Объединение локальных сетей с помощью WireGuard на MikroTik
ฝัง
- เผยแพร่เมื่อ 7 ส.ค. 2024
- В первой части мы объединим локальные сети двух офисов с помощью WireGuard, а во второй получим к ним доступ с любого устройства и из любой точки мира.
00:00 Вступление
02:49 Настройка
09:21 Проверка работы
09:45 Объединение локальных сетей
12:16 Проверка работы
13:17 Доступ с любого устройства
13:35 WireGuard с компьютера
19:12 С другого устройства
Здравствуйте, лучшая инструкция, спасибо вам большое! Если можете выпустите дополнение по поводу объединения трёх офисов 😹
Отличная инструкция, спасибо. Хочу отметить несколько моментов:
1. Вначале настройки вы говорите что для подключения необходимы белые IP на каждой из сторон, что может ввести в заблуждение. Во второй части видео вы показываете что необязательно прописывать Endpoint от компа (или второго роутера) на стороне первого роутера.
2. Для новичков полезно отметить, что вместо белого IP можно использовать DNS name из раздела IP --> Cloud. Именно таким образом и установлено подключение между роутерами в моём случае.
3. Настраивал WG по другой инструкции и не мог понять почему иногда не мог пропинговать домашний роутер. Не знал про параметр Persistent Keepalive и походу соединение прекращалось пока со стороны дома не попытаться подключиться к офису.
1. согласен, в первой части видео для поднятия туннеля между офисами необязательно нужен белый IP на двух сторонах, достаточно на одной стороне. но в этом случае, если мы захотим со своего компьютера получить доступ к локальной сети офиса, у которого нет белого IP, мы не сможем это сделать. поэтому рекомендовал подключить белый IP сразу на обоих роутерах.
2. да, кстати, можно и так, но это только в случае, если провайдер выдает хоть и динамический, но всё же белый IP. знаю, что многие провайдеры даже динамические белые IP не выдают и всех своих абонентов по умолчанию прячут за NAT. а в этом случае DNS в IP > Cloud уже не поможет.
@@loskiq Не совсем понял по первому пункту. В моём случае в офисе белый IP, а дома адрес за NAT. При этом туннель заработал и после прописывания маршрутов могу подключаться из дома к офисным службам и серверам, так и из офиса могу подключиться к домашнему Synology.
Но пока не уверен что решилась проблема "отвала" туннеля с помощью Persistent Keepalive. Т.е. через некоторое время становилось невозможно подключиться из офиса к дому. При этом как только с домашнего компа пытаешься подключиться к офису туннель сразу оживает. Нужно время чтобы понаблюдать.
(отвечаю с личного аккаунта, а первоначальные вопросы писал с рабочего)
Большое спасибо!
Штука удобная, но вот есть проблемка, которая заклбчается как раз в том, что каждый офис должен иметь белый айпишник, иначе с мобильных устройств не приконнектиться. У меня 3 офиса соединяются через l2tp на ipsec сертификатах, 1 офис с сервером l2tp, остальные 2 офиса имеют серые адреса и коннектятся к серверу, если с пк подключаться, то все круто, сразу попадаешь в локальную сеть, получаешь айпи из преднастроенного пула, без лишних телодвижений и переключений имеешь доступ во все офисы одновременно. А тут так не получается, маршруты не совместимы, через wg пиры нельзя увидеть подсети второго и третьего офиса, хотя маршруты есть и по l2tp пакеты направляются куда нужно. И ладно если 3 офиса всего, а если сотни? Короче wg штука быстрая и простая, но с маршрутизацией нужно еще доработать. Удобно когда доступ иметь нужно только к одному роутеру, например к домашнему, видеонаблюдение и мониторинг там всякий, но как серьезный инструмент для администрирования больших сеток, продукт еще сыроват. Но поскольку на андроиде l2tp вырезали, приходится либо ikev2 настраивать (а на винде этот протокол работает криво и вечно куча проблем с настройкой), либо openvpn, что вариант получше но все равно не идеал.
Спасибо! Между компьютером и сетью офиса будет полноценно открыта сеть? По всем портам? Например удалённый клиент из любой точки мира имеет в своей домашней сети специфичное оборудование, оно работает сразу на 4 tcp/ip и udp портах, смогу ли я из офиса получить к нему полноценный доступ? т.е. будет ли клиент подключён в режиме бриджа?
Спасибо Вам. за Ваш труд. А мне вот интересно: Теряется скорость на устройстве при подключении вайргард. К примеру, при выключеном вайргвард устройство получает 100мбит. А если включить на устройстве какая скорость будет? Если можно замеряйте ппожалуйста спидтестом. Спс
У меня какая то фигня получается между двумя микротами. С компа от роутера за серым ип на роутер с белым ип подключает. С телефона даже с моб сети к роутеру за белым ип также подключает. А вот с другого микротика на другой микротик - фиг. Настройки копипастом в файл на комп с микротика за серым ип перекидывал - вуаля работает. Чего за шляпа не понимаю. Файрволл все правила отключал на роутере за серым ип - не помогает. Ресетил заново настраивал сто раз - фигушки. Чет я не туда тыркаю или прошивка?
Скажите, в чем заключаются тонкости соединения вг точка -многоточка. Типа звезда. Все клиенты подключаются к одному "серверу". У меня только один микротик имеет белый адрес, остальные за нат. Ну и не выходит настроить так, чтобы клиенты оба работали. Работает либо один, либо другой. И они не видят друг друга
Спасибо за видео. Поднял WG для клиентских машин и все норм, если они по обычному инету. С мобильного инета не подключаются, хотя рукопожатие есть. Сотовые операторы блочат и как быть ?
есть регионы по стране, в которых, к сожалению, могут блочить некоторые протоколы vpn. можете почитать форум ntc.party
там делятся о случаях блокировки какого-либо ресурса или протокола
непонятен смысл подключения ко второму роутеру с компа или телефона) проще просто маршрут написать было в 3 кнопки
Спасибо.
Но у меня на Микротике-951 нет пункта WireGuard. Его нужно как то отдельно устанавливать?
Вам нужно обновить прошивку до 7-й версии. тогда раздел WireGuard появится
@@loskiq Спасибо за ответ
Вы с кенетиком не работаете? Не могли бы рассказать как грамотно соединить кинетик и микротик, в случае если у микротик есть белый адрес. например, айписек? Могу предоставить для тестов свой