pengantar
Salah satu cara untuk membuat beberapa layanan internal (rumah) tersedia dari Internet adalah melalui VPN. Anda dapat, tentu saja, menerbitkan port terpisah melalui ssh, tetapi untuk komunikasi yang lebih lengkap, lebih baik menggunakan solusi lain. Saya sudah menulis tentang ZeroTier, dan tentang OpenVPN, dan menerima celaan yang tidak semestinya saya lupakan tentang Wireguard ...
Dengan satu atau lain cara, saya mulai merindukan klien VPN (termasuk Wireguard) di server yang berdiri sendiri, saya perlu menghubungkan (dalam hal ini dengan vNet di Azure, meskipun ini tidak penting) seluruh jaringan rumah dengan beberapa sumber daya. Dan saya memutuskan bahwa sudah waktunya untuk melakukannya melalui router, untuk situs-ke-situs yang lengkap.
Meskipun Keenetic telah belajar untuk mendukung Wireguard pada firmware baru, saya belum menemukan satu pun untuk Ultra lama. Itu juga tidak bekerja dengan OpenWRT (untuk Ultra II ada, tapi model saya terlalu tua). Jadi saya memutuskan sudah waktunya untuk meningkatkan. Dan, sejak Mikrotik RouterOS meluncurkan versi beta 7 dengan Wireguard, saya memutuskan sudah waktunya untuk mempelajari keajaiban ini.
Kenyataannya ternyata agak lebih rumit dari yang saya harapkan, tetapi semuanya berhasil. Dan sekarang saya akan menjelaskan poin-poin utama yang tidak dapat saya temukan di mana pun, dan yang harus saya capai sendiri.
Highlight
Saya mengambil MikroTik hAP ac2. Modelnya tua, tanpa embel-embel, tetapi dapat melakukan semua yang dibutuhkannya.
Meskipun saya belum pernah berurusan dengan Mikrotik sebelumnya, saya meluncurkannya dengan cukup cepat. Ada beberapa kesulitan dengan fakta bahwa dalam mengatur Server DHCP tidak cukup untuk mengatur Jaringan untuk alamat IP yang akan didistribusikan dari jaringan ini. Ternyata ada juga IP Pool terpisah. Tapi ini hal sepele. Jadi dengan sangat cepat saya mulai mengonfigurasi Wireguard.
Tentu saja, tidak ada yang berhasil. Selain itu, "di sisi lain" saya bahkan tidak melihat paket yang masuk.
Kemudian saya perhatikan bahwa hanya alamat IP yang ditunjukkan di bidang Endpoint, tetapi tidak ada port. Saya mencoba menjelaskannya secara eksplisit, tetapi putus. Bidang berubah menjadi merah dan validasi gagal.
. , RouterOS, , , . -, , . , , . .. /interface wireguard peers . add . interface, public-key allowed-address. , :
add allowed-address=192.168.66.128/25,10.10.0.0/16 endpoint=66.166.166.42:51820 \
interface=wg0 persistent-keepalive=30 public-key="=".. . , .
, wg0 web-. WinBox, . , -, . , Linux IP . . :
/ip address
add address=192.168.66.253/24 interface=wg0 network=192.168.66.0Itu saja. Ada instruksi di internet cara menginstal Wireguard di Mikrotik dengan OpenWRT. Tetapi bagi saya, ini adalah penyimpangan. Tetapi Anda dapat meningkatkannya di RouterOS asli Anda dalam beberapa menit. Bila Anda sudah tahu caranya. Bekerja dengan baik, tidak ada keluhan sama sekali.
PS Tentu saja, saya mengubah alamat. Tapi allowed-address=192.168.66.128/25juga add address=192.168.66.253/24bukan kesalahan. Saya hanya memiliki koneksi ke dua server. Separuh dari jaringan kelas C di satu server, separuh lagi di server lainnya.
PPS Mengapa Wireguard dan bukan OpenVPN? Misalnya kinerja:
https://blog.entrostat.com/openvpn-vs-wireguard-network-performance-tests/
Dan juga kemudahan penyiapan dan sedikit hal sepele.