8 lutego 2023

Mikrotik Wireguard z Mikrus VPS

By  Bezpieczeństwo w sieci, linux, mikrotik, vpn  1 Comment

Mikrotik Wireguard z Mikrus VPS

We wcześniejszych materiałach przygotowaliśmy konfigurację site-to-site wykorzystując Wireguarda oraz przygotowaliśmy serwer Wireguarda na Mikrotiku, gdzie klientem był host z system Windows 10, a do połączenia wykorzystaliśmy dedykowana aplikacja Wireguard. Do pełni szczęścia brakuje nam point-to-multipoint oraz Wireguard na VPSie. Zaczniemy od przygotowania konfiguracji Mikrotik Wireguard z Mikrus VPS.

Konfiguracje Wireguarda na VPSie przygotujemy na hostingu o nazwie MIKRUS. Wybrałem Mikrusa ponieważ jest tam kilka opcji dla początkujących użytkowników Linuksa. Możemy skonfigurować Wireguard, praktycznie bez większej znajomości komend Linuksowych, wykorzystując wcześniej przygotowane skrypty tak zwane NOOBS. Oprócz samej konfiguracji Wireguarda, znajduje się tam wiele innych gotowych skryptów. Jak najbardziej polecam sprawdzenie Mikrusa.

Schemat połączenia

Konfiguracja jest bardzo prosta, ale schemat zawsze się przyda.

Mikrotik Wireguard Mikrus

Panel Mikrus VPS

W pierwszej kolejności zaczynamy od przygotowania VPS. Samego procesu zakupu serwera nie będę opisywał, ponieważ jest banalnie prosty. Moim wyborem jest Mikrus 2.1 w cenie 75zł na rok powinien w zupełności zaspokoić nasze potrzeby. Korzystam z programu partnerskiego, dlatego jeżeli wejdziesz przez mój link, i dokonasz zakupy, to ja też na tym zarobie:)

Przechodzimy na Panel Mikrusa.

Mikrus Panel VPS

Domyślnie interfejs TUN, który jest potrzebny do konfiguracji Wireguarda czy OpenVPNa jest wyłączony. Z bocznego menu wybieramy TUN/TAP/FUSE, a następnie klikamy w duży przycisk „Włącz TUN/TAP/FUSE”. Aktywacja interfejsu zajmuję chwilę, dlatego musimy odczekać około 1-2min. Możemy także sprawdzić logi wykonywanych operacji, które znajdują się w głównym widoku Mikrusa.

Mikrus VPS enable TUN
Mikrus VPS Logs

Tak jak wspomniałem wcześniej jedna z zalet Mikrusa są skrypty przygotowane przez administratora, które w znacznym stopniu ułatwiają konfigurację poszczególnych usług. Skrypty noszą nazwę NOOBS i hostowane są na githubie.

Mikrus Github Noobs

Jeżeli jesteś początkującym użytkowników Linkusa, to najlepszym rozwiązaniem jest załadowanie wszystkich skryptów od razu do systemu. W tym celu używamy komendy, która zapisze całość do katalogu /opt/noobs

Pobranie wszystkich skryptów

curl -s https://noobs.mikr.us | bash
Mikrus noobs bash

W następnym kroku uruchamiamy skrypt chce_wireguard.sh który wykona za nas całą konfigurację ustawień Wireguarda łącznie z pobranie i skompilowanie odpowiednich paczek.

Polecenia do wykonania w terminalu

cd /opt/noobs/scripts
apt update
./chce_wireguard.sh
Mikrus Noobs Scripts

Przygotowanie konfiguracji, kompilacja odpowiednich paczek może zająć około 1-2 minuty. Na sam koniec powinieneś zobaczyć QR kod oraz konfigurację klienta, którą wykorzystamy do przygotowania połączenia na Mikrotiku.

Mikrus Noobs Wireguard QR Code

Konfiguracja Wireguard Mikrotik

Na tym etapie najważniejsza jest sekcja Konfiguracja klienta, którą możemy skopiować do notatnika, następnie uruchamiamy winbox’a i logujemy się na nasz router. Standardowo z bocznego menu wybieramy Wireguard i aktywujemy usługę, zostawiając domyślny port 13231. Z uwagi na to, iż mamy już przygotowany interfejs klienta, nie generujemy nowej pary kluczy, tylko kopiujemy klucz prywatny, wygenerowany chwilę wcześniej na Mikrusie.

Mikrotik Wireguard Interface

Kolejnym krokiem jest zaadresowanie nowo dodanego interfesju. Z bocznego menu wybieramy IP->Addresses i dodajemy nowy adres. Oczywiście interface wskazujemy na Mikrus, a adres IP kopiujemy z konfiguracji Mikrusa.

Mikrotik IP Addresses

Następnie przechodzimy na zakładkę Peer i dodajemy nowy wpis. Pamiętaj o wskazaniu poprawnego interfejsu. Pozostałe dane kopiujemy z konfiguracji na Mikrusie.

  • Interface: wybieramy Mikrus
  • Public Key: kopiujemy z konfiguracji Mikrusa
  • Endpoint: adres IP Mikrusa dla usługi Wireguard
  • Endpoint Port: port Mikrusa dla usługi Wireguard
  • Allowed Address: kopiujemy z konfiguracji Mikrusa
Mikrotik Wireguard Peer

Ostatnim krokiem w konfiguracji Mikrotika jest dodanie maskarady między podsiecią za routerem i podsiecią na Mikrusie.

Mikrotik Bypass NAT

Podsumowanie

Nie spodziewałem się tak szybkiej i prostej instalacji i konfiguracji Wireguard. Przygotowując ten materiał sprawdziłem klika dostawców VPSów, ale Mikrus i skrypt Noobs, zaoszczędziły mi dużo czasu, a wam skróciły czas czytania i konfiguracji w znacznym stopniu. Ilość skryptów jakie otrzymujemy w grupie Noobs jest spora i z pewnością pozawala zaoszczędzić długie godziny konfiguracji i ewentualnej późniejszej analizy błędów przy instalacji. Dodatkowo cena jest także bardzo przystępna, idealna dla początkującego użytkownika, który dopiero stawia pierwsze kroki z systemami GNU Linux.

Biorąc pod uwagę cenę, skrypty oraz skupioną społeczność na Discordzie, mogę z czystym sumieniem polecić Mikrusa i jeszcze nie raz pojawi się w moich materiałach.

Materiał Video

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6

Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+

Tags:, , , , , , , , ,

Related Posts

About Author

grzegorz

One Comment
  1. mcozio

    a jaka powinna byc konfiguacja gdzie MT z publicznym IP realizuje polaczenie dla klienta z MT po internecie bez statyczego IP jako klient wireguarda, ale ow klient ma wychodzu do sieci poprez IP publiczny servera wireguarda na podseici lokalnej lub jako klient pppoe?

    Odpowiedz

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *