Dzięki za film! Bardzo przyjemnie się to ogląda. To co by mnie najbardziej interesowało to użycie Wireguarda na mikrotiku w celu połączenia się z lokalną siecią domową z zewnątrz. Tak, żeby np. mieć dostęp do lokalnych zasobów poza domem za pomocą telefonu. Można by wtedy opowiedzieć o tym, co trzeba zrobić w przypadku gdy mamy stały publiczny IP lub gdy takiej opcji nie mamy.
Dzięki za film! Oglądam ciebie od dłuższego czasu i twoje filmy znacząco poprawiły moją wiedzę o mikrotiku oraz pozwoliły mi zyskać nowe doświadczenie zawodowe. Dziękuję : )
BRAWO, wiele filmów obejrzałem jesteś jednym który tłumaczy wszystko to co robi, dzięki Tobie zrozumiałem jedną rzecz która mocno mnie trapiła, jeszcze raz SZACUN
Ja ze swojej strony dodam, ze wireguard okazal sie najszybciej dzialajacym protokolem. Openvnp i ipsec czasem lecialy 20-30% predkosci lacza max a wg dawal 90%. Mozna tez ustawic pre shared key dodatkowo. Oraz do generqcji klucza w linixie sa polecenia wg genkey, wg pubkey. - Komentarz tez dla zasiegu :)
Przydatny film, poprosimy jeszcze konfigurację WG z klientami Windows z przykładowym ograniczeniem dla tych klientów do np. dwóch serwerów wewnątrz sieci. Jeden klient Windows po zestawieniu tunelu ma dostęp np. do dwóch serwerów a inny klient do pięciu serwerów.
Chętnie zobaczę konfiguracje WG dla klienta Windows i Android. Oprócz tego super byłoby jeśli dałbyś radę wytłumaczyć czy i jak można skonfigurować ograniczenia dla klientów w sieci lokalnej co do ilości pobieranych i wysyłanych danych na zdefiniowany okres (domyślnie miesiąc rozliczeniowy u dostawcy internetu). Nigdzie nie znalazłem takiego tutoriala. Fajna seria! Pozdro.
Dzięki za filmy, fajnie tłumaczysz :) A ja szukam rozwiązania mojego problemu, mam funboxa i mikrotik działa w trybie bridge i nie mogę sobie poradzić z konfiguracją wireguarda. Może jakaś mała podpowiedź ? :) Pozdrawiam.
Zrobię też o tym film. Nie mniej jednak ja jestem zwolennikiem rozwiązania jedno urządzenie-jeden tunel. Miałem problemy, jak próbowałem skonfigurować kilku klientów na jednym interfejsie.
@@TechGlobuz tez mam ten problem. robiąc jedno urzadzenie - jeden tunel trzeba wydzielać osobne porty, a jesli chcemy serwer oraz kilku kientów bez publicznych ip to na 1 interfejsie chyba by miało sens
Lista interfejsów grupuje interfejsy pod jedną nazwą aby użyć w konfiguracji np. firewall'a. Jeśli coś nie działało bez dodania do listy interfejsów to było zależne wyłącznie od reguł firewall'a.
Nie było. Uwierz mi, że nie konfiguruję Mikrotika od wczoraj. Ten konkretny egzemplarz ma prawie domyślną konfigurację (w firewallu w 100% domyślną) i w 7.13 jak interfejs WG nie był dodany do listy LAN, to nie dało się po nim skomunikować. Testowane nie na jednym urządzeniu, bo mam u siebie wiele tuneli WG i zawsze warunkiem przerzucania ruchu przez interfejs WG (czy każdego innego tunelu VPN) było dodanie go do listy LAN. Zresztą na logikę tak to powinno działać. Mikrotik jak zwykle coś zmienił i pewnie sam nie jest tego świadomy, że zaczęło to działać inaczej niż wcześniej (nie pierwszy przypadek).
Zawsze wyrzucam całą domyślną konfiguracje. Nigdy nie tworzyłem listy interfejsów LAN. Dlatego sądzę że mogło to wynikać z innej konfiguracji. Najbliszy wydaje się być firewall.
@@Harvey-DentU mnie nie działało. Zresztą widać, że miałem wszystkie interfejsy WG i SSTP dodane do LAN. Bez powodu i z nudów bym ich przecież tam nie dodawał. Inna sprawa, że jak na logikę przeanalizujesz działanie firewalla, to ruch od strony WAN do routera nie powinien przejść. No i właściwie teraz sam sobie odpowiedziałem na wątpliwości dlaczego mam to dodane do LAN. Bez dodania do LAN, jak będzie się łączyć od serwera do klienta, to firewall zdropuje ruch (a przynajmniej powinien). W drugą stronę pójdzie, bo klient inicjuje połączenie.
Mógłbyś pokazać jak skonfigurować połączenie klienta jako PC windows, z mikrotikiem, który nie ma publicznego IP, np takim lhg LTE, ale ma włączony BTH?
Obecnie używam OVPN do połączenia kilku lokalizacji. Jak skonfigurować, aby urządzenia z różnych lokalizacji widziały się wzajemnie? Dodać trase na routerze w każdej lokalizacji to wiem, czy coś jeszcze?
Siemka, masz OSPF spiętego po tunelach wireguard? Ja mam z tym problemy. Próbuje to zrobić na sieci WG z maską /24, taki głowny vpn, a teraz spróbowałem z maską /30 pomiędzy 2 mikrotikami S2S. Wydaje mi się że jest OK, ale w Neighbors nie widać drugiego routera. Może to dobry pomysł na odcinek. Dziękuje za super robotę, odwagę i wiedzę.
Temat WG jest bardzo interesujący. Czy jest możliwość abyś pokazał połączenie w którym tylko jeden router ma zew IP, a reszta routerów (np 3 inne lokalizacje) podłączonych do niego nie posiadają zew. IP i każdy użytkownik z danej lokalizacji umiał się pingować?
Taaa. Właściwie to jest on w wielu miejscach go pokazałem. Gdzie zauważyłem, to wyedytowałem. W praktyce nie powinno to nic zmienić, chyba że ktoś ma jakiegoś 0-day exploita na VPN w Mikrotiku, bo to jedyna opcja żeby dostać się na mój router ;)
Może pokazał byś jak zrobić coś takiego żeby działało tylko z serwisem Netflix :) w sensie żeby tylko połączenia leciały dla Netflixa pozostałe lokalnie.
Mam pytanie. Zestawiłem połączenie S2S. Pingi na terminalu w Winboxie mi lecą do drugiego MT, ale nie mogę połączyć się z nim przez WinBox. Czy trzeba jakiś port odblokować czy cos innego zadziałać?
Dzięki, materiał bardzo dobry, ale co w przypadku kiedy mamy zew. IP na routerze od dostawcy, a za nim mój mikrotik jako serwer VPN(za natem), jak to ugryźć ?
Załatwić żeby dostawca przełączył router w bridge, ostatecznie ustawić DMZ lub przekierować port. Publiczne IP na sprzęcie dostawcy, to nie jest publiczne IP.
Świetnie tłumaczysz. Tak, że laik zrozumie, prosto i przejrzyście. Wiesz co by się przydało? Konfiguracja wireguarda (lub innego VPNa) z dostawcą usług VPN - protonVPN, NortVPN czy coś podobnego. Strasznie się nad tym ostatnio namęczyłem a dokumentacja po obu stronach jest tak "przejrzysta", że lepiej jej nie czytać.
A jak ustawić wireguarda tak, żeby cały ruch z MT klienta przechodził przez tunel? Ta konfiguracja, która pokazujesz, jest świetna, ale pozwala na routing do sieci "domowej". Chciałbym to dalej wykorzystać do mojej sieci wakacyjnej z opcją tunelowania całego ruchu przez moją sieć domową, ale nie wiem jak się do tego zabrać. Nie da się ustawić na MT kliencie w ip/routes dst. address 0.0.0.0/0 z gatewayem ustawionym na adres IP tunelu, bo wtedy ruch w ogóle umiera.
@@TechGlobuz a widzisz. Szukałem wczoraj w nocy w odcinku o sieci wakacyjnej :) obejrzę ze zrozumieniem ponownie odcinek routingowy i wrócę pewnie z pytaniami ... :D
Kurka. Co może być nie tak, że router zestawia połączenie wireguard. Ma dostęp do sieci wewnętrznej na routerze docelowym, ale nie routuje tego ruchu dla klientów podpiętych do niego. Klient ma dostęp do internetu, ale nie do sieci lokalnej na routerze docelowym. Co mogę robić źle? Wczoraj wszystko działało, jedynie zmieniłem połączenie WAN z LTE na wifi klient
Ja mam problem z ustawieniem tego, konkretnie DHCP mam na sprzęcie od ISP i HAP AC2 robi mi za AP, ale oprócz tego chciałem z niego zrobić bramkę do LAN z telefonu z androidem. Dwa dni walczyłem i znalazłem że jest taka opcja jak back to home oparta na wireguardzie, która sama się konfiguruje. Włączyłem BTH (które jest tak naprawdę podwójnym VPN) i działa. Próbowałem to skopiować i udało mi się wszystko poza regułą drop na firewallu i nie działa - nie mam pojęcia co robię źle i jak to diagnozować.
Koncept jest taki, żeby zrobić sobie podróżny router, który będzie w hotelu łączył się z wifi i robił tunel do domu dla urządzeń podłączonych do sieci generowanej przez ten podróżny router dla wszystkich podłączonych do niego urządzeń: telefonów, laptopów, chromecasta...
Chciałbym zauważyć że SAFE MODE ma mały feler bo mimo iż był włączony MT zapisał konfigurację a dokładnie Admin MAC Adress w bridzu. I straciłem zdalne połączenie.
Jeśli faktycznie tak było, to trzeba zgłaszać bezpośrednio do Mikrotika, że nie działa tak jak powinno. Wbrew pozorom odpowiadają i próbują zrobić poprawki w następnych wersjach.
Hej, mam w domu hap ax3 i serwer plików qnap, poprzez Twoje filmiki zaopatrzyłem się w hAP AX LTE6 na wyjazdy. Próbowałem między nimi zrobić routing żebym miał zawsze dostęp do serwera natomiast mam problem z konfiguracją wireguarda. W domu mam interenet od vectry i prawdopodnie CG-NAT operatora a po drugiej stronie internet lte od orange bez publicznego ip. Da się to jakoś rozwiązać czy pozostaje jedynie back-to-home?
Proponuję sprawdzić reguly firewalla. Miałem taki przypadek że wszystko działało. Można było logować na MT, ale nic więcej. Jak się później okazało firewall blokował ruch. Wystarczyło dodać jeden wpis, i jest ok.
Czy da się napisać skrypt dhcp serwera uruchamiający wireguarda gdy mój laptop podepnie I dhcp wyda mu IP? Chodzi o to czy można włączać i wyłączać wireguarda skryptami. Dzięki za film 😊
Po co? Przychodzę do domu wpinam laptop w gniazdo a wireguarda klient łączy się z mikrotikiem w mojej pracy. Wpięcie mojego laptopa (baza MAC) zestawia połączenie a na firewall ustala skrypt co do czego trafia. A dlaczego nie na laptopie - laptop służbowy I wszystko co w nim wolno do uruchomić www. Ciekawe?
Co człowiek to inaczej wymawia. Jedni mają pretensje, że nie po polsku, drudzy, że nie po angielsku. Niektórzy mają pretensje, że PoE czytam jak skrót literowy, a nie jako jeden wyraz. Nie dogodzi się wszystkim, do tego ciężko jest dwujęzycznie mówić w jednym zdaniu.
Czyli do każdego osobnego połączenie site2site na głównym routerze tworzymy osobny server ? Bo gdzieś spotkałem się z taką opinią że na głównym routerze tworzymy tylko jeden serwer z którym łączy się wiele peerów
Ilu ludzi, tyle opinii. Ja chcę i poniekąd muszę mieć osobny interfejs na każde połączenie, bo śmiga mi po tym OSPF. Generalnie dużo większy porządek jest, jak masz osobny interfejs na każde połączenie. Oczywiście problem może się pojawić, jak masz np. kilkudziesięciu pracowników, którzy łączą się po WG do routera w pracy, ale to już temat na inny film :)
@@mkkr1096UDP, a nie UTP. UTP, to rodzaj kabla ;) Jak zwykle odpowiedź brzmi to zależy. Mam jedną lokalizację, gdzie administrator wycina wszystko oprócz SSTP i tam musi być SSTP.
Zrobiłem dokładnie taką samą konfigurację i bezpośrednio z MT2 mogę pingować sieć za MT1 natomiast z sieci za MT2 nie mogę pingować sieci za MT1. Narzędziem Ping na MT2 sprawdziłem że nie idą pingi z interface bridge (lub konkretnie ether1,2,3..) do wg2. Na firewallu wszystko jest odblokowane, routing jest dodany. Także reasumując z ruch z sieci LAN nie jest w stanie nawet wejść do tunelu VPN 😢 Ktoś ma jakiś pomysł co może być powodem?
dobra, nie tu miałem problem, ale i tak dla przyszłych pokoleń: firewall odblokowujemy (action accept) dla udp i portu wireguarda dla chain input i tyle, pamiętając oczywiście o przeniesieniu reguły możliwie wysoko na liście reguł.
Dodaj regułę input, protocol udp, dst port port podaj swój port WG, in interface podajesz port, który jest WAN, action ma być accept. No i reguła powinna być na początku, przed innymi.
Niby spoko, ale ... jeszcze nasza siedz nie jest sensownie postawiona, a juz za VPN sie zabieramy. To temat ktory mogl by sie pojawic za 10-15 odcinkow w odniesieniu do tego co juz w kursie i z jakims konkretnym przykladem. Od dostep po VPN do naszych kamer w domuz sieci na dzialce. A tak to troche wyrwane z kontekstu.
Co konkretnie nie jest sensownie postawione? Domyślna konfiguracja Mikrotika jest wystarczająca dla 90% ludzi. Dużo ludzi pytało o konfigurację WireGuard. Biorąc pod uwagę zainteresowanie filmem, to wydaje się, że temat bardzo potrzebny. No i sam WireGuard jest bardzo prosty we wdrożeniu, ale (jak zwykle) diabeł tkwi w szczegółach. Dużo trudniej by było teraz wejść np. w omówienie Firewalla od podstaw (chociaż o tym będzie następna część, bo temat jest ważny).
@@TechGlobuz To tylko moje zdanie, ale na YT pytanie “czy chcecie”, “duzo ludzi” i zawsze znajdzie sie wielu zainteresowanych tym tematem. Temat ciekawy, potrzebny, ale wlasnie moze juz po firewall, QOS, filtrach rodzinnych, separacji pralki co sciaga 90GB czy chinskich zarowek , sieci dla gosci, itd. No masa podstaw. Jest pewnie duzo osob ktore potrzebuja tego juz dzis, ale tworzac spis tresci, taka liste konfiguracji sieci domowej od A do Z to ten V jest pod koniec :P
Żeby to tylko raz i żeby to tylko jeden. Co zauważyłem, to już wyedytowałem. Właściwie, to zagrożenie żadne, chyba że ktoś ma 0-daya na VPN-y w Mikrotiku, ale to wtedy może dopaść mnie (jak i każdego) zawsze skanując porty ;)
Cześć, u mnie niestety nie działa. Mam 2x RB760iGS i dwa pytanka 1. Po stronie router-serwer - port dodajemy w firewall, chain input, protocol udp, dstp port >>numer portu podany w wireguard?? 2. Po stronie router-client - wireguard >> Peers >> Endpoint: tutaj adres IP publiczny od router-serwer ??
Dzięki za film. Jestem żywo zainteresowany konfiguracją klienta na telefonie.
Dzięki za film! Bardzo przyjemnie się to ogląda. To co by mnie najbardziej interesowało to użycie Wireguarda na mikrotiku w celu połączenia się z lokalną siecią domową z zewnątrz. Tak, żeby np. mieć dostęp do lokalnych zasobów poza domem za pomocą telefonu. Można by wtedy opowiedzieć o tym, co trzeba zrobić w przypadku gdy mamy stały publiczny IP lub gdy takiej opcji nie mamy.
Dzięki za film!
Oglądam ciebie od dłuższego czasu i twoje filmy znacząco poprawiły moją wiedzę o mikrotiku oraz pozwoliły mi zyskać nowe doświadczenie zawodowe. Dziękuję : )
Dziękuję, właśnie kończę przygodę z ipsec'iem. Pozdrawiam
Chcemy taki film. Dzięki
Kurcze. Bardzo pomocny materiał. Dzięęęęki!
Dzięki za ten odcinek i czekam na rozszerzenie o komórki
BRAWO, wiele filmów obejrzałem jesteś jednym który tłumaczy wszystko to co robi, dzięki Tobie zrozumiałem jedną rzecz która mocno mnie trapiła, jeszcze raz SZACUN
Świetny i pomocny film.Smacznej kawusi. :)
Ja ze swojej strony dodam, ze wireguard okazal sie najszybciej dzialajacym protokolem. Openvnp i ipsec czasem lecialy 20-30% predkosci lacza max a wg dawal 90%. Mozna tez ustawic pre shared key dodatkowo. Oraz do generqcji klucza w linixie sa polecenia wg genkey, wg pubkey. - Komentarz tez dla zasiegu :)
Korzystam od kilku lat. Nie dość że najszybszy to jeszcze konfiguruje się najprościej, a raczej konfiguracja jest najbardziej elegancka.
Przydatny film, poprosimy jeszcze konfigurację WG z klientami Windows z przykładowym ograniczeniem dla tych klientów do np. dwóch serwerów wewnątrz sieci. Jeden klient Windows po zestawieniu tunelu ma dostęp np. do dwóch serwerów a inny klient do pięciu serwerów.
dokładnie to miałem napisać. Przydałoby się trochę z Firewall'em popracować w kontekście Wireguarda.. Pozdrawiam :)
Jak zawsze bardzo wartościowy materiał
Ale się rozkręciłeś
Zarąbisty materiał. Dzięki
Chętnie zobaczę konfiguracje WG dla klienta Windows i Android. Oprócz tego super byłoby jeśli dałbyś radę wytłumaczyć czy i jak można skonfigurować ograniczenia dla klientów w sieci lokalnej co do ilości pobieranych i wysyłanych danych na zdefiniowany okres (domyślnie miesiąc rozliczeniowy u dostawcy internetu). Nigdzie nie znalazłem takiego tutoriala. Fajna seria! Pozdro.
Super cenny materiał, dzieki
Super fajny film. Kiedy nagrasz o kolejkowaniu i ograniczaniu przepustowości poszczególnych portów itp.
Dzięki za filmy, fajnie tłumaczysz :)
A ja szukam rozwiązania mojego problemu, mam funboxa i mikrotik działa w trybie bridge i nie mogę sobie poradzić z konfiguracją wireguarda. Może jakaś mała podpowiedź ? :) Pozdrawiam.
Przydała by się konfiguracja dla przykładowego serwera wg oraz wielu klientów np. android, pc, mikrotik.
Smacznej kawy :P
Zrobię też o tym film. Nie mniej jednak ja jestem zwolennikiem rozwiązania jedno urządzenie-jeden tunel. Miałem problemy, jak próbowałem skonfigurować kilku klientów na jednym interfejsie.
@@TechGlobuz Mam na jednym interfejsie wg ustawionych 54 peerów i działa jak należy.
@@qbpm Jak to są zwykli klienci typu laptopy i smartfony, to spoko. Jak śmiga po tym OSPF, to nie widzę takiego rozwiązania.
@@TechGlobuz poradziłem już sobie z wg, wystarczyła podana przez ciebie strona :)
@@TechGlobuz tez mam ten problem. robiąc jedno urzadzenie - jeden tunel trzeba wydzielać osobne porty, a jesli chcemy serwer oraz kilku kientów bez publicznych ip to na 1 interfejsie chyba by miało sens
Lista interfejsów grupuje interfejsy pod jedną nazwą aby użyć w konfiguracji np. firewall'a. Jeśli coś nie działało bez dodania do listy interfejsów to było zależne wyłącznie od reguł firewall'a.
Nie było. Uwierz mi, że nie konfiguruję Mikrotika od wczoraj. Ten konkretny egzemplarz ma prawie domyślną konfigurację (w firewallu w 100% domyślną) i w 7.13 jak interfejs WG nie był dodany do listy LAN, to nie dało się po nim skomunikować. Testowane nie na jednym urządzeniu, bo mam u siebie wiele tuneli WG i zawsze warunkiem przerzucania ruchu przez interfejs WG (czy każdego innego tunelu VPN) było dodanie go do listy LAN. Zresztą na logikę tak to powinno działać. Mikrotik jak zwykle coś zmienił i pewnie sam nie jest tego świadomy, że zaczęło to działać inaczej niż wcześniej (nie pierwszy przypadek).
Zawsze wyrzucam całą domyślną konfiguracje. Nigdy nie tworzyłem listy interfejsów LAN. Dlatego sądzę że mogło to wynikać z innej konfiguracji. Najbliszy wydaje się być firewall.
@@TechGlobuz Uwierz że mam WG od którejś wcześniejszej wersji 7 i nigdy nie dodawałem interfejsu do LAN. Nie dodawałem, nie dodaje i działa :)
@@Harvey-DentU mnie nie działało. Zresztą widać, że miałem wszystkie interfejsy WG i SSTP dodane do LAN. Bez powodu i z nudów bym ich przecież tam nie dodawał. Inna sprawa, że jak na logikę przeanalizujesz działanie firewalla, to ruch od strony WAN do routera nie powinien przejść. No i właściwie teraz sam sobie odpowiedziałem na wątpliwości dlaczego mam to dodane do LAN. Bez dodania do LAN, jak będzie się łączyć od serwera do klienta, to firewall zdropuje ruch (a przynajmniej powinien). W drugą stronę pójdzie, bo klient inicjuje połączenie.
Globuz kolega ma racje. Ta interfaces robisz aby nie pisać reguł osobno na każdy interface.
Czy z mikrotika można zrobić bramkę ( gateway ) bez serwera dhcp jako przezroczysty ruter i na firewall zrobić chodź zalążek ids/ips ??
Super materiał
Mógłbyś pokazać jak skonfigurować połączenie klienta jako PC windows, z mikrotikiem, który nie ma publicznego IP, np takim lhg LTE, ale ma włączony BTH?
Obecnie używam OVPN do połączenia kilku lokalizacji. Jak skonfigurować, aby urządzenia z różnych lokalizacji widziały się wzajemnie? Dodać trase na routerze w każdej lokalizacji to wiem, czy coś jeszcze?
Siemka, masz OSPF spiętego po tunelach wireguard? Ja mam z tym problemy. Próbuje to zrobić na sieci WG z maską /24, taki głowny vpn, a teraz spróbowałem z maską /30 pomiędzy 2 mikrotikami S2S. Wydaje mi się że jest OK, ale w Neighbors nie widać drugiego routera. Może to dobry pomysł na odcinek. Dziękuje za super robotę, odwagę i wiedzę.
Musisz statycznie dodać sąsiada OSPF i wtedy się zestawi
Temat WG jest bardzo interesujący. Czy jest możliwość abyś pokazał połączenie w którym tylko jeden router ma zew IP, a reszta routerów (np 3 inne lokalizacje) podłączonych do niego nie posiadają zew. IP i każdy użytkownik z danej lokalizacji umiał się pingować?
Będzie kiedyś przy okazji tematu OSPF, bo najłatwiej zrobić to na OSPF.
Fajnie wytłumaczone. Ukryłeś adres IP w 9:15, a potem dwa razy go później pokazałeś.
Taaa. Właściwie to jest on w wielu miejscach go pokazałem. Gdzie zauważyłem, to wyedytowałem. W praktyce nie powinno to nic zmienić, chyba że ktoś ma jakiegoś 0-day exploita na VPN w Mikrotiku, bo to jedyna opcja żeby dostać się na mój router ;)
Witam jestem zainteresowany dalszymi materiła mi , a w szczególności konfiguracją związaną i bezpieczeństwem VPN .
Pozdrawiam JS
Może pokazał byś jak zrobić coś takiego żeby działało tylko z serwisem Netflix :) w sensie żeby tylko połączenia leciały dla Netflixa pozostałe lokalnie.
👍
Cześć robiłem wszystko z poradnika i jak pinguje do drugiej sieci to wyskakuje błąd 161 jak dobrze pamiętam
Mam pytanie. Zestawiłem połączenie S2S. Pingi na terminalu w Winboxie mi lecą do drugiego MT, ale nie mogę połączyć się z nim przez WinBox. Czy trzeba jakiś port odblokować czy cos innego zadziałać?
Firewall coś blokuje. Dodałeś interfejsy WG do listy LAN (o ile masz domyślną konfigurację z obu stron)?
Mam dokładnie ten samo problem. Udało Ci się go jakoś rozwiązać?
Dzięki, materiał bardzo dobry, ale co w przypadku kiedy mamy zew. IP na routerze od dostawcy, a za nim mój mikrotik jako serwer VPN(za natem), jak to ugryźć ?
Załatwić żeby dostawca przełączył router w bridge, ostatecznie ustawić DMZ lub przekierować port. Publiczne IP na sprzęcie dostawcy, to nie jest publiczne IP.
spoko materiał
Świetnie tłumaczysz. Tak, że laik zrozumie, prosto i przejrzyście.
Wiesz co by się przydało? Konfiguracja wireguarda (lub innego VPNa) z dostawcą usług VPN - protonVPN, NortVPN czy coś podobnego. Strasznie się nad tym ostatnio namęczyłem a dokumentacja po obu stronach jest tak "przejrzysta", że lepiej jej nie czytać.
Niestety nie planuję. Nie korzystam z zewnętrznych VPN, nie wiem nawet po co coś takiego może się komuś przydać w polskich warunkach.
A jak ustawić wireguarda tak, żeby cały ruch z MT klienta przechodził przez tunel? Ta konfiguracja, która pokazujesz, jest świetna, ale pozwala na routing do sieci "domowej". Chciałbym to dalej wykorzystać do mojej sieci wakacyjnej z opcją tunelowania całego ruchu przez moją sieć domową, ale nie wiem jak się do tego zabrać. Nie da się ustawić na MT kliencie w ip/routes dst. address 0.0.0.0/0 z gatewayem ustawionym na adres IP tunelu, bo wtedy ruch w ogóle umiera.
Jest pokazane w odcinku o routingu.
@@TechGlobuz a widzisz. Szukałem wczoraj w nocy w odcinku o sieci wakacyjnej :) obejrzę ze zrozumieniem ponownie odcinek routingowy i wrócę pewnie z pytaniami ... :D
Kurka. Co może być nie tak, że router zestawia połączenie wireguard. Ma dostęp do sieci wewnętrznej na routerze docelowym, ale nie routuje tego ruchu dla klientów podpiętych do niego. Klient ma dostęp do internetu, ale nie do sieci lokalnej na routerze docelowym. Co mogę robić źle? Wczoraj wszystko działało, jedynie zmieniłem połączenie WAN z LTE na wifi klient
hmm miałem ustawiony interface wireguard na MT kliencie na int. list jako LAN, ustawiłem jako WAN i zaczęło routować poprawnie 🤩💪
Ja mam problem z ustawieniem tego, konkretnie DHCP mam na sprzęcie od ISP i HAP AC2 robi mi za AP, ale oprócz tego chciałem z niego zrobić bramkę do LAN z telefonu z androidem. Dwa dni walczyłem i znalazłem że jest taka opcja jak back to home oparta na wireguardzie, która sama się konfiguruje. Włączyłem BTH (które jest tak naprawdę podwójnym VPN) i działa. Próbowałem to skopiować i udało mi się wszystko poza regułą drop na firewallu i nie działa - nie mam pojęcia co robię źle i jak to diagnozować.
Koncept jest taki, żeby zrobić sobie podróżny router, który będzie w hotelu łączył się z wifi i robił tunel do domu dla urządzeń podłączonych do sieci generowanej przez ten podróżny router dla wszystkich podłączonych do niego urządzeń: telefonów, laptopów, chromecasta...
q-in-q przez WG robiłeś?
Da się ustawić wireguard pomiędzy hap ac2 a Rb 2011?
Tak.
Chciałbym zauważyć że SAFE MODE ma mały feler bo mimo iż był włączony MT zapisał konfigurację a dokładnie Admin MAC Adress w bridzu. I straciłem zdalne połączenie.
Jeśli faktycznie tak było, to trzeba zgłaszać bezpośrednio do Mikrotika, że nie działa tak jak powinno. Wbrew pozorom odpowiadają i próbują zrobić poprawki w następnych wersjach.
Hej, mam w domu hap ax3 i serwer plików qnap, poprzez Twoje filmiki zaopatrzyłem się w hAP AX LTE6 na wyjazdy. Próbowałem między nimi zrobić routing żebym miał zawsze dostęp do serwera natomiast mam problem z konfiguracją wireguarda. W domu mam interenet od vectry i prawdopodnie CG-NAT operatora a po drugiej stronie internet lte od orange bez publicznego ip. Da się to jakoś rozwiązać czy pozostaje jedynie back-to-home?
Niestety musi gdzieś być publiczne IP. Zostaje back to home albo zero tier.
@@TechGlobuz Co ciekawe po adresie IP mogę się zalogować do winboxa. Albo ja coś źle konfiguruje albo Vectra blokuje wireguarda. Back to home działa
@@boro977 Jak na mój gust, to coś musisz mieć źle skonfigurowane, skoro Winbox działa.
@@TechGlobuz spróbuję raz jeszcze według Twojego poradnika
Proponuję sprawdzić reguly firewalla. Miałem taki przypadek że wszystko działało. Można było logować na MT, ale nic więcej. Jak się później okazało firewall blokował ruch. Wystarczyło dodać jeden wpis, i jest ok.
Czy da się napisać skrypt dhcp serwera uruchamiający wireguarda gdy mój laptop podepnie I dhcp wyda mu IP? Chodzi o to czy można włączać i wyłączać wireguarda skryptami. Dzięki za film 😊
Nie do końca rozumiem po co, ale da się bez problemów. Skrypty w Mikrotiku, to jest w ogóle osobny temat. Na pewno zbyt długi na jeden odcinek.
Po co? Przychodzę do domu wpinam laptop w gniazdo a wireguarda klient łączy się z mikrotikiem w mojej pracy. Wpięcie mojego laptopa (baza MAC) zestawia połączenie a na firewall ustala skrypt co do czego trafia. A dlaczego nie na laptopie - laptop służbowy I wszystko co w nim wolno do uruchomić www. Ciekawe?
Wszystko super ale boli trochę jak wymawiasz błędnie VPN czy peer 🤦 proponuje translate.google.pl i pomacać ikonkę głośniczka ;)
Co człowiek to inaczej wymawia. Jedni mają pretensje, że nie po polsku, drudzy, że nie po angielsku. Niektórzy mają pretensje, że PoE czytam jak skrót literowy, a nie jako jeden wyraz. Nie dogodzi się wszystkim, do tego ciężko jest dwujęzycznie mówić w jednym zdaniu.
Jak ten port odblokować?
Czyli do każdego osobnego połączenie site2site na głównym routerze tworzymy osobny server ? Bo gdzieś spotkałem się z taką opinią że na głównym routerze tworzymy tylko jeden serwer z którym łączy się wiele peerów
Ilu ludzi, tyle opinii. Ja chcę i poniekąd muszę mieć osobny interfejs na każde połączenie, bo śmiga mi po tym OSPF. Generalnie dużo większy porządek jest, jak masz osobny interfejs na każde połączenie. Oczywiście problem może się pojawić, jak masz np. kilkudziesięciu pracowników, którzy łączą się po WG do routera w pracy, ale to już temat na inny film :)
Ja robię na głównym jeden, i działa, mam 54 peery do niego.
@@TechGlobuz A jak wycinają utp, to używasz sstp czy openvpn?
@@mkkr1096UDP, a nie UTP. UTP, to rodzaj kabla ;) Jak zwykle odpowiedź brzmi to zależy. Mam jedną lokalizację, gdzie administrator wycina wszystko oprócz SSTP i tam musi być SSTP.
@@TechGlobuz Tak, racja, oczywiście chodziło o udp. A openvpn idzie puścić na porcie 443? Bo jeżeli tak, to w czym sstp jest nad ovpn?
Interfaces list to tylko nazw a grupy interface. Komunikacja jest w interface WG on jest wirtualny. Dla mnie nic dziwnego że działa.
Zrobiłem dokładnie taką samą konfigurację i bezpośrednio z MT2 mogę pingować sieć za MT1 natomiast z sieci za MT2 nie mogę pingować sieci za MT1. Narzędziem Ping na MT2 sprawdziłem że nie idą pingi z interface bridge (lub konkretnie ether1,2,3..) do wg2. Na firewallu wszystko jest odblokowane, routing jest dodany. Także reasumując z ruch z sieci LAN nie jest w stanie nawet wejść do tunelu VPN 😢 Ktoś ma jakiś pomysł co może być powodem?
Utknąłem na tym, co pominąłeś czyli na odblokowaniu portu na firewallu... :(
dobra, nie tu miałem problem, ale i tak dla przyszłych pokoleń: firewall odblokowujemy (action accept) dla udp i portu wireguarda dla chain input i tyle, pamiętając oczywiście o przeniesieniu reguły możliwie wysoko na liście reguł.
Dodaj regułę input, protocol udp, dst port port podaj swój port WG, in interface podajesz port, który jest WAN, action ma być accept. No i reguła powinna być na początku, przed innymi.
poproszę o konfigurację z PC i telefonem z android.
Tailscale podobno jest oparty o wiregarda a przechodzi przez zapory . (Uwaga: uczę się wiec mogę pisać bzdury)
na filmie pokazujesz dwa zewnetrzne adresy ip moze to ocenzuruj i wrzuc filmik jeszcze raz.
Niby spoko, ale ... jeszcze nasza siedz nie jest sensownie postawiona, a juz za VPN sie zabieramy. To temat ktory mogl by sie pojawic za 10-15 odcinkow w odniesieniu do tego co juz w kursie i z jakims konkretnym przykladem. Od dostep po VPN do naszych kamer w domuz sieci na dzialce. A tak to troche wyrwane z kontekstu.
Co konkretnie nie jest sensownie postawione? Domyślna konfiguracja Mikrotika jest wystarczająca dla 90% ludzi. Dużo ludzi pytało o konfigurację WireGuard. Biorąc pod uwagę zainteresowanie filmem, to wydaje się, że temat bardzo potrzebny. No i sam WireGuard jest bardzo prosty we wdrożeniu, ale (jak zwykle) diabeł tkwi w szczegółach. Dużo trudniej by było teraz wejść np. w omówienie Firewalla od podstaw (chociaż o tym będzie następna część, bo temat jest ważny).
@@TechGlobuz To tylko moje zdanie, ale na YT pytanie “czy chcecie”, “duzo ludzi” i zawsze znajdzie sie wielu zainteresowanych tym tematem.
Temat ciekawy, potrzebny, ale wlasnie moze juz po firewall, QOS, filtrach rodzinnych, separacji pralki co sciaga 90GB czy chinskich zarowek , sieci dla gosci, itd. No masa podstaw. Jest pewnie duzo osob ktore potrzebuja tego juz dzis, ale tworzac spis tresci, taka liste konfiguracji sieci domowej od A do Z to ten V jest pod koniec :P
Pokazałeś swój publiczny adres IP, napisz powiem w której minucie
Żeby to tylko raz i żeby to tylko jeden. Co zauważyłem, to już wyedytowałem. Właściwie, to zagrożenie żadne, chyba że ktoś ma 0-daya na VPN-y w Mikrotiku, ale to wtedy może dopaść mnie (jak i każdego) zawsze skanując porty ;)
Cześć, u mnie niestety nie działa. Mam 2x RB760iGS i dwa pytanka
1. Po stronie router-serwer - port dodajemy w firewall, chain input, protocol udp, dstp port >>numer portu podany w wireguard??
2. Po stronie router-client - wireguard >> Peers >> Endpoint: tutaj adres IP publiczny od router-serwer ??
Cześć, a może tutorial konfiguracji WireGuard dla Mikrotik Serwer i macOS Client ? :)
president-keepalive?? :)