Wg jakiś innych polskich tutoriali zalecali żeby w "Dozwolone adresy IP" na androidzie dać adresy "0.0.0.0/1, 128.0.0.0/1". Tłumaczyli to tym ,że jest wtedy dostęp do urządzeń wewnątrz sieci LAN.
Dobry material. Warto dodać, że kod wg został zoptymalizowany na cpu arm i na platformach mipse/mmips działa słabo. Jedna rzecz, co mnie denerwuje w wg to tylko praca po udp, niby chodzi o performance, ale uniemożliwia tunelowanie np. po ssh. Brak jeszcze sprzętowej akceleacji do szyfru chachapoly używanego w wg. Obecnie bodajrze ma tylko i7.
Performance to jedno ale autorzy jak oglądałem pewną prelekcje, wspominali też o aspekcie bezpieczeństwa. UDP to protokół bezstanowy, czyli ciężej go przeskanować. Czytaj nie da się spróbować nawiązać połączenia bez poprawnego klucza tak by otrzymać odpowiedź co sprawia, że nie da się ustalić bez klucza czy na porcie jest otwarty wireguard.
Może być kilku peerów. Trzeba tylko wtedy odpowiednio większą klasę adresową dać na przyłączeniówce. Polecam też dać jak wg dokumentacji jako allowed address IP konkretnego peera.
odnoście tego QR w 13:05 to pod "Client Config" jest ukryty QR. Wystarczy przescrollować w dół. Nawet na pasku widać że Client Config to nie koniec tego okna :)
Tak, ale w starszych RouterOS wyświetla to na kompie jako znaczki #. Dopiero niedawno widziałem, że to naprawili I jest normalny kod QR. Na telefonie o dziwo od dawna działa normalnie.
Cześć Zrobiłem sobie tak: wg1: AA:10.10.1.1/30 AC:10.10.1.2/32 P:13231 wg2: AA:10.10.2.1/30 AC:10.10.2.2/32 P:13232 wg2: AA:10.10.3.1/30 AC:10.10.3.2/32 P:13233 Porty przepuszczone. LAN:192.168.1.1/24 Wszystko śmiga, czy to z pc czy z tel. Przykładowo klient dostaje: 10.10.1.2 255.255.255.255 (to wszystko) Prośba, czy taką konfigurację można uznać za poprawną. Pozdrawiam.
Cześć, dzięki za film. Kawka poleciała. Ustawiłem wg. filmu i na telefonie działa na łączach komórkowych. Na kompie jak jest przez wifi z telefonu (łącze gsm) działa. Nie chce za to działać na łączu światłowodowym Orange. Router Funbox 3. Firewall ustawiony na poziom niski. Dodatkowo przekierowałem ten port co miałem w MT ustawiony. Czy trzeba jeszcze jakiś zmienić? Nie działa ani na kompie, ani na telefonie jak jest podłączony do wifi po światle orange. Masz jakiś pomysł co sprawdzić, przestawić?
Mam pytanie dotyczące konfiguracji WG na mikrotiku, który jest podłączony do drugiego rutera (który ma adres publiczny) i mikrotik ma dostęp do internetu wlaśnie przez ten ruter. Skonfigurowałem WG (jak w filmie), aby mieć dostęp do mikrotika z Windowsa, jednak tunel nie działa. Czy trzeba jeszcze jakoś skonfigurować ruting czy problem leży gdzieś indziej?
Już któryś taki komentarz ;) powtórzę: u mnie nie działa. Działa mi tylko z CLI. Nie wiem dlaczego. Różne wersje i ten sam efekt, jak przewinę, to widzę puste szare okno.
Cześć mam pytanie co do Mikrotika z lte. Mam taki skonfigurowany z wbudowaną opcją DDNS i spięty z routerem w firmie po IPSEC i oczywiście co jakiś czas zmienia się adres IP, ale to nie problem generalnie to działa. Natomiast jeśli ten sam router chce spiąć po DDNS po wireguard to już nie działa porty również mimo że otwarte na firewallu nie pokazują żadnego ruchu. Dlaczego DDNS działa po Ipsecu i jest ok bez otwierania portów np nr 500 , a przy wireguard nie działa nic (dodam że Wire skonfigurowałem poprawnie, bo na publicu co prawda nie LTE działa poprawnie)
Chciałbym w u klienta którego obsługuję zrezygnować z vpn i przejść na WireGuard. Zauważyłem jeden problem jak jestem z nim połaczony to odcina mnie od mojej sieci nawet nie moggę drukować i dostać się dysku serwera w mojej sieci. Może wiesz co jest przyczyną ?
Mam pytanie, gdyż uruchomiłem Wireguard na Mikrotiku RB4011, ma służyć do dostępu do wewnętrznej sieci LAN i działają mi połączenia z telefonu, komputerów, ale tylko po IP. W sieci mam kontroler domeny z własnym DNS, na Mikrotiku też jest DNS i chcąc łączyć się do komputerów wewnątrz, np. Pulpitem Zdalnym muszę używać adresu IP komputera, a nie mogę zrobić tego po nazwie hosta, tak jak to działa wewnątrz sieci LAN. Próbuję ustawiać jako DNS zarówno adres IP Mikrotika, jak i DNS kontrolera domeny i dalej nie działa to, nie mogę użyć do połączenia nazwy komputera, np. PC01, tylko jego adres IP. Czy jest na to jakieś rozwiązanie?
Powinien mieć zakładając, że jest domyślna konfiguracja. Można jeszcze ewentualnie dodać interfejs WireGuard do listy LAN w Interface List, żeby firewall czegoś przypadkiem nie wyciął.
Witaj! Dobry materiał! Mam pytanie jedno bo coś mi się nie do końca deterministycznie zachowuje mój mikrotik. MK pełni rolę serwera z publicznym IP i ma za sobą sieć lokalną nazwijmy ją LAN1, podłącza się do niego peer za którym jest sieć lokalna nazwijmy ją LAN2. Adresacja sieci LAN2 dopisana do AllowedIPs na MK (np. 192.168.10.0/24) dla tego peera. A teraz pytanie. Czy trasa routingu do sieci LAN2 powinna się sama utworzyc dynamcznie (dopisze ją wg pod połączenu z peer) czy jednak trzeba ręcznie dodać tą trasę? Dopytuje bo za dokumentacją powinna automatycznie się dopisać a ja musiałem ręcznie dodać i nie wiem czy gdzieś błędu nie robię. Z góry dzięki!
Jak robię kilka tuneli to robić każdy z osobnym adresem IP z innej podsieci czy z tej samej podsieci? No i pewnie przy tworzeniu kilku tuneli muszę nat i firewalla konfigurować dla każdego tunelu. To nie lepiej jeden tunel?
Można zrobić na tej samej podsieci, ale wtedy jako allowed IP w peerze daj adres IP konkretnego peera, a nie zera ja u mnie (zakładamy, że łączy się tam tylko jedno urządzenie i nie lata po tym routing). No i oczywiście maska musi być większa niż /30, bo będzie więcej urządzeń.
Pro TIP: W oknie edycji peer po edycji wszystkich wymaganych rzeczy przeciągnij pasek z prawej strony i zjedz do końca strony/okna. Wygeneruje się QRCode na dole okna. Działa z winbox jak i na web config.
A co w przypadku jak chciałbym z tego tunelu dostać się np. do serwera w mojej lokalnej sieci lan? Muszę zrobić routing adresu stworzonego dla VPN do serwera w sieci czy w jaki sposób się taka łączność odbywa?
zrobiłem na szybko vpn'a i widzę że normalnie mogę pingować hosty lokalne. Z ciekawości jak to funkcjonuje skoro teoretycznie telefon podłączony jest do innej podsieci? Czy wireguard realizuje jakiś wewnętrzne przekierowanie?
Co do tego nieszczęsnego kodu QR z WinBoxa, u mnie na v7.15.2 pokazuje się przy zjechaniu całej listy ustawienia WireGuard Peer zarówno jak przy zmaksymalizowaniu okienka WinBox, a następnie rozciągnięciu wysokości okienka konfiguracji WireGuard Peer na całą wysokość przy ekranie 1080p. W przypadku aplikacji MikroTik Pro na Androida kod QR otwiera się po tapnięciu odpowiedniej opcji. Prawda jest taka że po prostu działa to dziwnie i nieintuicyjnie w WinBoxie że aż sam nie wiedziałem że taki kod QR się generuje dopóki przez przypadek nie zjechałem dalej na liście opcji. Tam powinno się dać scrollować dalej tak że pokazuje się puste miejsce, bo tak jakby WinBox musi mieć odpowiednią przestrzeń okna żeby wyświetlić cały kod QR który jest złożony ze znaczków Unicode.
Na to żeby zmaksymalizować okno to nie wpadłem. Choć użyteczność zerowa, bo czcionka o zmiennej szerokości i zamiast ciemnych pól znaczki #. Ech, Mikrotk. Przynajmniej z CLI działa to dobrze, chociaż trochę szkoda, że o tym nie powiedziałem nic w filmie.
Wiele mi to nie zmienia, że ktoś będzie się chciał bawić w odblurowanie tego. Tunel wg i i klucze dawno usunięte z Mikrotika. Jedyne co, to może ktoś poznać, to adres cloudowy tego routera i to był jedyny cel blurowania. W sumie to też wiele nie zmienia, bo każde urządzenie wystawione do internetu co rusz próbują atakować jakieś boty.
Hej, Postawiłem sobie RouterOS na VM na AWS, skonfigurowałem Wireguard zgodnie z Twoją instrukcję, ale u mnie po połączeniu z VPN szybkość internetu nie przekracza 1Mb/s, gdzie ma światłowów 1Gb. Próbowałem jako AllowedIPs 0.0.0.0/0, zmieniałem tutaj też na podsieci, do których VPN ma mieć dostęp, próbowałem tutaj podać IP klienta, ale bez zmian, prędkość cały czas jest tragiczna. Oczywiście mam dostęp do zasobów za VPN po połączeniu, mam dostęp do internetu, ale chodzi on tragicznie. Co mogłem skopać, próbowałem z kilku poradników, ale ciągle jest to samo.
Dzień dobry. Dzięki za film. Mam wątpliwość jeśli chodzi o AllowedAddress w konfiguracji Peer na Mikrotiku. W konfiguracji z której korzystam (na podstawie jakiegoś polskiego tutoriala sprzed roku czy dwóch, nie pamiętam jakiego) muszę tam wpisać adres klienta z klasy dodanej dla interfejsu Wireguard, a nie z LAN do którego chcę się dostać. Pan podaje tam adres z LAN, a adres klienta w polu ClientAddress, które u mnie jest puste. Oprócz tego ja mam podany klucz pub i priv, nie korzystam z opcji auto ale innych różnic nie ma. W mojej konfiguracji działa, po zmianie wg. filmu - nie. Tzn. łączę się WG ale nie mam dostępu do LAN. Co może być przyczyną i jaka jest prawidłowa konfiguracja? Mogło się coś zmienić w związku z aktualizacjami RouterOS? RL
Nigdzie w allowed addreses nie dodawałem adresów z LAN, do którego chcę się dostać. Dodawałem wszystkie adresy (0.0.0.0/0) żeby niczego nie blokowało, bo tak najłatwiej i działa jak masz jednego peera na interfejsie. Wg dokumentacji jest właśnie tak jak opisali w tutorialu, więc jak podasz tam adres klienta lokalny z jego konfigu (u mnie konkretnie 192.168.238.2), to będzie ok. Sam parametr Client addres nie zmienia niczego w konfiguracji WireGuard na Mikrotiku. Jedynie daje poprawny adres IP (parametr Address w sekcji Interface) w "Client Config". Jak go nie podasz to MT domyślnie daje adres 192.168.177.2/24, który może mieć się nijak do tego co jest w rzeczywistości ustawione na interfejsie.
@@TechGlobuz No to będę musiał jeszcze raz obejrzeć, zaorać i postawić na nowo. A da się na routerze zablokować klientowi zmiany tak żeby nie mógł sobie zmienić np. z dostępu dla jednego host 192.168.10.5/24 na całą sieć 192.168.10.0/24? Bo w tej konfiguracji, którą mam wszystko działa ale klient może sobie ustawiać co chce.
Bardzo fajny materiał. Mam pytanie: Co może być powodem tego że przy używaniu "Back To Home" w telefonie istnieje możliwość bezpośredniego połączenia się z routerem poprzez apkę na androida "Mikrotik" natomiast nie działa łączenie gdy łączę się z zewnątrz poprzez WireGuard?
Masz wpisane dozwolone adresy ip sieci do ktorej się laczysz? Sam winbox i apki na androida, jesli nie widzą routera to wklep jego ip ręcznie, tak u mnie chodzi na każdym urządzeniu
@@KaczyProceder Dziękuję za Twoją odpowiedź. Niestety nie bardzo wiem jak sprawdzić to o co pytasz. Dodam jednak że w sieci lokalnej oprócz routera do którego nie jestem w stanie połączyć po połączeniu przez WireGuarda z zewnatrz mam również dwa swiche w tej samej podsieci co router i je poprzez http bez problemu mogę sie połączyć i zalogować. Wygląda na to że możesz mieć dobry trop i intuicje - jesteś w stanie mi pomóc?
Niestety nie działa... w traffic licznik TX/RX ERRORS cały czas zalicza błędy. Firewall wyłączyłem reguły i bez zmian. Sprawdzałem orange jak i plus i kiszka. Może mój prowider internetowy blokować w jakiś sposób WireGuarda ?
Masz jakąś sprawdzoną wartość MTU dla Orange ? Bawiłem się różnymi wartościami, ale tunel przez chwile ma przepustowość na poziomie 130 Mbit/s pobierania, a przy kolejnych testach jest na poziomie 12-15 Mbit/s. Nie jest to kwestia wydajności samego Mikrotika, obciążenia BTS itd. Pytam nie w kontekście samego WireGuarda, ale SSTP z klientem na iOS. Z góry dzięki za odpowiedź. Pozdro!
Btw. Testowałem wspomniane w filmie 1300 oraz 1372, ale objawy j/w. Po drugiej stronie jest łącze światłowodowe od Netii, także to nie będzie też kwestia wydajności po stronie serwera.
Wykonałem też testy na karcie Play (do tej samej lokalizacji) i tutaj przy MTU 1300 wahania w prędkości są, ale normalne od 15 do 30 Mbit dla pobierania.
Bardziej wygląda to na kwestię styku Orange-Netia. SSTP też jest problematyczne, bo to leci po TCP i to potrafi mocno obniżać prędkość. Jak masz możliwość, to spróbuj jakimś protokołem VPN, który działa po UDP.
@@TechGlobuz W profilach wyłączyłem kompresje i na MTU 1300 problem jakby ustąpił. Ping 51 ms, down. ~140 Mbit/s , up. ~9 Mbit/s Nie rozumiem korelacji. Tak jak pisałem wcześniej, procek mojego hAP ax3 się nudzi. Ale najważniejsze, że działa.
@@TechGlobuz Update: Jednak mój entuzjazm był zbyt pośpieszony. Prędkości po kilkunastu testach wróciły do wartości, pobierania na poziomie 15 Mbit/s i uploadu w granicach 8 Mbit/s. Chyba nie pozostaje mi nic innego jak traktowanie SSTP jako alternatywy. W przypadkach gdy ruch UDP jest blokowany.
Maska powinna być jak na przyłączeniówce. Client address służy tylko do generowania konfiguracji. Na allowed address możesz dać /32 i adres IP klienta, jeśli będzie tam tylko to urządzenie i nie będzie po tym śmigać jakiś routing.
@@TechGlobuz No zgadzam się, pół rzeczy robi sama idąc na łatwiznę dodatkowe urządzenia po konfiguracji za jej pośrednictwem można sobie doklepać chyba że to konfig "nie domowy" I trzeba tam jakiś OSPF puścić wtedy lepiej tak jak na filmie :-)
@@TechGlobuz NAT mam podstawowy/ domyślny. Internet nie działa jak zmienię DNS spoza Pihole, lub jak wyłącze router więc chyba idzie przez WG. Speed test pokazuje Max 10Gbit bez WG dużo więcej.
Mi generowanie kodu QR działa tylko z CLI. Testowałem na różnych urządzeniach i wersjach (w tym na najnowszej). Nie wiem z czego to wynika, że u mnie nie działa inaczej.
Nie planuję takiej serii. OpenWRT nie przypadło mi do gustu, chociaż planuję film o instalacji OpenWRT na urządzeniach Mikrotika, bo mam jeden sprzęt i pomysł jak go wykorzystać.
![Gunna - HIM ALL ALONG [Official Visualizer]](http://i.ytimg.com/vi/HiCxoDeo0hc/mqdefault.jpg)
Dziękujemy.
Super film. Dziękuję
Dzieki za film 5 zł na kawę :) przekazane. Pozdrawiam
Super film, jak zawsze 😀
Wg jakiś innych polskich tutoriali zalecali żeby w "Dozwolone adresy IP" na androidzie dać adresy "0.0.0.0/1, 128.0.0.0/1". Tłumaczyli to tym ,że jest wtedy dostęp do urządzeń wewnątrz sieci LAN.
Dobry material. Warto dodać, że kod wg został zoptymalizowany na cpu arm i na platformach mipse/mmips działa słabo. Jedna rzecz, co mnie denerwuje w wg to tylko praca po udp, niby chodzi o performance, ale uniemożliwia tunelowanie np. po ssh. Brak jeszcze sprzętowej akceleacji do szyfru chachapoly używanego w wg. Obecnie bodajrze ma tylko i7.
To prawda tak sobie chodzi u mnie na 2011 jeden tunel daje radę ale jak już zrobię 2 i routing między nimi to tak sobie daje rade.Mam 50 up lacza
Performance to jedno ale autorzy jak oglądałem pewną prelekcje, wspominali też o aspekcie bezpieczeństwa. UDP to protokół bezstanowy, czyli ciężej go przeskanować. Czytaj nie da się spróbować nawiązać połączenia bez poprawnego klucza tak by otrzymać odpowiedź co sprawia, że nie da się ustalić bez klucza czy na porcie jest otwarty wireguard.
film super, czy konfigurując wireguarda, musi być on dla każdego użytkownika? czy może być postawiony jeden i kilku peersow?
pozdrawiam.
Może być kilku peerów. Trzeba tylko wtedy odpowiednio większą klasę adresową dać na przyłączeniówce. Polecam też dać jak wg dokumentacji jako allowed address IP konkretnego peera.
odnoście tego QR w 13:05 to pod "Client Config" jest ukryty QR. Wystarczy przescrollować w dół. Nawet na pasku widać że Client Config to nie koniec tego okna :)
Tak, ale w starszych RouterOS wyświetla to na kompie jako znaczki #. Dopiero niedawno widziałem, że to naprawili I jest normalny kod QR. Na telefonie o dziwo od dawna działa normalnie.
Cześć
Zrobiłem sobie tak:
wg1: AA:10.10.1.1/30 AC:10.10.1.2/32 P:13231
wg2: AA:10.10.2.1/30 AC:10.10.2.2/32 P:13232
wg2: AA:10.10.3.1/30 AC:10.10.3.2/32 P:13233
Porty przepuszczone.
LAN:192.168.1.1/24
Wszystko śmiga, czy to z pc czy z tel.
Przykładowo klient dostaje: 10.10.1.2 255.255.255.255 (to wszystko)
Prośba, czy taką konfigurację można uznać za poprawną.
Pozdrawiam.
Cześć, dzięki za film. Kawka poleciała. Ustawiłem wg. filmu i na telefonie działa na łączach komórkowych. Na kompie jak jest przez wifi z telefonu (łącze gsm) działa. Nie chce za to działać na łączu światłowodowym Orange. Router Funbox 3. Firewall ustawiony na poziom niski. Dodatkowo przekierowałem ten port co miałem w MT ustawiony. Czy trzeba jeszcze jakiś zmienić? Nie działa ani na kompie, ani na telefonie jak jest podłączony do wifi po światle orange. Masz jakiś pomysł co sprawdzić, przestawić?
Mam pytanie dotyczące konfiguracji WG na mikrotiku, który jest podłączony do drugiego rutera (który ma adres publiczny) i mikrotik ma dostęp do internetu wlaśnie przez ten ruter. Skonfigurowałem WG (jak w filmie), aby mieć dostęp do mikrotika z Windowsa, jednak tunel nie działa. Czy trzeba jeszcze jakoś skonfigurować ruting czy problem leży gdzieś indziej?
Mam problem z konfiguracja wiregatda i qunapa oczywiście korzystam z rutera mikritica RB5009UG. Możesz pomóc albo nagrać film o takiej konfiguracji.
Kod Client QR jest wystawiany przez wirequard, tylko trzeba zjechać belką w dół w zakładce "Peer"
Już któryś taki komentarz ;) powtórzę: u mnie nie działa. Działa mi tylko z CLI. Nie wiem dlaczego. Różne wersje i ten sam efekt, jak przewinę, to widzę puste szare okno.
Cześć mam pytanie co do Mikrotika z lte. Mam taki skonfigurowany z wbudowaną opcją DDNS i spięty z routerem w firmie po IPSEC i oczywiście co jakiś czas zmienia się adres IP, ale to nie problem generalnie to działa. Natomiast jeśli ten sam router chce spiąć po DDNS po wireguard to już nie działa porty również mimo że otwarte na firewallu nie pokazują żadnego ruchu. Dlaczego DDNS działa po Ipsecu i jest ok bez otwierania portów np nr 500 , a przy wireguard nie działa nic (dodam że Wire skonfigurowałem poprawnie, bo na publicu co prawda nie LTE działa poprawnie)
Chciałbym w u klienta którego obsługuję zrezygnować z vpn i przejść na WireGuard. Zauważyłem jeden problem jak jestem z nim połaczony to odcina mnie od mojej sieci nawet nie moggę drukować i dostać się dysku serwera w mojej sieci. Może wiesz co jest przyczyną ?
Mam pytanie, gdyż uruchomiłem Wireguard na Mikrotiku RB4011, ma służyć do dostępu do wewnętrznej sieci LAN i działają mi połączenia z telefonu, komputerów, ale tylko po IP.
W sieci mam kontroler domeny z własnym DNS, na Mikrotiku też jest DNS i chcąc łączyć się do komputerów wewnątrz, np. Pulpitem Zdalnym muszę używać adresu IP komputera, a nie mogę zrobić tego po nazwie hosta, tak jak to działa wewnątrz sieci LAN. Próbuję ustawiać jako DNS zarówno adres IP Mikrotika, jak i DNS kontrolera domeny i dalej nie działa to, nie mogę użyć do połączenia nazwy komputera, np. PC01, tylko jego adres IP. Czy jest na to jakieś rozwiązanie?
Podaj lokalny adres IP serwera DNS i tyle.
Dzięki za film!
Czy tak skonfigurowany klient ma dostęp do całej naszej sieci wewnętrznej?
Powinien mieć zakładając, że jest domyślna konfiguracja. Można jeszcze ewentualnie dodać interfejs WireGuard do listy LAN w Interface List, żeby firewall czegoś przypadkiem nie wyciął.
@@TechGlobuz Ja dodałem forward z adresacji wg do LAN i mam dostęp z phona do lokalnych adresów.
Witaj! Dobry materiał! Mam pytanie jedno bo coś mi się nie do końca deterministycznie zachowuje mój mikrotik. MK pełni rolę serwera z publicznym IP i ma za sobą sieć lokalną nazwijmy ją LAN1, podłącza się do niego peer za którym jest sieć lokalna nazwijmy ją LAN2. Adresacja sieci LAN2 dopisana do AllowedIPs na MK (np. 192.168.10.0/24) dla tego peera. A teraz pytanie. Czy trasa routingu do sieci LAN2 powinna się sama utworzyc dynamcznie (dopisze ją wg pod połączenu z peer) czy jednak trzeba ręcznie dodać tą trasę? Dopytuje bo za dokumentacją powinna automatycznie się dopisać a ja musiałem ręcznie dodać i nie wiem czy gdzieś błędu nie robię. Z góry dzięki!
Jak robię kilka tuneli to robić każdy z osobnym adresem IP z innej podsieci czy z tej samej podsieci? No i pewnie przy tworzeniu kilku tuneli muszę nat i firewalla konfigurować dla każdego tunelu. To nie lepiej jeden tunel?
Można zrobić na tej samej podsieci, ale wtedy jako allowed IP w peerze daj adres IP konkretnego peera, a nie zera ja u mnie (zakładamy, że łączy się tam tylko jedno urządzenie i nie lata po tym routing). No i oczywiście maska musi być większa niż /30, bo będzie więcej urządzeń.
Pro TIP: W oknie edycji peer po edycji wszystkich wymaganych rzeczy przeciągnij pasek z prawej strony i zjedz do końca strony/okna. Wygeneruje się QRCode na dole okna. Działa z winbox jak i na web config.
U mnie z winbox nie działa. Przeskakuje jedynie do pustego szarego okna.
Nie dawało mi to spokoju i jedyne co znalazłem, co mi zadziałało to wpisanie z cli show-client-config.
@@TechGlobuz U mnie ROS 7.15.2, winbox v3.40 i działa poprawnie
@@peeeq U mnie też działa
U mnie też nie. Router ax3, soft 7.15.2. W konsoli show-client-config działa.
A co w przypadku jak chciałbym z tego tunelu dostać się np. do serwera w mojej lokalnej sieci lan?
Muszę zrobić routing adresu stworzonego dla VPN do serwera w sieci czy w jaki sposób się taka łączność odbywa?
zrobiłem na szybko vpn'a i widzę że normalnie mogę pingować hosty lokalne. Z ciekawości jak to funkcjonuje skoro teoretycznie telefon podłączony jest do innej podsieci? Czy wireguard realizuje jakiś wewnętrzne przekierowanie?
Co do tego nieszczęsnego kodu QR z WinBoxa, u mnie na v7.15.2 pokazuje się przy zjechaniu całej listy ustawienia WireGuard Peer zarówno jak przy zmaksymalizowaniu okienka WinBox, a następnie rozciągnięciu wysokości okienka konfiguracji WireGuard Peer na całą wysokość przy ekranie 1080p. W przypadku aplikacji MikroTik Pro na Androida kod QR otwiera się po tapnięciu odpowiedniej opcji.
Prawda jest taka że po prostu działa to dziwnie i nieintuicyjnie w WinBoxie że aż sam nie wiedziałem że taki kod QR się generuje dopóki przez przypadek nie zjechałem dalej na liście opcji. Tam powinno się dać scrollować dalej tak że pokazuje się puste miejsce, bo tak jakby WinBox musi mieć odpowiednią przestrzeń okna żeby wyświetlić cały kod QR który jest złożony ze znaczków Unicode.
Na to żeby zmaksymalizować okno to nie wpadłem. Choć użyteczność zerowa, bo czcionka o zmiennej szerokości i zamiast ciemnych pól znaczki #. Ech, Mikrotk. Przynajmniej z CLI działa to dobrze, chociaż trochę szkoda, że o tym nie powiedziałem nic w filmie.
Czemu po połączeniu się laptopem do servera automatycznie rozłącza lapka od internetu. ?
oki
Tak tylko zwrócę uwagę, że te dane (a zwłaszcza QRka) wyblurowane za słabo.
Wiele mi to nie zmienia, że ktoś będzie się chciał bawić w odblurowanie tego. Tunel wg i i klucze dawno usunięte z Mikrotika. Jedyne co, to może ktoś poznać, to adres cloudowy tego routera i to był jedyny cel blurowania. W sumie to też wiele nie zmienia, bo każde urządzenie wystawione do internetu co rusz próbują atakować jakieś boty.
Hej,
Postawiłem sobie RouterOS na VM na AWS, skonfigurowałem Wireguard zgodnie z Twoją instrukcję, ale u mnie po połączeniu z VPN szybkość internetu nie przekracza 1Mb/s, gdzie ma światłowów 1Gb. Próbowałem jako AllowedIPs 0.0.0.0/0, zmieniałem tutaj też na podsieci, do których VPN ma mieć dostęp, próbowałem tutaj podać IP klienta, ale bez zmian, prędkość cały czas jest tragiczna. Oczywiście mam dostęp do zasobów za VPN po połączeniu, mam dostęp do internetu, ale chodzi on tragicznie.
Co mogłem skopać, próbowałem z kilku poradników, ale ciągle jest to samo.
Jesteś pewien, że masz kupioną licencję na CHR? Na darmowej licencji jest ograniczenie do własnie 1 Mbit/s.
@@TechGlobuz Dokładnie na to wpadłem jak sprawdziłem licencję, mam Free, ponieważ na AWS jest taka domyślnie po zainstalowaniu CHR
Dzień dobry.
Dzięki za film.
Mam wątpliwość jeśli chodzi o AllowedAddress w konfiguracji Peer na Mikrotiku.
W konfiguracji z której korzystam (na podstawie jakiegoś polskiego tutoriala sprzed roku czy dwóch, nie pamiętam jakiego) muszę tam wpisać adres klienta z klasy dodanej dla interfejsu Wireguard, a nie z LAN do którego chcę się dostać. Pan podaje tam adres z LAN, a adres klienta w polu ClientAddress, które u mnie jest puste. Oprócz tego ja mam podany klucz pub i priv, nie korzystam z opcji auto ale innych różnic nie ma.
W mojej konfiguracji działa, po zmianie wg. filmu - nie. Tzn. łączę się WG ale nie mam dostępu do LAN.
Co może być przyczyną i jaka jest prawidłowa konfiguracja? Mogło się coś zmienić w związku z aktualizacjami RouterOS?
RL
Nigdzie w allowed addreses nie dodawałem adresów z LAN, do którego chcę się dostać. Dodawałem wszystkie adresy (0.0.0.0/0) żeby niczego nie blokowało, bo tak najłatwiej i działa jak masz jednego peera na interfejsie. Wg dokumentacji jest właśnie tak jak opisali w tutorialu, więc jak podasz tam adres klienta lokalny z jego konfigu (u mnie konkretnie 192.168.238.2), to będzie ok. Sam parametr Client addres nie zmienia niczego w konfiguracji WireGuard na Mikrotiku. Jedynie daje poprawny adres IP (parametr Address w sekcji Interface) w "Client Config". Jak go nie podasz to MT domyślnie daje adres 192.168.177.2/24, który może mieć się nijak do tego co jest w rzeczywistości ustawione na interfejsie.
@@TechGlobuz No to będę musiał jeszcze raz obejrzeć, zaorać i postawić na nowo. A da się na routerze zablokować klientowi zmiany tak żeby nie mógł sobie zmienić np. z dostępu dla jednego host 192.168.10.5/24 na całą sieć 192.168.10.0/24? Bo w tej konfiguracji, którą mam wszystko działa ale klient może sobie ustawiać co chce.
Bardzo fajny materiał. Mam pytanie: Co może być powodem tego że przy używaniu "Back To Home" w telefonie istnieje możliwość bezpośredniego połączenia się z routerem poprzez apkę na androida "Mikrotik" natomiast nie działa łączenie gdy łączę się z zewnątrz poprzez WireGuard?
Masz wpisane dozwolone adresy ip sieci do ktorej się laczysz? Sam winbox i apki na androida, jesli nie widzą routera to wklep jego ip ręcznie, tak u mnie chodzi na każdym urządzeniu
@@KaczyProceder Dziękuję za Twoją odpowiedź. Niestety nie bardzo wiem jak sprawdzić to o co pytasz. Dodam jednak że w sieci lokalnej oprócz routera do którego nie jestem w stanie połączyć po połączeniu przez WireGuarda z zewnatrz mam również dwa swiche w tej samej podsieci co router i je poprzez http bez problemu mogę sie połączyć i zalogować. Wygląda na to że możesz mieć dobry trop i intuicje - jesteś w stanie mi pomóc?
@@KaczyProceder Jeżeli chodzi o Allowed Address w oknie definicji konkretnego Peer-a to mam tak jak w materiale zalecił autor wpisane 0.0.0.0/0
@@matsu9790 do switchy sie laczysz po http, a router nie poniewaz pewnie masz zablokowany dostep z zewnatrz dla winboxa, co jest dobra praktyką
Niestety nie działa... w traffic licznik TX/RX ERRORS cały czas zalicza błędy. Firewall wyłączyłem reguły i bez zmian. Sprawdzałem orange jak i plus i kiszka. Może mój prowider internetowy blokować w jakiś sposób WireGuarda ?
Podpinam się z problemem
Masz jakąś sprawdzoną wartość MTU dla Orange ? Bawiłem się różnymi wartościami, ale tunel przez chwile ma przepustowość na poziomie 130 Mbit/s pobierania, a przy kolejnych testach jest na poziomie 12-15 Mbit/s. Nie jest to kwestia wydajności samego Mikrotika, obciążenia BTS itd. Pytam nie w kontekście samego WireGuarda, ale SSTP z klientem na iOS. Z góry dzięki za odpowiedź. Pozdro!
Btw. Testowałem wspomniane w filmie 1300 oraz 1372, ale objawy j/w. Po drugiej stronie jest łącze światłowodowe od Netii, także to nie będzie też kwestia wydajności po stronie serwera.
Wykonałem też testy na karcie Play (do tej samej lokalizacji) i tutaj przy MTU 1300 wahania w prędkości są, ale normalne od 15 do 30 Mbit dla pobierania.
Bardziej wygląda to na kwestię styku Orange-Netia. SSTP też jest problematyczne, bo to leci po TCP i to potrafi mocno obniżać prędkość. Jak masz możliwość, to spróbuj jakimś protokołem VPN, który działa po UDP.
@@TechGlobuz W profilach wyłączyłem kompresje i na MTU 1300 problem jakby ustąpił. Ping 51 ms, down. ~140 Mbit/s , up. ~9 Mbit/s Nie rozumiem korelacji. Tak jak pisałem wcześniej, procek mojego hAP ax3 się nudzi. Ale najważniejsze, że działa.
@@TechGlobuz Update: Jednak mój entuzjazm był zbyt pośpieszony. Prędkości po kilkunastu testach wróciły do wartości, pobierania na poziomie 15 Mbit/s i uploadu w granicach 8 Mbit/s. Chyba nie pozostaje mi nic innego jak traktowanie SSTP jako alternatywy. W przypadkach gdy ruch UDP jest blokowany.
W Client Adress nie powinna być maska 32?
Maska powinna być jak na przyłączeniówce. Client address służy tylko do generowania konfiguracji. Na allowed address możesz dać /32 i adres IP klienta, jeśli będzie tam tylko to urządzenie i nie będzie po tym śmigać jakiś routing.
TIP 2. Apka z Androida backtohome ustawi większość rzeczy sama później dodać peery.
Back to home to całkiem inny temat. Będzie o tym osobny film. Sama apka tylko na smartfona jest. Na laptopie nadal musisz robić poniekąd ręcznie.
@@TechGlobuz No zgadzam się, pół rzeczy robi sama idąc na łatwiznę dodatkowe urządzenia po konfiguracji za jej pośrednictwem można sobie doklepać chyba że to konfig "nie domowy" I trzeba tam jakiś OSPF puścić wtedy lepiej tak jak na filmie :-)
Pytanie- WG na telefon, w routera nie mam NAT na IP WG i Internet działa. Dla czego?
Albo masz NAT i nie jesteś tego świadomy, albo na kliencie konfiguracja jest taka, że ruch do internetu nie leci przez tunel WG.
@@TechGlobuz NAT mam podstawowy/ domyślny. Internet nie działa jak zmienię DNS spoza Pihole, lub jak wyłącze router więc chyba idzie przez WG. Speed test pokazuje Max 10Gbit bez WG dużo więcej.
w "perze" xD spoko materiały, ale angielski to byś mógł trochę liznąć, bo to trochę zniechęca
na wersji 7.12.rc1 winbox generuje qr code
Mi generowanie kodu QR działa tylko z CLI. Testowałem na różnych urządzeniach i wersjach (w tym na najnowszej). Nie wiem z czego to wynika, że u mnie nie działa inaczej.
@@TechGlobuz testowałem na poczciwej 951g
Kiedy seria o openwrt?
Nie planuję takiej serii. OpenWRT nie przypadło mi do gustu, chociaż planuję film o instalacji OpenWRT na urządzeniach Mikrotika, bo mam jeden sprzęt i pomysł jak go wykorzystać.
Jeżeli jest z wifi to miło gyłoby omówić kwestie związane z roamingiem. Brakuje na Polskim yt sensownego tutoriala.
a pokażesz konfigurację dla macOS lub IOS ?
Nie ma i nie będzie. Nie uznaję ich sprzętów, a żona zmieniła pracę i nie ma już służbowego iPhone'a.
@@TechGlobuz a dla widza 😁
@@TechGlobuz masz mój szacun za != i$hardware :)
Dziękujemy.
Dziękujemy.