Introdução
Uma maneira de disponibilizar alguns serviços internos (domésticos) na Internet é por meio de uma VPN. Você pode, é claro, publicar portas separadas via ssh, mas para uma comunicação mais completa é melhor usar outras soluções. Já escrevi sobre ZeroTier e OpenVPN, e recebi críticas de que me esqueci imerecidamente do Wireguard ...
De uma forma ou de outra, comecei a sentir falta do cliente VPN (incluindo Wireguard) em um servidor autônomo, precisava conectar (neste caso com vNet no Azure, embora isso não seja essencial) toda a rede doméstica com vários recursos. E decidi que era hora de fazer isso por meio do roteador, para um site-a-site completo.
Embora Keenetic tenha aprendido a oferecer suporte ao Wireguard no novo firmware, não encontrei um para o Ultra antigo. Também não funcionou com OpenWRT (existe para Ultra II, mas meu modelo é muito antigo). Então decidi que era hora de fazer um upgrade. E, como o Mikrotik RouterOS lançou a versão beta 7 com o Wireguard, decidi que era hora de estudar esse milagre.
A realidade acabou sendo um pouco mais complicada do que eu esperava, mas deu certo. E agora descreverei os principais pontos que não consegui encontrar em lugar nenhum e que tive que alcançar sozinho.
luzes
Eu fiz MikroTik hAP ac2. O modelo é antigo, sem frescuras, mas faz tudo o que precisa.
Embora eu nunca tenha lidado com Mikrotik antes, lancei-o rápido o suficiente. Houve algumas dificuldades com o fato de que na configuração do Servidor DHCP não bastava configurar a Rede para os endereços IP a serem distribuídos a partir desta rede. Descobriu-se que também há um pool de IP separado. Mas essas são ninharias. Então, muito rapidamente, comecei a configurar o Wireguard.
Claro, nada funcionou. Além disso, "do outro lado" nem sequer vi pacotes a chegar.
Então percebi que apenas o endereço IP é indicado no campo Endpoint, mas não há porta. Tentei especificá-lo explicitamente, mas parou. O campo fica vermelho e falha na validação.
. , RouterOS, , , . -, , . , , . .. /interface wireguard peers . add . interface, public-key allowed-address. , :
add allowed-address=192.168.66.128/25,10.10.0.0/16 endpoint=66.166.166.42:51820 \
interface=wg0 persistent-keepalive=30 public-key="=".. . , .
, wg0 web-. WinBox, . , -, . , Linux IP . . :
/ip address
add address=192.168.66.253/24 interface=wg0 network=192.168.66.0Isso é tudo. Existem instruções na rede de como instalar o Wireguard no Mikrotik com OpenWRT. Mas, para mim, isso é uma perversão. Mas você pode aumentá-lo em seu RouterOS nativo em alguns minutos. Quando você já sabe como. Funciona muito bem, sem queixas.
PS Claro, mudei os endereços. Mas allowed-address=192.168.66.128/25, add address=192.168.66.253/24sem dúvida. Acabei de ter uma conexão com dois servidores. Metade da rede de classe C em um servidor, metade no outro.
PPS Por que Wireguard e não OpenVPN? Por exemplo, desempenho:
https://blog.entrostat.com/openvpn-vs-wireguard-network-performance-tests/
E também a facilidade de personalização e um pouco de detalhe.