4
Mikrotik RouterOS 7 - OPNSense : Richtige Wireguard-Config
Hallo zusammen,
ich bin gerade dabei, meine Haus-IT komplett zu erneuern und steige dabei von der FritzBox auf "was Richtiges" um (RB4011, CRS328-24P-4S+RM, cAP ac´s).
Schritt 1 ist dabei, den RB4011 in meine bestehende Multi-Location-Struktur einzubinden (lies: Wireguard-Tunnel zu OPNSense in der HetznerCloud aufbauen), um dann mit Zugriff auf meinen zentralen RADIUS und weitere Services das lokale Netz aufzubauen & einzurichten.
Doch hier hänge ich aktuell: ich bekomme trotz der hochgelobten, "einfachen" Umsetzung von WG in der ROS7-Beta den ***-Tunnel nicht konfiguriert.
Ausgangslage:
Beim Punkt Adressen & Routen, die für die Tunnel einzurichten sind, widersprechen sich mehrere Anleitungen, die ich im Netz gefunden habe; auch eine Brute-Force-Konfig mit allen möglichen Kombinationen, die mir sinnvoll erschienen, war nicht erfolgreich. Höchstwahrscheinlich habe ich einfach nur den berühmten "kleinen Schalter xyz" übersehen, dank dem kein Tunnel aufgebaut wird.
Deshalb würde ich euch um eine "Musterlösung" für die zusätzlich erforderlichen Einstellungen neben WG-Interface & WG-Peer bitten, da ich eine solche weder bei Mikrotik (klar, Beta) noch in den einschlägigen Foren gefunden habe.
Vielen Dank für jede Hilfe!
ich bin gerade dabei, meine Haus-IT komplett zu erneuern und steige dabei von der FritzBox auf "was Richtiges" um (RB4011, CRS328-24P-4S+RM, cAP ac´s).
Schritt 1 ist dabei, den RB4011 in meine bestehende Multi-Location-Struktur einzubinden (lies: Wireguard-Tunnel zu OPNSense in der HetznerCloud aufbauen), um dann mit Zugriff auf meinen zentralen RADIUS und weitere Services das lokale Netz aufzubauen & einzurichten.
Doch hier hänge ich aktuell: ich bekomme trotz der hochgelobten, "einfachen" Umsetzung von WG in der ROS7-Beta den ***-Tunnel nicht konfiguriert.
Ausgangslage:
- WG-Peer OPNSense: läuft mit diversen anderen Peers problemlos, wird daher als Fehlerquelle ausgeschlossen. Alle Peers sind ähnlich konfiguriert und unterscheiden sich hauptsächlich in den IPs.
- RB4011: Die Wireguard-spezifischen Einstellungen (Interface + Peer) sind mit den richtigen Werten gefüllt (der Endpoint-Port-Bug scheint ja mittlerweile auch behoben zu sein), ich vermute den Fehler irgendwo in der zusätzlich erforderlichen Konfiguration im System.
Beim Punkt Adressen & Routen, die für die Tunnel einzurichten sind, widersprechen sich mehrere Anleitungen, die ich im Netz gefunden habe; auch eine Brute-Force-Konfig mit allen möglichen Kombinationen, die mir sinnvoll erschienen, war nicht erfolgreich. Höchstwahrscheinlich habe ich einfach nur den berühmten "kleinen Schalter xyz" übersehen, dank dem kein Tunnel aufgebaut wird.
Deshalb würde ich euch um eine "Musterlösung" für die zusätzlich erforderlichen Einstellungen neben WG-Interface & WG-Peer bitten, da ich eine solche weder bei Mikrotik (klar, Beta) noch in den einschlägigen Foren gefunden habe.
Vielen Dank für jede Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666701
Url: https://administrator.de/contentid/666701
Printed on: April 20, 2024 at 14:04 o'clock
4 Comments
Latest comment
Moin.
das RouterOS 7 noch im im tief roten Beta-Status steht und man diese nicht im Produktiv-Betrieb verwenden sollte, sollte ja bekannt sein, will ich aber jetzt nicht weiter drauf eingehen, das weißt du ja hoffentlich selbst.
Hier mal ein ganz einfache funktionsfähige Wireguard LAN-LAN Config zwischen einer OpnSense und einem Mikrotik:
Nur fürs Beispiel ANy to Any Rule auf dem Tunnel-Interface
Gruß w.
das RouterOS 7 noch im im tief roten Beta-Status steht und man diese nicht im Produktiv-Betrieb verwenden sollte, sollte ja bekannt sein, will ich aber jetzt nicht weiter drauf eingehen, das weißt du ja hoffentlich selbst.
Hier mal ein ganz einfache funktionsfähige Wireguard LAN-LAN Config zwischen einer OpnSense und einem Mikrotik:
- Opnsense WAN-IP: 192.168.1.28
- Mikrotik WAN-IP: 192.168.1.30
- Wireguard Tunnel-Netz 10.90.0.0/24 (Tunnel-IPs: OpnSense 10.90.0.1 / Mikrotik 10.90.0.2)
- OpnSense LAN-Netz : 192.168.50.0/24
- Mikrotik LAN-Netz: 192.168.60.0/24
Config OpnSense
Local Configuration
Endpopint
Firewall
Nur fürs Beispiel ANy to Any Rule auf dem Tunnel-Interface
Config Mikrotik
Interface
Peer
IP Adresse für Wireguard Interface vergeben
Test
Ping Mikrotik => OpnSense
Ping OpnSense => Mikrotik
Fazit: Works as designed, wie @aqui immer so schön sagt 
Gruß w.
1
Zusätzlich zur obigen, vorbildlichen Bilderbuchlösung:
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit Wireguard
Vermutlich wohl auch nicht denn der TO hat ja durch sein fehlendes Feedback schon bekundet das er vermutlich keinerlei Interesse mehr an einer zielführenden Lösung hat. Aber egal... 
