Conectando varios Mikrotik a un servidor Wireguard Mikrotik. Por qué no?
Tabla de Contenido
Una de las preguntas mas frecuentas en mi canal de Youtube además de que si tengo novia, debe de ser como conectar varios equipos mikrotik entre si via WireGuard. Pues el dia de hoy me he propuesto tratar de ayudarlos con una respuesta a modo de un pequeño tutorial.
No ahondaremos mucho esta vez en la teoría sobre el tunel, eso lo tienen ya muy bien descrito en un articulo pasado cuyo link dejare por estas lineas. Aqui.
¿Por que usar wireguard ?
Conectar tus dispositivos MikroTik mediante WireGuard a un servidor MikroTik puede ser súper útil y aquí te cuento por qué, de manera relajada y amigable:
VPN seguras y fáciles: Imagina que quieres que tu equipo trabaje desde casa o conectar tus oficinas sin complicaciones. Usar WireGuard con MikroTik es como tener tu propio túnel privado y seguro en internet. Es moderno, rápido y, lo mejor de todo, no necesitas ser un experto en redes para ponerlo a andar.
Controla tu tráfico como un jefe: ¿Quieres que tus videos de reuniones vayan rapidísimo y sin interrupciones? Pues, al conectar tus MikroTik con WireGuard, puedes decidir qué tipo de tráfico tiene prioridad. Es como tener el control remoto del ancho de banda de tu red.
Mantén tus secretos seguros: Con esta configuración, puedes crear áreas especiales en tu red que solo algunas personas puedan acceder. Es como tener habitaciones secretas en tu casa digital para guardar tus cosas más valiosas.
Acceso remoto sin estrés: Para la gente que trabaja desde casa o en movimiento, conectar su MikroTik a través de WireGuard significa que pueden acceder a todo lo que necesitan del trabajo de manera segura. Es como tener una llave mágica para entrar a la oficina desde cualquier lugar.
Siempre en línea: Si algo falla, tener varios MikroTik conectados asegura que tu red se mantenga en pie, saltando a otro camino disponible. Es como tener un plan B automático para que todo siga funcionando sin que te des cuenta.
Todos conectados, felizmente: Si tu negocio tiene más de una ubicación, conectarlas hace que todos estén en la misma página, facilitando el trabajo en equipo y el acceso a lo que se necesite, manteniendo todo bajo llave.
Fácil y rápido: WireGuard destaca por ser fácil de manejar y por su velocidad, así que no tendrás dolores de cabeza configurándolo ni usarás recursos de más. Es como tener un auto deportivo que además es económico.
Conecta con seguridad: También puedes hacer que el acceso a tu red sea aún más seguro con sistemas de autenticación, como contraseñas únicas o reconocimiento de huella digital. Es un nivel extra de protección, como tener un guardia de seguridad en la puerta de tu red.
En resumen, usar MikroTik con WireGuard es una manera genial de mantener tu red conectada, segura y funcionando suavemente, sin tener que ser un gurú de las redes. ¡Es prácticamente poner tu red en piloto automático de la mejor manera posible!
Preparando el servidor
Lo primero que debemos considerar para usar Wireguard debe ser la versión de OS del equipos, que obligadamente debe estar en version 7, la cual es algo así entre beta y no estamos seguros. Ya que cuenta con dos Branches: una de Development y otra de Testing.
Eso hace que no puedo recomendarte ponerle la versión 7 a tus equipos en producción, no obstante si estas leyendo estas lineas lo mas probable es que te no me hagas caso y lo instales sin chistar.
Dicho esto, lo recomendable es que el equipo que va a funcionar como el servidor de la VPN tenga una dirección pública, ya sea directa, por NAT, o en DMZ. Aunque si es un laboratorio lo que quieres hacer, no importa mucho, pues lo que vas a comprobar serán configuraciones y la forma de hacerlo.
La ultima pero no menos importante recomendación es que tengas un notepad abierto en tu pc, esto nos va ha ahorrar muchísimo tiempo y esfuerzo y hará que no nos volvamos locos de cambiar tantas veces las ventanas.
Paso 1 - Creando interface en el servidor
Lo primero que vamos ha hacer es crear la interface en el servidor.
1.- Parte del menú que utilizaremos para acceder a las opciones de Wireguard/
2,- Verificación del sistema del RB
Paso 2 - Creando la interface w0
1 Creando Interface: Como observamos , daremos click en el botón + para agregar nuestra nueva interface a la que nombraremos con algo que haga referencia al uso que tendrá.
En esta ventana editaremos lo que está numerado 1 y 2.
1.- Es el nombre que tendrá la interface y no afecta en nada la configuracion final.
2.- Es el puerto que se usará para escuchar, este tiene que coincidir al introducir los datos del peer en el cliente.
3.- Cuando demos click en Apply, se crearan automáticamente las llaves que usara la interfase, llaves que copiaremos a un archivo de texto con el respectivo puerto e ip publica.
Copiaremos 1,2 y 3 y especificamos que es el servidor, y ya con esto pasamos a dar al 4 ok. Y configuramos la ip de la interface.
Paso 3 - Creando la iP
Creando IP: Para crea el IP, tendremos que ir al menú izquierdo.
1.- Seleccionamos IP lo que nos abrirá un abanico
2.- En este Abanico seleccionaremos Adresses y una ventana como la siguiente nos aparecerá.
1.- Daremos click al icono + para poder crear el IP
Estando ya aca:
1.- Pondremos el ip privado del tipo de querramos, en mi caso yo elegí la red 172.16.50.0/29 y como es el servidor al host asigne la 1.
2.- Acá debemos asignar ese ip a la interface de nuestro Wireguard, al dar click se abrirán todas las interfaces con las que cuenta tu equipo, tanto físicas como virtuales, aca debemos elegir el Wireguard, o si le pusiste nombre a la interface, te va a salir ese nombre para ser elegido dando click en el 3 paso.
4.- Ya nos toca aplicar los cambio y cerrar la ventana del IP.
Paso 4 - Ahora los clientes.
Acá es donde la cosa se pone un poco confusa. Ya que vamos a tener que andar cambiando ventanas a cada rato. Al principio puede ser un poco dificil, pero la practica hace al maestro.
Para este laboratorio conectaremos dos clientes y probaremos interconexión entre ellos.
Vamos a seguir todos los pasos anteriores hasta llegar a este.
- Pero vamos a tener en cuenta el siguiente esquema de IPs:
- 172.16.50.1 Servidor
- 172.16.50.2 Cliente 1
- 172.16.50.3 Cliente 2
Toda vez que hemos creado las interfaces principales, tenemos que tener en cuenta lo siguiente.
Estos datos que hemos creado van directamente en el peer del otro equipo. Es decir, si este es el cliente, el puerto, y las dos llaves iran en el servidor, mas una clave que generaremos desde el servidor. Importante recordar que la direccion publica es el EndPoint y el unico que necesita tener una direccion publica es el servidor.
Se cubre parte de la direccion por proteccion, todo esto es del lado del primer cliente, y en el allowed address, he designado una red, para que los otros clientes tambien tengan acceso en el caso de ser necesario. Cuando trate de que la direccion sea la del servidor en /32, no tenia conectividad entre todos los clientes.
Siguiendo de lado del primer cliente. LLenamos nuestra ventana dando click al + azul.
En donde en 2 y 3, sacamos la info de la ventana de la interface del servidor.
El 4 es la Ip publica que tiene el servidor
El 5 es el puerto de escucha que configuramos en el servidor.
El 6 es una direccion de red, en la que estaran las conexiones.
El 7 es una clave que se puede generar dando click en la flecha hacia abajo y poniendo auto, al dar click en Apply se va a generar automaticamente.
Ahora en el servidor hacemos lo mismo pero con los datos del cliente.
Hacemos lo mismo y creamos un peer, para cada cliente.
Esta información la sacamos del cliente, todo lo que tenemos saldra directamente desde nuestra ventana de la interface principal, los datos no cambian, a menos que la llave la hayamos creado en el servidor.
En mi caso particular, cada cliente tiene un puerto de escucha individual y cambian los ip segun los clientes.
Ya con las dos interfaces configuradas en el servidor, en los respectivos clientes. Pasamos al servidor a probar las conexiones.
Servidor
Cliente 1
Como se puede observar por los ping a la 3, la 3 es el cliente desde donde probamos la conexión.
Cliente 2
Los próximos pasos serían configurar Ruteo entre los distintos equipos para poder unir las redes que deseemos pero eso queda ya para otra ocasión