Zwei Standorte mittels Wireguard verbinden
Es ist ROSv7 notwendig! ROSv6 unterstützt keine Wireguard.
Vorbemerkung:
Die Labumgebung nutzt eine Loopback-Bridge statt einem realen LAN.
Das Internet simulieren die IPs 222.222.222.1 (Standort 1) und 222.222.222.2 (Standort 2), jeweils auf ETH5.
Standort 1:
Loopback-Bridge anlegen und IP vergeben (simuliert LAN):
/interface bridge add name=LB0 protocol-mode=none /ip address add address=192.168.1.1/24 interface=LB0 network=192.168.1.0
Standort 2:
Loopback-Bridge anlegen und IP vergeben (simuliert LAN):
/interface bridge add name=LB0 protocol-mode=none /ip address add address=192.168.2.1/24 interface=LB0 network=192.168.2.0
Wireguard-Interfaces anlegen (auf Standort 1 und 2):
/interface wireguard add listen-port=13231 mtu=1420 name=wireguard
Peers anlegen:
WICHITG
- Den jeweils öffentlichen Schlüssel der anderen Seite/Standorts eintragen.
- Den Endpoint (URL oder IP der Gegenstelle) und den Port eintragen.
- Das Netz, welches von diesem Peer aus (eingehend) erlaubt wird eintragen (das LAN des jeweils anderen Standortes).
- Die IP des Wireguard-Interfaces der Gegenstelle eintragen.
Standort 1:
/interface wireguard peers add allowed-address=172.16.0.2/32,192.168.2.0/24 endpoint-address=222.222.222.2 \ endpoint-port=13231 interface=wireguard1 public-key=\ "k9XHgAAv9AaewQBIgA+4aR/vF4gm8ljS10gxwvq5MzY="
Standort 2:
/interface wireguard peers add allowed-address=172.16.0.1/32,192.168.1.0/24 endpoint-address=222.222.222.1 \ endpoint-port=13231 interface=wireguard1 public-key=\ "sQTgIavUOG9vLZgK22v1OoqfNO1SgJiTG0Oan9iDJ0c="
Standort 1
Route eintragen:
/ip route add disabled=no dst-address=192.168.2.0/24 gateway=172.16.0.2 routing-table=main \ suppress-hw-offload=no
Standort 2
Route eintragen:
/ip route add disabled=no dst-address=192.168.1.0/24 gateway=172.16.0.1 routing-table=main \ suppress-hw-offload=no
Damit ist die Standortkoppelung abgeschlossen!
Dinge wie eine Firewall-Konfiguration, NAT… wurden hier nicht berücksichtigt.
Ein Ping von Standort 1 zu Standort 2:
Der entsprechende Paketmitschnitt aus Sicht von Standort 1:
Und aus Sicht von Standort 2:
Referenzen:
- https://help.mikrotik.com/docs/display/ROS/WireGuard
- https://rickfreyconsulting.com/wireguard-site-to-site-vpn-example/
- https://www.wireguard.com/papers/wireguard.pdf
System- und Netzwerkadministrator
Informationstechnik – Netzwerktechnik – Consulting
MCSA+M | MCSE | MTCNA