Deel dit onderwerp alstublieft!

Mikrotik WireGuard configuratie

WireGuard configureren op Mikrotik router

De Mikrotik WireGuard configuratie is niet zo moeilijk te configureren in vergelijking met de andere VPN technieken die beschikbaar zijn. Doch indien je WireGuard configureert doe je dit best met kennis van zaken. Ik vind het prachtig dat Mikrotik werk heeft gemaakt van het implementeren van WireGuard want dit is nieuw in de pas uitgekomen RouterOSv7. Je moet weten dat WireGuard oorspronkelijk is ontwikkeld voor de Linux-kernel maar deze is nu uitgegroeid tot een platformonafhankelijke VPN. Met andere woorden kan WireGuard geconfigureerd worden op Windows, MacOS, BSD, iOS en Android. WireGuard configureren op de Mikrotik routers verdient onze aandacht is het niet?

Wat is WireGuard nu precies

Mikrotik WireGuard configuratie

WireGuard is een zeer eenvoudig te configureren en moderne VPN-verbinding. Deze presteert aanzienlijk beter dan de andere VPN-verbindingen. Dit komt omdat WireGuard gebruik maakt van de modernste cryptografie waardoor deze veel sneller en efficiënter werkt. WireGuard is ontworpen als een VPN voor algemeen gebruik. Dit wil zeggen dat WireGuard gebruikt kan worden voor zowel embedded interfaces als voor supercomputers. Kortom WireGuard is breed inzetbaar in alle omstandigheden en is zeer veilig te noemen. Ik vind dit een grote aanwinst voor de Mikrotik toestellen. Dit is een reden dat ik de WireGuard configuratie onder de loep ga nemen. 

Wat doet WireGuard nu precies met de IP-pakketten

Kort gezegd kapselt WireGuard de IP-pakketten veilig in en verstuurt deze via het UDP protocol naar de andere kant. Hiervoor moet een WireGuard-interface aangemaakt worden op beide routers. Deze interface handelt het volledige WireGuard proces af en al deze pakketten worden versleuteld met de modernste cryptologie. Hoe alles in zijn werk gaat ga ik niet diepgaand bespreken want dit leid alleen tot overrompeling en configuratiestress. Een demonstratie van de Mikrotik WireGuard configuratie zal je beter helpen alles te begrijpen. 

WireGuard configureren is simpel en gemakkelijk

De Mikrotik WireGuard configuratie is zeer eenvoudig uit te voeren. Dit omdat de VPN-verbinding wordt gemaakt door simpelweg eenvoudige openbare sleutels uit te wisselen. Vergelijk dit met het eenvoudig uitwisselen van SSH-sleutels. Al de rest wordt transparant uitgevoerd door WireGuard. Dit zorgt ervoor dat de WireGuard configuratie een eenvoudige zaak wordt en dit is wat we heden ten dage nodig hebben. 

De Mikrotik WireGuard configuratie uiteenzetting

Dit onderstaande schema moet je meer inzicht geven hoe ik de configuratie aanpak. Het eerste wat ik wil zeggen is dat je op beide locaties het extern IP-adres moet kunnen pingen vanaf het internet. Dit wil zeggen dat je routers over een vast WAN IP-adres moeten beschikken. Deze IP-adressen worden uitgegeven door de internet service provider. Vaste IP-adressen worden ook static IP-adressen genaamd. Dit is een vereiste die je ter harte moet nemen bij deze WireGuard configuratie. Op het onderstaande schema die ik heb gemaakt zie je deze WAN IP-adressen geïllustreerd als 10.10.10.4 en 10.10.10.5. Dit zijn geen echte externe IP-adressen want ik configureer deze WireGuard configuratie in een lab omgeving. Bij de Mikrotik router kan je dit IP-adres zien door het IP-adres te bekijken op de WAN interface.

WireGuard configuratie

Controleer of beide WAN IP-adressen beschikbaar zijn vanaf het internet

Om de beschikbaarheid van de WAN IP-adressen te controleren vanaf het internet ping ik vanaf de Home router naar het externe IP-adres van de Remote router. Op de onderstaande screenshot die ik heb gemaakt zie je op beide routers het WAN IP-adres op de ether1-wan interface. Deze IP-adressen zijn fictief en is verschillend op bestaande router configuraties laat dat duidelijk zijn. Een vast IP-adres krijgen van de ISP is soms een lastige zaak. Je kan misschien gebruik maken van ZeroTier, dit is uiteraard een ander verhaal met andere mogelijkheden.

Aanmaken van de WireGuard-interface op de Home Router

Mikrotik WireGuard configuratie

Ik maak eerst een WireGuard-interface aan. Ik klik hiervoor op "WireGuard" vervolgens op het tabblad "WireGuard" en klik op plus om een nieuwe WireGuard-interface aan te maken. Veel hoeft niet te gebeuren want bij het klikken van "Apply" verschijnt direct een Private en Public key. Voor de rest hoef ik niets meer te doen. Wat moet ik nu doen. Ik voorzie de WireGuard interface van het IP-adres 10.98.1.1 zonder gebruik te maken van een subnet. Ik geef wel het IP-adres 10.98.1.2 in bij "networks". Meer is er niet nodig bij een Point to Point verbinding. Je ziet dat de Mikrotik WireGuard configuratie niet zo moeilijk is. Doch dit is nog niet alles wat ik moet doen. Maar eerst ga ik naar de Remote router.

Aanmaken van de WireGuard-interface op de Remote Router

Het eerste wat moet gebeuren op de Remote router is het aanmaken van de WireGuard-interface. Ik klik terug op "WireGuard" vervolgens op het tabblad "WireGuard" en klik op plus om een nieuwe WireGuard-interface aan te maken. Veel hoeft niet te gebeuren want bij het klikken van "Apply" verschijnt direct een Private en Public key. Voor de rest hoef ik niets meer te doen. Ik voorzie daarna de WireGuard interface van het IP-adres 10.98.1.2. Ook hier geef ik het network IP-adres in en dit is 10.98.1.1. Dit is maar de halve WireGuard configuratie want nu moeten we de peers aanmaken zodat de VPN verbinding tot stand kan worden gebracht. 

Een WireGuard peer aanmaken op de Home Router 

Mikrotik WireGuard configureren

Het aanmaken van de peer gebeurd in het tabblad "Peers" hiervoor heb ik de Public Key nodig van de Remote router. Het is een kwestie van kopiëren en plakken. Ik moet hier nog iets zeer belangrijks doen. Ik geef namelijk de netwerken in die gebruik mogen maken van de WireGuard verbinding. Dit zie je mooi op de bovenstaande screenshot bij "Allowed Address". Dit mag zeker niet vergeten worden.

Een WireGuard peer aanmaken op de Remote Router 

WireGuard configureren

Het aanmaken van de Peer verloopt iets anders dan bij de Home router. Nu kopieer en plak ik de Public Key van de Home router  in het Public Key venster van de Remote router. Hier vul ik meer in om de Mikrotik WireGuard configuratie werkend te krijgen. Op de bovenstaande screenshot zie je dat ik een Endpoint moet invullen.
Dit is het WAN IP-adres van de Home router. Verder geef ik ook de Endpoint Port 13231 in ook al denk ik dat deze bij default is geconfigureerd bij Mikrotik. Niets invullen betekent dus dat de default WireGuard poort 13231 wordt gebruikt. In de video tutorial test ik dit even uit. Als laatste geef ik ook de Allowed addresses in. Dit zijn het IP-adres 10.98.1.1 voor de tunnelvorming en het LAN netwerk van de Home router. Ook zeer belangrijk is "Persistent keepalive" deze stel ik in op 10 seconden. 
Bij twijfel aan deze WireGuard configuratie kijk naar het schema die ik heb aangemaakt zodat je meer inzicht krijgt.

Nu de WireGuard configuratie is uitgevoerd wil ik testen

Nu ik de WireGuard configuratie heb uitgevoerd wil ik controleren of de VPN-tunnel is gevormd. Dit kan ik controleren door een ping uit te voeren vanaf de Home router maar dan vanaf het IP-adres 10.98.1.1 naar het IP-adres 10.98.1.2. Hier stuit ik op een probleem want ik krijg geen ping reply. Ik kan je al zeggen dat dit geen fout is in de WireGuard configuratie. De reden hiervoor is de default firewall die op de Mikrotik router is geconfigureerd. Ik schakel deze voorlopig uit om uit te testen maar voorzie ook een oplossing. Bekijk zeker ook de firewall instellingen die ik demonstreer in het tweede deel van de WireGuard configuratie in de tweede video.

De Mikrotik firewall blokkeert het WireGuard verkeer 

Op de home router

Mikrotik WireGuard firewall settings
WireGuard firewall config

Daar de firewall rules op beide routers verschillend zijn ga ik je deze ook afzonderlijk gaan tonen om meer duidelijkheid te geven. Ik start hier vanaf de home router.
Deze firewall rule gaat het inkomend verkeer afkomstig van het WAN IP-adres van de remote router (hier geïllustreerd met 10.10.10.5) en met als UDP-poort 13231 gaan toestaan. Het WAN IP-adres is het extern IP-adres dat de remote router heeft gekregen van de ISP. Doch dit is nog niet alles wat ik moet doen. In dit geval moet ik ook het verkeer afkomstig van het LAN netwerk van de remote router naar het LAN netwerk van de home router toestaan. Dit toon ik op de onderstaande firewall rule. 

WireGuard firewall config

De bovenstaande firewall rule is ook noodzakelijk want hier wordt het verkeer afkomstig van en naar de LAN-netwerken toegestaan. Maar ik moet ook het omgekeerde toestaan. Dit zie je hieronder 

WireGuard firewall config

Op de remote router

Mikrotik WireGuard configuratie
WireGuard firewall config

Deze firewall rule gaat het inkomend verkeer afkomstig van het WAN IP-adres van de home router (hier geïllustreerd met 10.10.10.4) en met als UDP-poort 13231 gaan toestaan. Het WAN IP-adres is het extern IP-adres dat de home router heeft gekregen van de ISP. Doch dit is nog niet alles wat ik moet doen op de remote router.

WireGuard firewall config

De bovenstaande firewall rule zegt:  Het verkeer dat afkomstig is van het LAN netwerk van de home router (192.168.100.0/24) naar het LAN netwerk van de remote router (192.168.200.0/24) dit verkeer moet worden aanvaard. Maar ik moet ook het omgekeerde toestaan. Voeg dus ook de onderstaande rule bij de firewall rules.

WireGuard firewall config


Vergeet niet de firewall rules naar boven te schuiven. Dit is van crusiaal belang om deze rules werkend te maken! Bekijk hiervoor de tweede video tutorial.

Besluit

Zoals je kan zien is de WireGuard configuratie niet zo moeilijk in vergelijking met de andere VPN-configuraties die de Mikrotik toestellen ondersteunen. Als ik de configuratie vergelijk met de onhandige IPsec VPN is WireGuard een prachtige oplossing omdat veel toestellen overweg kunnen met deze VPN. Indien je uw MikroTik verder wil beveiligen kan je een ander artikel nalezen met als titel uw Mikrotik router beveiligen. Je kan ook je router uitrusten met een geldig TLS/SSL certificaat van Let's Encrypt en dit is geheel gratis te verkrijgen. Lees hier meer over.

Bekijk deze WireGuard configuratie op de onderstaande video's

Op deze video tutorial over WireGuard die ik heb gemaakt zie je de volledige WireGuard configuratie maar zonder de configuratie van de firewall rules.
Dit is te zien op de tweede video tutorial.

De tweede maar zeker ook een belangrijke tutorial over de WireGuard configuratie is het aanmaken van de firewall rules. Deze zijn zeer belangrijk om het verkeer tussen de home en remote router toe te staan. Anders werkt de WireGuard configuratie niet. Dit omdat het dataverkeer afkomstig van de WireGuard-interface integraal wordt geblokt. Meer weten over de Mikrotik firewall? Bekijk ook deze blogpost die ik heb gemaakt.

Blijf op de hoogte van mijn nieuwe video tutorials

YouTube

Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies.