Standortkoppelung mit Wireguard

Zwei Standorte mittels Wireguard verbinden

Es ist ROSv7 notwendig! ROSv6 unterstützt keine Wireguard.

Vorbemerkung:
Die Labumgebung nutzt eine Loopback-Bridge statt einem realen LAN.
Das Internet simulieren die IPs 222.222.222.1 (Standort 1) und 222.222.222.2 (Standort 2), jeweils auf ETH5.

 


Standort 1:
Loopback-Bridge anlegen und IP vergeben (simuliert LAN):

/interface bridge
add name=LB0 protocol-mode=none
/ip address
add address=192.168.1.1/24 interface=LB0 network=192.168.1.0

 

Standort 2:
Loopback-Bridge anlegen und IP vergeben (simuliert LAN):

/interface bridge
add name=LB0 protocol-mode=none
/ip address
add address=192.168.2.1/24 interface=LB0 network=192.168.2.0

 


Wireguard-Interfaces anlegen (auf Standort 1 und 2):

/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard

 


Peers anlegen:

WICHITG

  • Den jeweils öffentlichen Schlüssel der anderen Seite/Standorts eintragen.
  • Den Endpoint (URL oder IP der Gegenstelle) und den Port eintragen.
  • Das Netz, welches von diesem Peer aus (eingehend) erlaubt wird eintragen (das LAN des jeweils anderen Standortes).
  • Die IP des Wireguard-Interfaces der Gegenstelle eintragen.

 

Standort 1:

/interface wireguard peers
add allowed-address=172.16.0.2/32,192.168.2.0/24 endpoint-address=222.222.222.2 \
endpoint-port=13231 interface=wireguard1 public-key=\
"k9XHgAAv9AaewQBIgA+4aR/vF4gm8ljS10gxwvq5MzY="

 

Standort 2:

/interface wireguard peers
add allowed-address=172.16.0.1/32,192.168.1.0/24 endpoint-address=222.222.222.1 \
endpoint-port=13231 interface=wireguard1 public-key=\
"sQTgIavUOG9vLZgK22v1OoqfNO1SgJiTG0Oan9iDJ0c="

 


Standort 1
Route eintragen:

/ip route
add disabled=no dst-address=192.168.2.0/24 gateway=172.16.0.2 routing-table=main \
suppress-hw-offload=no

 

Standort 2
Route eintragen:

/ip route
add disabled=no dst-address=192.168.1.0/24 gateway=172.16.0.1 routing-table=main \
suppress-hw-offload=no

 


Damit ist die Standortkoppelung abgeschlossen!

Dinge wie eine Firewall-Konfiguration, NAT… wurden hier nicht berücksichtigt.

 

Ein Ping von Standort 1 zu Standort 2:

 

Der entsprechende Paketmitschnitt aus Sicht von Standort 1:

 

Und aus Sicht von Standort 2:

 

 

Referenzen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.