все-таки сейчас все смаршрутизировано, а доступ ограничен и нужно открыть доступ именно в закрытом фаерволле?
И вы уверены, что вопрос вас именно о фаерволле, а не о маршрутах?
Или все-таки сейчас все смаршрутизировано, а доступ ограничен и нужно открыть доступ именно в закрытом фаерволле?
-
solovey
- Сообщения: 6
- Зарегистрирован: 12 янв 2023, 08:48
да не мастер я рисовать то, понимаю, что на слух трудно понять задачу. попробую
Уверен, маршруты все прописано и проверено, все же аналогично OpenVPN, поменял нужные IP и все. К тому же я не зря написал про маскарадинг, пакеты с сетки 192.168.0.0/24 маскируются под интерфейс WG1 (10.8.100.5) те моя рабочая сетка не знает о существовании домашней ей все прилетает от WG1.
PS что то даже картинку на могу вставить, не работает чтоли в Edge
-
solovey
- Сообщения: 6
- Зарегистрирован: 12 янв 2023, 08:48
-
solovey
- Сообщения: 6
- Зарегистрирован: 12 янв 2023, 08:48
Что то не приходит мне на ум, что надо нарисовать, чтоб стало понятно, но пришло на ум как упростить вопрос.
Локальная серая сетка 192.168.0.0/24 маскарадится внешним адресом роутера 10.8.100.5 те в мир все улетает от нее. Что надо прописать в фаерволе микротика, чтоб обращаясь к внешнему ip 10.8.100.5 поиметь доступ к локальной сети 192.168.0.0/24 с внешней сети 172.16.1.0/24
Так может и сам дойду быстрее
Локальная серая сетка 192.168.0.0/24 маскарадится внешним адресом роутера 10.8.100.5 те в мир все улетает от нее. Что надо прописать в фаерволе микротика, чтоб обращаясь к внешнему ip 10.8.100.5 поиметь доступ к локальной сети 192.168.0.0/24 с внешней сети 172.16.1.0/24
Так может и сам дойду быстрее
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Отличие wg от openvpn в необходимости помнить про allowed-addresses для пира.
В остальном - все так же:
- убрать маскарад;
- добавить маршруты с обоих сторон;
В firewall’ах разрешить доступ из туннеля в локалки (in-interface=туннель, out-interface-list=LAN), и наоборот, eсли надо;
- ну и вот противоположные сетки в allowed-addresses добавить (либо тупо 0.0.0.0/0 с обеих сторон).
В остальном - все так же:
- убрать маскарад;
- добавить маршруты с обоих сторон;
В firewall’ах разрешить доступ из туннеля в локалки (in-interface=туннель, out-interface-list=LAN), и наоборот, eсли надо;
- ну и вот противоположные сетки в allowed-addresses добавить (либо тупо 0.0.0.0/0 с обеих сторон).
Telegram: @thexvo
-
solovey
- Сообщения: 6
- Зарегистрирован: 12 янв 2023, 08:48
xvo писал(а): ↑12 янв 2023, 14:16 Отличие wg от openvpn в необходимости помнить про allowed-addresses для пира.
В остальном - все так же:
- убрать маскарад;
- добавить маршруты с обоих сторон;
В firewall’ах разрешить доступ из туннеля в локалки (in-interface=туннель, out-interface-list=LAN), и наоборот, eсли надо;
- ну и вот противоположные сетки в allowed-addresses добавить (либо тупо 0.0.0.0/0 с обеих сторон).
ОК, а я наткнулся на какую то доку с маскарадом и сделал с ним. Подумал что это у микрота какая то особенность, так как у меня между офисом и заводом давно Wireguard поднят, и все так же как с OVPN, но Линукс с Линуксом. Спасибо!
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Да можно и с макарадом впн. Для обычных задач разницы нет никакой. Просто вам прощают задачу, чтобы легче было разобраться.
Тут еще есть момент: вы куда стучись в домашнуюю сеть? Помните же, в windows по-умолчанию все запрещено, даже ответа пинг нет?
Тут еще есть момент: вы куда стучись в домашнуюю сеть? Помните же, в windows по-умолчанию все запрещено, даже ответа пинг нет?
-
solovey
- Сообщения: 6
- Зарегистрирован: 12 янв 2023, 08:48
Фаервол винды отключен дома, я не параною по этому поводу, и с OVPN все пинговалось, не в этом дело. Вопрос out-interface-list=LAN это что в контексте Микротика? сеть 192.168.0.0/24 домашняя висит на bridge-local, но что то не помогает пока, ну жен же forward?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Те интерфейсы, которые у вас добавлены в interface-list=LAN
Если вам так проще - используйте out-interface=bridge-local
Да, цепочка forward.
Telegram: @thexvo