Mikrotik.moscow [тема: Wireguard в топологии «звезда» (hub-and-spoke)]

Wireguard в топологии «звезда» (hub-and-spoke)

Sat, 05 Nov 2022 15:24:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
orregin, ты немного не так понимаешь wireguard, по крайней мере частично. Процесс шифрования состоит из двух частей: (1) Allowed IPs действительно очень похож на фильтр для любого трафика, который выходит из туннеля и заходит в роутер. Когда удалённый трафик приходит в туннель, WG сравнивает исходный адрес полезной нагрузки с allowed-address и пропускает пакет только если он находится в списке! (2) НО, Allowed IPs — это matcher и селектор (а не фильтр) для локального трафика, который идёт в туннель. Сначала роутер решает, какой интерфейс wireguard использовать для маршрутизации, затем Wireguard смотрит на адрес назначения трафика и спрашивает: совпадает ли он с allowed IPs у какого-либо пира на данном интерфейсе wireguard. Он выбирает первого совпавшего пира (и не проверяет остальных). Поэтому иметь пересекающихся пиров на интерфейсе проблематично, потому что второй в очереди никогда не будет выбран! (3) Правила брандмауэра как для трафика, входящего в туннель, так и для трафика, выходящего с другого конца, позволяют администратору настроить необходимую детализацию разрешённого трафика. (4) Маршрутизация для отдельных клиентов встроена в wireguard через структуру wireguard адресов. Если речь идёт о подсетях, которые не являются нативными для роутера, но проходят через туннель, им потребуются дополнительные маршруты. (5) sourceNAT можно использовать, когда нужно замаскировать исходные адреса подсети, направляющиеся в туннель и т.п. Ты увидишь, что с MT и wireguard можно сделать очень многое, по крайней мере в небольшом масштабе. (6) А для такого большого масштаба, как у тебя, кажется, что Tailscale или ZeroTier будут управляться проще?
05.11.2022 15:24:00, anav.

Wireguard в топологии «звезда» (hub-and-spoke)

Fri, 04 Nov 2022 21:11:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Спасибо, ребята, надеюсь, теперь я понимаю всю идею WG. Раньше я смотрел на WG с неправильной стороны. Пытался сравнивать его с L2TP поверх IPSec или SSTP, но на самом деле он упрощает работу IPSec и не является универсальным решением DMVPN. В IPSec я могу контролировать трафик с помощью IPSec-политик, а в WG — с помощью опции allowed-address. Так что моя ошибка была в том, что я ожидал от WG слишком многого. Он не может заменить гибкость PPP и протоколов динамической маршрутизации. Он именно для того, для чего создан. Он устраняет все проблемы с тысячами комбинаций настроек криптографии в разных реализациях и другими странностями в IPSec.
04.11.2022 21:11:00, oreggin.

Wireguard в топологии «звезда» (hub-and-spoke)

Fri, 04 Nov 2022 12:07:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Нет, например, у отдельных клиентов будет по одному IP-адресу, пересечений не будет. В общем, у вас не может быть двух или более пиров на хаб-роутере с одинаковым разрешённым IP-адресом… (на одном интерфейсе wireguard). Надеюсь, понятно.
04.11.2022 12:07:00, anav.

Wireguard в топологии «звезда» (hub-and-spoke)

Fri, 04 Nov 2022 06:59:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Нет. Не используйте webfig для настройки Wireguard, потому что, похоже, он портит конфигурацию. Что-то связано с тем, что WebFig вмешивается в поле endpoint-address у пиров. Я и не пользуюсь WebFig именно из-за таких багов время от времени. http://forum.mikrotik.com/t/wireguard-interface-with-multiple-peers/161969/1 Или если уж и используете, ВСЕГДА ПРОВЕРЯЙТЕ КОНФИГ ИЗ ТЕРМИНАЛА.
04.11.2022 06:59:00, Znevna.

Wireguard в топологии «звезда» (hub-and-spoke)

Thu, 03 Nov 2022 16:35:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Спасибо, anav, теперь я понял, что «allowed-address» используется для решения вопросов маршрутизации или похожих задач в WG. Если у меня 1000 Spokes, мне тогда нужно 1000 интерфейсов WG на HUB? Должен ли тут работать динамический маршрутизатор (IGP)? А как насчёт IPv6 и MPLS? Смогу ли я масштабировать это хотя бы до 1000 Spokes? Спасибо!
03.11.2022 16:35:00, oreggin.

Wireguard в топологии «звезда» (hub-and-spoke)

Sun, 30 Oct 2022 16:01:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Orreggin, ты вообще не понимаешь WireGuard и как его правильно настраивать. Скажи мне, как роутер должен знать, через какой именно peer — A или B — пользователю выходить в интернет? Позволь объяснить: по твоей конфигурации они всегда будут выходить через peer A, а через peer B — никогда. Да, порядок имеет значение в списке peers, ха-ха. Тебе нужно просто STOP, разобраться, почитать, а потом уже настраивать. https://forum.mikrotik.com/viewtopic.php?t=182340 Если у тебя на роутере несколько peer-ов с пересекающимися сетями, решение — создать ещё один интерфейс. Это не сложно и не сложно понять, при этом все пользователи WireGuard, как входящие, так и исходящие, смогут друг с другом общаться. И для этого не обязательно, чтобы они были на одном WireGuard-интерфейсе — важно, чтобы был любой интерфейс WireGuard, правильные правила файрвола, маршруты (и возможно правила маршрутизации).
30.10.2022 16:01:00, anav.

Wireguard в топологии «звезда» (hub-and-spoke)

Sun, 30 Oct 2022 16:01:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Вы не можете использовать allowed-address=0.0.0.0/0 для нескольких пиров, потому что это также влияет на исходящую маршрутизацию. Если у вас есть один пир с 192.168.10.0/24 и другой с 192.168.20.0/24, то понятно, к кому должен идти пакет, например, на 192.168.20.100. Но что должен делать маршрутизатор, если у обоих пиры указаны 0.0.0.0/0? Бросать монетку?
30.10.2022 16:01:00, Sob.

Wireguard в топологии «звезда» (hub-and-spoke)

Sun, 30 Oct 2022 15:57:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Наконец-то кто-то выложил конфигурацию, остальные ваши комментарии — просто предположения без доказательств (иначе говоря, спекуляции и пустая болтовня). Wireguard — это пиринговая сеть, но нет ничего плохого в том, чтобы главный роутер был подключён одновременно и к мобильным пользователям, и к другим роутерам, при этом они все могут обмениваться данными, если это нужно. Другими словами, правильная настройка требуется на роутерах у клиентов. Роутеры могут быть настроены как на инициацию, так и на приём начального обмена ключами. Всё зависит от контекста (схема сети) и требований — что именно пользователи и администратор хотят получить. Если чётко изложены цели и контекст, то реализовать можно всё что угодно.
30.10.2022 15:57:00, anav.

Wireguard в топологии «звезда» (hub-and-spoke)

Sun, 30 Oct 2022 15:18:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Я решил добавить второй шанс для WG, но не получилось. Пытался настроить два пира на одном роутере, но работает только первый, до второго пинга нет. Пробовал сделать треугольную топологию с тремя роутерами, но из трёх WG-соединений работает только одно.

/interface wireguard
add listen-port=13231 mtu=1432 name=wg1
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=hub1 disabled=yes endpoint-address=1.1.1.1 endpoint-port=13231 interface=wg1 persistent-keepalive=30s public-key=""
add allowed-address=0.0.0.0/0 comment=hub2 disabled=yes endpoint-address=2.2.2.2 endpoint-port=13231 interface=wg1 persistent-keepalive=30s public-key=""
30.10.2022 15:18:00, oreggin.

Wireguard в топологии «звезда» (hub-and-spoke)

Mon, 06 Sep 2021 23:31:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Это неверно — Wireguard вполне успешно работает, когда только у одного пира фиксированный IP. Вы настраиваете IP пира как 0.0.0.0, что позволяет другому устройству-пиру использовать динамический IP. Однако для каждой пары пиров нужно создавать уникальные пары ключей.
06.09.2021 23:31:00, mjbnz.

Wireguard в топологии «звезда» (hub-and-spoke)

Mon, 30 Aug 2021 11:35:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
WireGuard не подходит для схемы HUB&Spoke. Похоже, что это только P2P, и если у Spokes случайные глобальные адреса, то на HUB можно добавить миллиарды пиров. WireGuard создан для тех, у кого на обоих концах есть по два выделенных фиксированных глобальных IP-адреса, и хватает туннелирования на уровне Layer3. Тогда вы получаете зашифрованный и быстрый IP-туннель.
30.08.2021 11:35:00, oreggin.

Wireguard в топологии «звезда» (hub-and-spoke)

Tue, 13 Jul 2021 17:21:00 +0300

Wireguard в топологии «звезда» (hub-and-spoke) RouterOS в форуме RouterOS.
Всем привет. Я новичок в WireGuard. Тестировал на нескольких RB750 с прошивкой 7.1beta6 (Development). У меня были R0, R1, R2, R3, R4. Каждый из них (от R1 до R4) имел своё собственное WG-соединение с R0. Для всех WG VPN я использовал один и тот же UDP-порт. Всё работало отлично! Через несколько дней все WG-интерфейсы на R0 перестали работать, кроме одного. Я откатил настройки из резервных копий, но ничего не помогло. Пришлось начинать с нуля. Но вот что странно: первый WG-интерфейс поднимается, остальные — только если выбрать другой UDP-порт. Тогда они начинают функционировать. Для меня это не проблема, но я был уверен, что можно использовать один порт для всех WG VPN. У вас было что-то похожее? Спасибо заранее.
13.07.2021 17:21:00, nickcarr.