Documentazione
AccessoFacile
Reference
Wireguard su Mikrotik

Wireguard su Mikrotik

Wireguard è il software utilizzato dal servizio AccessoFacile.it. Qui trovi le istruzioni per l’installazione di Wireguard su Router Mikrotik.

Scopo della configurazione

Lo scopo è quello di configurare un router Mikrotik come client Wireguard di un gateway accessofacile.it, in modo che gli altri client connessi alla stessa VPN possano vedere tutti gli IP della LAN del Mikrotik.

Prerequisiti

Per procedere con la configurazione di Wireguard sul Mikrotik occorre:

  • Un Router Mirkotik con Sistema operativo RouterOS v7 (la v6 non prevede Wireguard)
  • I parametri di configurazione generati dal Server Wireguard (es Accessofacile.it)

Configurazione di esempio utilizzata

Il file di configurazione di esempio che utilizzeremo, proveniente da AccessoFacile.it, ha questa struttura.

[Interface]
Address = <INDIRIZZO-IP-VPN>
PrivateKey = <CHIAVE-PRIVATA-INTERFACCIA>


[Peer]
PublicKey = <CHIAVE-PUBBLICA-PEER>
PresharedKey = <CHIAVE-CONDIVISA-PEER>
PersistentKeepalive = 25
Endpoint = <INDIRIZZO-ENDPOINT>:<PORTA-ENDPOINT>
AllowedIPs = <ALLOWED-IPS>

Prendiamo quindi nota dei singoli valori che utilizzeremo per configurare la VPN Wireguard sul router Mikrotik, in modo che gli altri client configurati con AccessoFacile possano accedere ai dispositivi sulla LAN senza port forwarding.

Configurazione utilizzando la CLI

Di seguito gli step necessari per configurare il router Mikrotik, utilizzando l’interfaccia CLI

Creazione interfaccia Wireguard

Per prima cosa occorre creare un’interfaccia wireguard sul router. Si può fare utilizzando il seguente comando:

/interface/wireguard
add listen-port=13231 name=wireguard1 mtu=1420 \
private-key="<CHIAVE-PRIVATA-INTERFACCIA>"

Creazione Peer

Quindi occorre creare un peer sull’interfaccia wireguard creata nello step 1.

/interface/wireguard/peers
add allowed-address=<ALLOWED-IPS> endpoint-address=<INDIRIZZO-ENDPOINT> \
endpoint-port=<PORTA-ENDPOINT> interface=wireguard1 \
public-key="<CHIAVE-PUBBLICA-PEER>" \
preshared-key="<CHIAVE-CONDIVISA-PEER>"

Assegna Indirizzo IP a Wireguard

Infine occorre aggiungere all’interfaccia Wireguard (wireguard1 nel nostro caso) l’IP assegnato sulla VPN

/ip/address
add address=<INDIRIZZO-IP-VPN>/24 interface=wireguard1

Se l’indirizzo IP nel file di configurazione è indicato come XX.XX.XX.XX/32 comunque impostare il valore con /24 finale.

Al termine di questa configurazione sarà visibile subito del traffico sulla VPN che inizierà subito la connessione.

Traffico su Interfaccia Wireguard

Aggiunta Route per l’interfaccia

La configurazione è completa e non dovrebbe essere necessiario fare altro perché la rete dietro al Mikrotik sia raggiungibile dai client configurati con accessofacile.it

A volte, è necessario aggiungere una route specifica per l’interfaccia della VPN, perché non viene aggiunta in automatico

/ip/route
add dst-address=<INDIRIZZO-IP-VPN>/24 gateway=wireguard1

Test connessione

A qursto punto è possibile da un qualsiasi dispositivo con figurato con l’opportuno client AccessoFacile vedere la LAN che si trova connessa al Mikrotik.

Last updated on
Wireguard su WindowsWireguard su Smartphone